Alain Rees · 11-07-2026 · 11 min leestijd
Das Business Continuity Management (BCM) ist der Managementprozess, mit dem Ihre Organisation ihre kritischen Produkte und Dienstleistungen weiterhin erbringt, auch wenn etwas ernsthaft schiefgeht. Einen funktionierenden BCM-Prozess einzurichten bedeutet, dass Sie nicht nur einen Plan in der Schublade liegen haben, sondern dass Kontinuität zu einem lebendigen Bestandteil Ihrer täglichen Steuerung wird. In diesem Artikel lesen Sie, wie Sie das Schritt für Schritt aufbauen, welche Produkte und Register dazugehören und wie Sie das Ganze unter NIS2 nachweisbar machen.
Kurz gefasst
- BCM sorgt dafür, dass Ihre kritische Leistungserbringung während einer Störung auf einem vereinbarten Mindestniveau weiterläuft.
- Die internationale Norm ist ISO 22301, aufgebaut auf einem Zyklus aus Planen, Umsetzen, Überprüfen und Verbessern.
- Sie steuern auf drei Ebenen: strategisch (Ausrichten), taktisch (Einrichten) und operativ (Ausführen).
- Der Kern ist die Business-Impact-Analyse (BIA), die je Prozess die Wiederherstellungszeiten RTO, RPO und MTPD liefert, dazu das Mindestniveau der Leistungserbringung (MBCO), das Sie aufrechterhalten wollen.
- Kontinuität wird erst nachweisbar, wenn Sie die Ergebnisse in Registern verwalten, die Sie aktuell halten, und nicht in losen Dokumenten.
BCM ist das zusammenhängende Ganze aus Leitlinien, Analysen, Plänen, Vorkehrungen und Übungen, das dafür sorgt, dass Ihre Organisation eine Störung auffangen kann. Das Ziel ist dreifach: eine Störung auffangen, während der Störung auf einem akzeptablen Mindestniveau funktionsfähig bleiben und danach kontrolliert zum Normalzustand zurückkehren.
Die internationale Norm hierfür ist ISO 22301. Sie beschreibt BCM als fortlaufenden Prozess und nicht als einmaliges Projekt. Wichtig zu wissen ist, dass BCM breiter angelegt ist als nur die IT. Eine Störung kann ebenso gut durch den Ausfall von Personal, den Wegfall eines Lieferanten oder ein unbrauchbares Gebäude entstehen wie durch einen Cyberangriff.
Kontinuität ist nicht länger unverbindlich. NIS2 gilt für wesentliche und wichtige Einrichtungen in der gesamten EU. In Deutschland wird die NIS2-Richtlinie (EU) 2022/2555 über das NIS-2-Umsetzungsgesetz umgesetzt, das das BSI-Gesetz (BSIG) ändert; zuständige Behörde ist das BSI. In Österreich erfolgt die Umsetzung über das Netz- und Informationssystemsicherheitsgesetz (NISG). Die Richtlinie selbst richtet sich an die Mitgliedstaaten und nicht unmittelbar an die Organisationen: Jeder Mitgliedstaat setzt NIS2 in sein nationales Recht um, und Ihre konkreten Pflichten ergeben sich aus dieser nationalen Umsetzung.
NIS2 erlegt eine Sorgfaltspflicht auf: Sie müssen angemessene Maßnahmen für die Kontinuität Ihrer Leistungserbringung und für die Beherrschung Ihrer Risiken treffen. Die Endverantwortung liegt bei der Leitung, mit persönlicher Haftung als letzter Konsequenz. Ein funktionierender BCM-Prozess ist genau das Beweismaterial, das eine Aufsichtsbehörde sehen möchte. Er zeigt, dass Sie die Kontinuität nicht nur auf dem Papier geregelt, sondern auch erprobt und aktuell gehalten haben.
Ein guter BCM-Prozess ist auf drei Ebenen verankert. Diese Einteilung gilt sowohl für die Verwaltung in ruhigen Zeiten als auch für die Krisenorganisation, die Sie während einer Störung aktivieren.
