Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht → Audit Begleitung as a Service GAP-Analyse Implementierung
ISMS
Übersicht → Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht → Externer KI-Beauftragter EU AI Act ISO 42001 Thema Schatten-KI
BCMS
Übersicht → Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht → Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht → Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht → Insights KI-Security Briefing
Über uns
Übersicht → Presse
+49 40-298 4553-0 [email protected]
BSI 200-4 Beratung: BCM nach BSI-Methodik | SECURAM

BCMS · BSI-Standard 200-4

BSI-Standard 200-4: Notfallmanagement Beratung

Der BSI-Standard 200-4 ist die nationale BCM-Methodik des Bundesamts für Sicherheit in der Informationstechnik und Nachfolger des BSI 100-4. Er beschreibt ein strukturiertes Vorgehen zum Aufbau eines Business Continuity Managements mit drei Reifegradstufen: Reaktiv-BCMS, Aufbau-BCMS und Standard-BCMS. SECURAM setzt BSI 200-4 für Organisationen um, die einen methodischen Einstieg in die Geschäftskontinuität suchen — insbesondere Behörden, KRITIS-Betreiber und Organisationen mit bestehendem BSI IT-Grundschutz.

Erstgespräch vereinbaren Leistungsumfang ↓
200-4 Business Continuity

Ausgangslage

Warum BSI 200-4 für Behörden und Mittelstand relevant ist

BSI 200-4 gibt Organisationen eine schrittweise Methodik an die Hand, um Business Continuity Management aufzubauen — vom reaktiven Notfallbetrieb bis zum vollständigen BCMS.

Der BSI-Standard 200-4 löst den Vorgänger BSI 100-4 ab und führt ein Stufenmodell ein, das den Einstieg in das Business Continuity Management erleichtert. Organisationen können auf der Stufe beginnen, die ihrem aktuellen Reifegrad entspricht: Das Reaktiv-BCMS deckt die Mindestanforderungen ab, das Aufbau-BCMS erweitert den Ansatz um eine strukturierte BIA und dokumentierte Notfallpläne, das Standard-BCMS entspricht einem vollständigen BCM-System mit Übungsprogramm und kontinuierlicher Verbesserung. Diese Flexibilität unterscheidet den BSI-Standard von der ISO 22301, die sofort ein vollständiges Managementsystem voraussetzt.

Der regulatorische Druck steigt. Das KRITIS-Dachgesetz, seit dem 17. März 2026 in Kraft, verpflichtet Betreiber kritischer Infrastrukturen zu einem systematischen Resilienzmanagement. Bundesbehörden müssen im Rahmen des Umsetzungsplans Bund (UP Bund) ein Notfallmanagement nach BSI-Methodik vorweisen. In unseren Projekten beobachten wir, dass Organisationen mit bestehendem BSI IT-Grundschutz den BSI 200-4 als logische Ergänzung wählen, weil die Dokumentation und Risikoanalysen aufeinander abgestimmt sind. Der BSI 200-4 ist dabei weitgehend kompatibel mit der ISO 22301: Organisationen können BIA-Ergebnisse und Notfallkonzepte bei einem späteren Aufstieg auf die internationale Norm wiederverwenden.

SECURAM begleitet Organisationen von der Reifegradanalyse bis zum laufenden BCM-Betrieb und bietet anschließend mit BCMaaS den fortlaufenden Betrieb als externen Service. Der BCMS-Bereich umfasst neben dem BSI 200-4 auch ISO 22301, Notfallmanagement, ITSCM und die Umsetzung regulatorischer Anforderungen aus dem KRITIS-Dachgesetz.

Leistungsumfang

BSI 200-4: Vom Stufeneinstieg bis zum laufenden BCM-Betrieb

Acht aufeinander abgestimmte Leistungsbausteine, die den gesamten BCM-Aufbau nach BSI-Methodik abdecken.

