Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht Audit Begleitung as a Service GAP-Analyse Implementierung Awareness & Schulungen
ISMS
Übersicht Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht Externer KI-Beauftragter EU AI Act ISO 42001 ISO 42005
BCMS
Übersicht Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht Insights KI-Security Briefing
Über uns
Übersicht Presse
+49 40-298 4553-0 [email protected]
Startseite Glossar BCMS (Business Continuity Management System)
Glossar, BCMS / ISO 22301

BCMS (Business Continuity Management System)

Englisch: Business Continuity Management System

Zuletzt aktualisiert: April 2026
Lesedauer: ca. 6 Minuten

Ein Business Continuity Management System, kurz BCMS, ist der organisatorische Rahmen, mit dem eine Organisation die Aufrechterhaltung ihrer kritischen Geschäftsprozesse bei Störungen, Notfällen und Krisen systematisch steuert. ISO 22301:2019 Clause 4.4 verlangt, dass das BCMS etabliert, umgesetzt, aufrechterhalten und fortlaufend verbessert wird. Das System umfasst Leitlinie, Rollen, Business Impact Analysis, Risikobewertung, Continuity-Strategien, Notfall- und Wiederanlaufpläne sowie Tests und Übungen. In Deutschland liefert der BSI-Standard 200-4 eine zu ISO 22301 kompatible Methodik, die insbesondere für Behörden und KRITIS-Betreiber anerkannt ist. Ohne ein dokumentiertes und geübtes BCMS lässt sich die Resilienz-Anforderung aus Artikel 21 der NIS-2-Richtlinie nicht belastbar nachweisen.

Normative Grundlage: ISO 22301:2019 Clause 4.4

Hintergrund und normative Einordnung

Der Begriff entstammt der Normenreihe ISO 22300. ISO 22301:2019 definiert das BCMS als Teil des gesamten Managementsystems, der eine Organisation in die Lage versetzt, auf störende Ereignisse vorbereitet zu sein, diese zu bewältigen und den Betrieb kritischer Produkte und Dienstleistungen in angemessener Zeit wieder aufzunehmen. Die Norm folgt der High-Level-Structure der ISO-Managementsystem-Standards und ist damit strukturell kompatibel zu ISO 27001 und ISO 9001. Ergänzende Leitlinien liefert ISO 22313. Der normative Kern des BCMS ist damit kein Werkzeug, sondern ein Führungssystem mit klaren Verantwortlichkeiten, priorisierten Geschäftsprozessen und dokumentierten Wiederanlaufzielen.

In Deutschland wurde die Methodik durch den BSI-Standard 200-4 Business Continuity Management für die öffentliche Verwaltung und KRITIS-Betreiber übertragen. BSI 200-4 beschreibt ein zu ISO 22301 kompatibles BCMS in drei Stufenprofilen und verzahnt sich eng mit dem BSI IT-Grundschutz. Für regulierte Unternehmen ist das BCMS heute die gemeinsame Klammer, mit der sich Anforderungen aus NIS-2, DORA, BAIT, VAIT, MaRisk und KRITIS-Vorgaben zur Betriebskontinuität koordiniert abbilden lassen. Für den strukturierten Aufbau und Betrieb bietet SECURAM spezialisierte Beratung rund um BCMS nach ISO 22301 und BSI 200-4.

Normative Bezüge:

ISO 22301:2019 Clause 4.4 (Business continuity management system) BSI-Standard 200-4 Business Continuity Management Richtlinie (EU) 2022/2555 (NIS-2) Artikel 21 Absatz 2 Buchstabe c

Vorgehen in der Praxis

Der Aufbau eines BCMS folgt in der Praxis einem Plan-Do-Check-Act-Zyklus. Die folgenden vier Phasen entsprechen den Clauses 4 bis 10 der ISO 22301:2019 und dem Lebenszyklus-Modell des BSI-Standard 200-4.