Auf der strategischen Ebene liegt die Eigentümerschaft. Die Leitung legt die Kontinuitätsleitlinie fest, bestimmt die Risikobereitschaft und benennt die kritischen Produkte und Dienstleistungen. Diese Verantwortung ist nicht übertragbar. Während einer Krise bildet diese Ebene das Leitungsteam, das Kurs, Reputation und Rechtsposition wahrt.
Auf der taktischen Ebene findet die meiste Facharbeit statt. Hier führen Sie die Analysen durch, wählen die Kontinuitätsstrategien und entwerfen die Pläne und Übungen. Während einer Krise steuert diese Ebene die eigentliche Wiederherstellung und bildet das Bindeglied zwischen Leitung und Ausführung.
Auf der operativen Ebene findet die Ausführung unter Druck statt. Hier stehen die konkreten Wiederherstellungsverfahren, die Alarmierungs- und Eskalationspläne und die technische Ausweichlösung. Auf dieser Ebene lebt auch der IT-Wiederanlaufplan, der die technische Ausgestaltung der auf taktischer Ebene festgelegten Wiederherstellungszeiten bildet.
ISO 22301 baut BCM als Zyklus aus Planen, Umsetzen, Überprüfen und Verbessern auf. Sie legen zunächst den Kontext, die Leitlinie und die Ziele fest und führen die Analysen durch. Anschließend wählen Sie Strategien, treffen Vorkehrungen und stellen die Pläne auf. Danach erproben Sie diese Pläne mit Übungen und prüfen ihre Wirksamkeit. Schließlich verarbeiten Sie die Erkenntnisse aus Übungen, Vorfällen und Bewertungen und berichten an die Leitung zurück.
Dieser letzte Schritt macht den Unterschied zwischen einer Akte, die veraltet, und einem Prozess, der weiter funktioniert. Pläne, die Sie nicht üben, gelten als unerprobt.
Wenn Sie einen BCM-Prozess einrichten, erstellen Sie eine Reihe zusammenhängender Dokumente. Jedes Produkt beantwortet eine eigene Frage.
Die Kontinuitätsleitlinie ist der von der Leitung festgelegte Rahmen. Sie hält die Zielsetzung, den Geltungsbereich, die Grundsätze und die Verantwortlichkeiten fest.
Die Business-Impact-Analyse (BIA) ist der analytische Kern. Je kritischem Prozess bestimmen Sie, wie die Auswirkung eines Ausfalls zunimmt, je länger er andauert, und daraus leiten Sie die Kennzahlen ab. Diese Kennzahlen sind das Fundament unter allen Plänen:
Die Bedrohungsanalyse ergänzt die BIA. Wo die BIA auf die Folgen eines Ausfalls blickt, blickt die Bedrohungsanalyse auf die Ursachen. Sie bewerten Szenarien wie einen Ransomware-Angriff, den Ausfall eines Rechenzentrums oder den Wegfall eines kritischen Lieferanten nach Wahrscheinlichkeit und Auswirkung und bestimmen, welche Maßnahmen nötig sind.
Die Kontinuitätsstrategie verbindet die Analysen mit der Praxis. Je Prozess wählen Sie, wie Sie eine Störung auffangen: mit Redundanz, mit Ausweichen auf eine alternative Umgebung, mit einem manuellen Notverfahren, mit einem Ausweichlieferanten oder indem Sie ein Restrisiko bewusst akzeptieren.
Die Kontinuitätspläne schließlich setzen diese Entscheidungen in konkrete Ablaufpläne um, denen Sie während einer Störung folgen.
Hier liegt der Schritt, den viele Organisationen überspringen. Die BIA und die Bedrohungsanalyse sind eine Momentaufnahme. Ein Register ist das lebendige Gegenstück: Es hält den aktuellen Stand fest und bildet das Beweismaterial für Ihre Sorgfaltspflicht. Ein reifer BCM-Prozess hält daher die folgenden Punkte fortlaufend aktuell.
Die Kontinuitätsrisiken sind die fortlaufende Nachfolge der Bedrohungsanalyse. Jedes Störungsszenario wird mit Wahrscheinlichkeit, Auswirkung, Risikowert, Eigentümer und dem Status der Maßnahmen festgehalten. Dafür müssen Sie kein separates Register aufbauen: In Kantyra verwalten Sie diese Risiken im gemeinsamen Risikoregister, erkennbar an der Kategorie Kontinuität.
