Zum Hauptinhalt springen
Informationssicherheit / NIS2

Business Continuity Management (BCM)

Ein Managementprozess zur Sicherstellung der Geschäftsfortführung bei Störfällen und Krisen.

Business Continuity Management (BCM) bezeichnet den systematischen Prozess zur Identifikation potenzieller Bedrohungen und deren Auswirkungen auf Geschäftsprozesse sowie zur Entwicklung von Strategien und Plänen, die sicherstellen, dass kritische Geschäftsfunktionen auch bei schwerwiegenden Störungen aufrechterhalten oder schnell wiederhergestellt werden können. BCM ist damit mehr als IT-Notfallplanung – es umfasst die gesamte Organisation mit ihren Menschen, Standorten, Prozessen und Technologien.

Der internationale Standard ISO 22301 definiert Anforderungen an ein Business Continuity Management System (BCMS) und ermöglicht eine Zertifizierung. In Deutschland bietet der BSI-Standard 200-4 eine praxisorientierte Methodik speziell für den BCMS-Aufbau. Kernelemente des BCM sind die Business Impact Analysis (BIA), die kritische Prozesse und deren maximale Ausfallzeiten (RTO/RPO) bestimmt, sowie Business Continuity Plans (BCPs), die konkrete Handlungsanweisungen für den Krisenfall enthalten.

Regelmäßige Tests und Übungen sind ein unverzichtbarer Bestandteil eines funktionierenden BCM. Nur durch praxisnahe Simulation von Ausfallszenarien lässt sich sicherstellen, dass die Pläne im Ernstfall tatsächlich funktionieren. Gesetzliche Anforderungen wie NIS2 und DORA machen BCM für betroffene Einrichtungen zur Pflichtaufgabe und verlangen den Nachweis angemessener Kontinuitätsmaßnahmen gegenüber Aufsichtsbehörden.

Rechtliche Grundlage

ISO 22301, BSI-Standard 200-4, Art. 21 NIS-2-Richtlinie, Art. 11 DORA

Praxisbeispiel

Ein Logistikunternehmen mit zentralem Rechenzentrum erkennt, dass ein mehrtägiger Serverausfall den Geschäftsbetrieb vollständig zum Erliegen bringen würde. Im Rahmen einer Business Impact Analysis werden die kritischsten Prozesse (Auftragsabwicklung, Lagersteuerung) identifiziert und mit einem RTO von vier Stunden und einem RPO von einer Stunde bewertet. Daraufhin wird ein Notfallbetriebsplan erstellt, ein sekundäres Rechenzentrum eingerichtet und eine jährliche Failover-Übung durchgeführt. Bei einem tatsächlichen Ausfall durch einen Netzwerkschaden wird das System innerhalb von drei Stunden wiederhergestellt.

Häufige Fragen

Business Continuity Management (BCM) ist ein Managementprozess, der sicherstellt, dass kritische Geschäftsprozesse bei Störfällen, Krisen oder Katastrophen aufrechterhalten oder schnell wiederhergestellt werden können. Es umfasst Risikoanalysen, Notfallpläne und regelmäßige Tests und geht damit über reine IT-Notfallplanung hinaus.
IT-Notfallplanung ist ein Teilbereich des BCM, der sich auf die Wiederherstellung von IT-Systemen konzentriert. BCM betrachtet dagegen die gesamte Organisation: Menschen, Gebäude, Prozesse und Technologie. Ein umfassendes BCM-Konzept berücksichtigt auch Szenarien wie den Ausfall von Schlüsselpersonal, Lieferkettenunterbrechungen oder den Verlust von Geschäftsräumen.
Ja, Art. 21 der NIS-2-Richtlinie verpflichtet betroffene Einrichtungen zur Implementierung von BCM-Maßnahmen, darunter Backup-Management, Notfallwiederherstellung und Krisenmanagement. Die Umsetzung muss angemessen und verhältnismäßig zum Risiko sein und gegenüber der zuständigen Aufsichtsbehörde nachgewiesen werden können.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Risikobewertung (Risk Assessment) Sicherheitsvorfall (Security Incident) ISMS (Informationssicherheits-Managementsystem) NIS-2-Richtlinie Technische und organisatorische Maßnahmen (TOMs)
Zurück zum Glossar