1
Kontext, Scope und Leitlinie festlegen Der Anwendungsbereich des BCMS wird bestimmt, interessierte Parteien werden identifiziert und eine Business-Continuity-Leitlinie wird von der obersten Leitung verabschiedet. ISO 22301:2019 fordert dies in den Clauses 4.1 bis 5.2, der BSI-Standard 200-4 im Kapitel zur Leitlinie und zur Festlegung des Geltungsbereichs.
2
Business Impact Analysis und Risikobewertung Nach ISO 22301:2019 Clause 8.2.2 werden kritische Produkte, Dienstleistungen und unterstützende Aktivitäten identifiziert, ihre Auswirkungen bei Ausfall bewertet und Wiederanlaufzeiten wie RTO, RPO und MTPD festgelegt. Eine Risikobewertung nach Clause 8.2.3 ergänzt die BIA um die Bedrohungs- und Schwachstellenperspektive.
3
Continuity-Strategien und Pläne umsetzen Aus BIA und Risikobewertung werden Continuity-Strategien abgeleitet und in Notfall-, Krisen- und Wiederanlaufplänen dokumentiert. ISO 22301:2019 Clauses 8.3 und 8.4 regeln Strategieauswahl, Lösungen und Verfahren. Ohne geschulte Rollen und verfügbare Ressourcen bleibt das BCMS Papier.
4
Übung, Audit und kontinuierliche Verbesserung ISO 22301:2019 Clause 8.5 fordert regelmäßige Übungen und Tests, Clauses 9 und 10 verlangen Überwachung, interne Audits, Management Review und Korrekturmaßnahmen. Erst die Übungspraxis zeigt, ob Wiederanlaufziele unter realen Bedingungen eingehalten werden.

Ein BCMS wird im Audit nicht am Dokumentenstapel gemessen, sondern an nachgewiesenen Tests und Übungen gemäß ISO 22301:2019 Clause 8.5 und BSI-Standard 200-4 Kapitel zur Übungspraxis.

Abgrenzung zu verwandten Begriffen

Begriff Fokus Verhältnis zu BCMS (Business Continuity Management System)
ISMS Vertraulichkeit, Integrität und Verfügbarkeit von Informationen Das ISMS nach ISO/IEC 27001 steuert Informationssicherheitsrisiken, das BCMS nach ISO 22301 die Geschäftskontinuität. Beide Systeme greifen ineinander, wenn es um Verfügbarkeit und Resilienz geht, sie decken sich aber nicht. NIS-2 Artikel 21 verlangt beide Perspektiven.
ITSCM Wiederanlauf der IT-Services nach ISO/IEC 27031 IT Service Continuity Management ist die technische Teilmenge des BCMS. Das BCMS definiert die Geschäftsanforderungen, das ITSCM liefert die Wiederanlaufkonzepte für IT-Services auf Basis der Continuity-Anforderungen aus der BIA.
Risikomanagement Übergreifender Umgang mit Geschäftsrisiken nach ISO 31000 Das Risikomanagement nach ISO 31000 ist die übergeordnete Disziplin. Das BCMS setzt die risikobasierte Logik auf Störungs- und Ausfallszenarien um und verwendet die Ergebnisse der Risikobewertung als Eingabe für die Business Impact Analysis.

Typische Fehler und wie ihr sie vermeidet

  • Business Impact Analysis ohne kritische Prozesse: Wird die BIA auf IT-Systeme oder einzelne Abteilungen verengt, fehlen die eigentlichen Geschäftsprozesse. ISO 22301:2019 Clause 8.2.2 verlangt die Priorisierung von Produkten und Dienstleistungen anhand ihrer Auswirkungen, nicht eine Liste der Applikationen.
  • Wiederanlaufziele ohne Begründung: RTO, RPO und MTPD werden gesetzt, ohne sie aus den Auswirkungen abzuleiten. ISO 22301:2019 Clause 8.2.2 fordert, dass die Ziele auf der BIA basieren. Willkürliche Werte fallen im Audit und spätestens in der Übung auf.
  • Pläne ohne Übung: Notfall- und Wiederanlaufpläne werden dokumentiert, aber nicht getestet. ISO 22301:2019 Clause 8.5 verlangt ein Programm aus Übungen und Tests, BSI-Standard 200-4 konkretisiert dies in den Stufenprofilen. Ohne Übung gibt es keinen belastbaren Nachweis.
  • BCMS getrennt vom ISMS betreiben: Wer BCMS und ISMS als parallele Silos führt, dupliziert Scope, Risikobewertung und Management Review. ISO 22301:2019 und ISO/IEC 27001:2022 nutzen dieselbe High-Level-Structure. NIS-2 Artikel 21 verlangt eine integrierte Sicht auf Informationssicherheit und Betriebskontinuität.