Die kritischen Produkte und Dienstleistungen halten Sie mit ihren Wiederherstellungszeiten fest. Dies ist das lebendige Ergebnis Ihrer BIA: welche Prozesse kritisch sind und innerhalb welcher Zeit sie wieder laufen müssen.
Die Pläne und Übungen halten Sie als zwei zusammenhängende Bestandteile fest: welche Kontinuitätspläne es gibt und welche Version gilt, und wann sie zuletzt erprobt wurden. So machen Sie nachweisbar, dass Pläne nicht nur existieren, sondern auch funktionieren.
Die Verbesserungsmaßnahmen sammeln Sie mit einem Eigentümer und einem Enddatum. Alles, was aus Übungen, Vorfällen und Bewertungen hervorgeht, verwalten Sie als Aufgaben, die Sie abarbeiten.
Die Lieferanten halten Sie mit ihrer Verfügbarkeit und den Vereinbarungen über die Ausweichlösung fest. Ein Lieferant ohne Ausweichlösung ist sofort ein sichtbares Kontinuitätsrisiko, das unmittelbar unter Ihre Sorgfaltspflicht aus NIS2 fällt.
Die Vorfälle erfassen Sie mit der tatsächlichen Wiederherstellungszeit und der Frage, ob die Meldepflicht aus NIS2 zutraf.
Diese Bestandteile bilden zusammen einen Kreislauf. Ein Vorfall führt zu einer Verbesserungsmaßnahme, eine Verbesserungsmaßnahme passt einen Plan an, ein Plan wird in einer Übung getestet, und eine enttäuschende Übung oder ein Lieferant ohne Ausweichlösung erhöht wiederum ein Risiko im Risikoregister.
Eine häufig gestellte Frage ist, wie sich die Kontinuitätsrisiken zum zentralen Risikoregister der Organisation verhalten. Sie ähneln einander, beantworten aber eine andere Frage.
Das Unternehmensrisikoregister, in der Tradition von ISO 31000, enthält alle Risiken für die Organisationsziele: strategisch, finanziell, personell und mehr. Die Frage lautet: Weichen wir von unseren Zielen ab, und passt das in unsere Risikobereitschaft?
Ein Kontinuitätsrisiko ist davon eine spezialisierte Teilmenge. Es geht ausschließlich um Störungen Ihrer kritischen Dienste, und die Frage lautet: Können wir weiter liefern, und wie schnell stellen wir wieder her? Die zugehörigen Wiederherstellungszeiten und die Wiederherstellungsstrategie halten Sie in der BIA und im Kontinuitätsplan fest, während Sie das Risiko selbst im Risikoregister an der Kategorie Kontinuität erkennen.
Am wichtigsten ist, den Zusammenhang richtig zu verankern. In Kantyra führen Sie daher nicht zwei lose Register nebeneinander, sondern verwalten alle Risiken in einem Register und kennzeichnen die Kontinuitätsrisiken mit der Kategorie Kontinuität. So behalten Sie einen einzigen Überblick auf Leitungsebene ohne Doppelzählungen. Dieses zusammenhängende Risikomanagement ist genau das, was NIS2 von Ihnen verlangt.
Sie können diese Register in Excel oder in einer gemeinsamen Bibliothek führen, und als Zwischenschritt ist das vertretbar, solange Eigentümerschaft, Versionsverwaltung und ein Überprüfungsrhythmus gesichert sind. Doch je reifer Ihr BCM-Prozess wird, desto eher stoßen Sie an die Grenzen. Lose Dateien geraten aus dem Takt, der Risikowert berechnet sich nicht von selbst, und Ihnen fehlt die Historie, die Sie brauchen, um Ihre Sorgfaltspflicht nachzuweisen.
In einer GRC-Plattform verwalten Sie die Register als zusammenhängende Übersichten in einer einzigen Umgebung. Der Risikowert berechnet sich von selbst, die Risikomatrix füllt sich von allein, und jedes Register hat einen Eigentümer, einen Status und ein Überprüfungsdatum. Zudem machen die Verknüpfungen den Kreislauf sichtbar: Eine Übung, die nicht vollständig gelingt, wandelt Kantyra automatisch in eine Verbesserungsaufgabe um, und ein abgelaufenes Übungsdatum fällt sofort auf.