Relevanz im regulatorischen Kontext

Im europäischen Rahmen adressiert die Richtlinie (EU) 2022/2555 die Betriebskontinuität explizit. Artikel 21 Absatz 2 Buchstabe c verlangt Maßnahmen zur Aufrechterhaltung des Betriebs, zum Backup-Management und zur Wiederherstellung nach einem Notfall. Für Finanzinstitute ergänzt die Verordnung (EU) 2022/2554 (DORA) in Artikel 11 detaillierte Vorgaben zu IKT-Geschäftsfortführungsrichtlinien, Wiederherstellungsplänen und Tests. Ein BCMS nach ISO 22301 deckt diese Anforderungen strukturell ab und liefert den Auditnachweis.

National konkretisieren das NIS-2-Umsetzungsgesetz, das BSIG für KRITIS-Betreiber sowie Aufsichtsvorgaben wie BAIT, VAIT und MaRisk die BCMS-Pflicht. Die Geschäftsleitung haftet nach NIS-2 Artikel 20 persönlich für die Umsetzung und muss die Wirksamkeit regelmäßig überwachen. Für die öffentliche Verwaltung und viele KRITIS-Betreiber ist der BSI-Standard 200-4 die maßgebliche Umsetzungsgrundlage. Zertifizierungen nach ISO 22301 werden zunehmend als Nachweis geeigneter und verhältnismäßiger Maßnahmen akzeptiert.

Häufige Fragen

Was ist ein BCMS in einem Satz?
Ein BCMS ist das dokumentierte Managementsystem, mit dem eine Organisation die Fortführung kritischer Geschäftsprozesse bei Störungen und Notfällen plant, umsetzt, prüft und verbessert, so definiert in ISO 22301:2019 Clause 4.4.
Ist ein BCMS für NIS-2 verpflichtend?
Die NIS-2-Richtlinie nennt den Begriff BCMS nicht explizit, fordert in Artikel 21 Absatz 2 Buchstabe c aber Maßnahmen zur Aufrechterhaltung des Betriebs und zur Wiederherstellung nach Notfällen. Wesentliche und wichtige Einrichtungen können diese Anforderung wirtschaftlich nur über ein BCMS nach ISO 22301 oder BSI-Standard 200-4 abbilden.
Wie unterscheidet sich ISO 22301 vom BSI-Standard 200-4?
ISO 22301:2019 ist die internationale Zertifizierungsnorm für BCMS. BSI-Standard 200-4 ist die deutsche, zu ISO 22301 kompatible Methodik mit drei Stufenprofilen und engem Bezug zum IT-Grundschutz, verbindlich für Bundesbehörden und etabliert bei KRITIS-Betreibern.

Quellen & weiterführende Literatur

  1. ISO 22301:2019 Security and resilience Business continuity management systems Requirements (iso.org)
  2. ISO 22313:2020 Security and resilience Business continuity management systems Guidance on the use of ISO 22301 (iso.org)
  3. BSI-Standard 200-4 Business Continuity Management (bsi.bund.de)
  4. Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates (NIS-2) Artikel 21 (eur-lex.europa.eu)
  5. Verordnung (EU) 2022/2554 (DORA) Artikel 11 IKT-Geschäftsfortführungsrichtlinien (eur-lex.europa.eu)
  6. ISO/IEC 27031:2011 Information technology Security techniques Guidelines for information and communication technology readiness for business continuity (iso.org)