Bei Kantyra ist BCM eine Erweiterung der ISMS- und GRC-Plattform. Das bedeutet, dass Sie Kontinuität nicht getrennt organisieren, sondern auf der Informationssicherheit, die Sie bereits verwalten. Die Krisenorganisation halten Sie in der BCM-Strategie fest, und Ihre Kontinuitätsrisiken verwalten Sie im selben Risikoregister wie den Rest Ihres ISMS, sodass Sie nicht zweimal dieselbe Arbeit machen. Ihre BCM-Bestandteile und Ihre NIS2-Pflichten kommen so in einer einzigen Umgebung zusammen.
Was ist der Unterschied zwischen BCM und einem Kontinuitätsplan? BCM ist der Managementprozess als Ganzes, von der Leitlinie bis zu den Übungen. Ein Kontinuitätsplan ist ein Produkt darin: das Ablaufhandbuch, dem Sie während einer Störung folgen. Sie brauchen beides.
Was ist der Unterschied zwischen einem BCP und einem DRP? Ein Business-Continuity-Plan (BCP) hält einen Geschäftsprozess am Laufen, notfalls ohne die üblichen Systeme. Ein IT-Wiederanlaufplan (DRP, Disaster Recovery Plan) stellt die Technik wieder her. Das DRP ist also eine technische Ausgestaltung unter dem breiteren BCP.
Gilt NIS2 unmittelbar für meine Organisation? NIS2 ist eine europäische Richtlinie, die jeder Mitgliedstaat in nationales Recht umsetzt, und bindet Ihre Organisation daher nicht unmittelbar. In Deutschland gilt das NIS-2-Umsetzungsgesetz (das das BSIG ändert, zuständige Behörde ist das BSI), in Österreich das NISG. Fallen Sie in den Anwendungsbereich, erfüllen Sie die nationale Umsetzung im Land, in dem Sie tätig sind, die die Sorgfalts- und Meldepflichten aus NIS2 trägt. Kantyra hat das NIS2-Kontrollrahmenwerk eingebaut, damit Sie sie nachweisbar erfüllen.
Was bedeuten RTO und RPO? Die RTO ist die Zeit, innerhalb derer ein Prozess nach einer Störung wieder laufen muss. Die RPO ist die Menge an Datenverlust, die Sie verkraften können, also wie weit Sie auf ein Backup zurückfallen dürfen. Beide bestimmen Sie je kritischem Prozess in der BIA.
Kann ich BCM mit Excel machen? Für einen einfachen Start ist das möglich, solange Sie Eigentümerschaft, Versionsverwaltung und einen Überprüfungsrhythmus sichern. Je reifer Ihr Prozess wird und je mehr Sie ihn unter NIS2 nachweisbar machen wollen, desto praktischer und zuverlässiger ist eine GRC-Plattform mit einem BCM-Modul.
Möchten Sie Ihren BCM-Prozess lieber nicht in losen Dateien verwalten, sondern in einer einzigen Umgebung, die an Ihre Informationssicherheit und Ihre NIS2-Pflichten anschließt? Mit dem BCM-Modul von Kantyra halten Sie Ihre Kontinuitätspläne und Übungen aktuell, berechnen Risikowerte automatisch und machen Ihre Kontinuität nachweisbar. Fordern Sie eine Demo an und entdecken Sie, wie Sie Kontinuität auf Ihrem bestehenden ISMS aufbauen.
Kantyra ist eine europäische ISMS- und GRC-Plattform, mit der Organisationen ihre Informationssicherheit, ihr Risikomanagement und ihre Kontinuität nachweisbar verwalten, im Einklang mit ISO 27001, ISO 22301 und NIS2.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demoMessen Sie als CISO, wo Ihre Organisation und Ihr CISO Office stehen, und erfahren Sie, wie Sie mit einer Scorecard steuern und rechtzeitig nachsteuern.
Wie Sie Schwachstellenmanagement als CISO steuern, von der Richtlinie bis zur Rechenschaft gegenüber der Geschäftsleitung.
So bauen Sie Penetrationstests strukturiert auf, von der Pentest-Richtlinie und dem Kalender bis zum Bericht und zur Nachverfolgung der Erkenntnisse.