01

Reifegradanalyse und Stufenzuordnung

Bestimmung des aktuellen BCM-Reifegrads anhand der drei Stufen des BSI 200-4 (Reaktiv, Aufbau, Standard). Definition der Zielstufe und Ableitung eines priorisierten Maßnahmenplans mit konkreten Arbeitspaketen und Zeitrahmen.

02

Business Impact Analyse (BIA)

Identifikation kritischer Geschäftsprozesse, Ermittlung der maximal tolerierbaren Ausfallzeit (MTPD), der Wiederanlaufzeit (RTO) und der Ressourcenabhängigkeiten nach BSI-Methodik. Die BIA bildet die Grundlage für alle weiteren BCM-Entscheidungen.

03

BCM-Risikoanalyse

Bewertung von Bedrohungen und Schwachstellen für die in der BIA identifizierten zeitkritischen Prozesse nach BSI-Vorgaben. Erstellung eines Bedrohungskatalogs und eines Risikobehandlungsplans mit priorisierten Gegenmaßnahmen.

04

BC-Strategieentwicklung

Auswahl von Strategien zur Absicherung kritischer Prozesse auf Basis der BIA-Ergebnisse. Bewertung von Risikobehandlungsoptionen unter Berücksichtigung von Kosten, Wirksamkeit und organisatorischer Umsetzbarkeit.

05

Notfallplanung und Notfallhandbuch

Erstellung des Notfallvorsorgekonzepts, des Notfallhandbuchs mit konkreten Handlungsanweisungen und der Wiederanlaufpläne. Jeder Plan wird prozessspezifisch auf die BIA-Kenngrößen abgestimmt und mit Kommunikationswegen versehen.

06

Übungsplanung und -durchführung

Tabletop-Übungen, funktionale Tests und Planübungen nach dem BSI-200-4-Übungskonzept. Dokumentation der Übungsergebnisse, Ableitung von Lessons Learned und Aktualisierung der Notfallpläne auf Basis der Erkenntnisse.

07

Integration mit IT-Grundschutz

Abstimmung der BCM-Dokumentation mit BSI 200-1 (Managementsystem) und BSI 200-2 (IT-Grundschutz-Methodik) zur Vermeidung von Doppelarbeit. Gemeinsame Nutzung von Risikoanalysen, Schutzbedarfsfeststellungen und Dokumentenlenkung.

08

Übergang in den laufenden Betrieb

Überführung des BCM in den Regelbetrieb mit Etablierung des PDCA-Zyklus. BCMaaS-Modell für den fortlaufenden BCMS-Betrieb, Überwachungsaudits und die Übergabe an einen internen oder externen BCM-Beauftragten.

Ablauf

Vom Reaktiv-BCMS zum laufenden Betrieb in 6 Phasen

BCM-Initiierung und Geltungsbereich

Woche 1–2

Festlegung des BCM-Scopes, Durchführung der Stakeholder-Analyse und Stufenzuordnung (Reaktiv, Aufbau oder Standard). Definition der BCM-Leitlinie und der organisatorischen Rahmenbedingungen.

Ergebnis: BCM-Leitlinie, Scope-Dokument, Stufenzuordnung

Business Impact Analyse

Woche 2–5

Identifikation zeitkritischer Geschäftsprozesse, Ermittlung von MTPD und RTO sowie Analyse der Ressourcenabhängigkeiten. Erstellung der Prozesskritikalitätsmatrix als Entscheidungsgrundlage für die BC-Strategie.

Ergebnis: BIA-Bericht, Prozesskritikalitätsmatrix, Ressourcenübersicht

BCM-Risikoanalyse

Woche 4–7

Bewertung von Bedrohungsszenarien für die in der BIA identifizierten zeitkritischen Prozesse. Abgleich mit bestehenden IT-Grundschutz-Risikoanalysen zur Vermeidung von Doppelarbeit.

Ergebnis: Risikobehandlungsplan, Bedrohungskatalog

BC-Strategien und Notfallplanung

Woche 6–12

Entwicklung von BC-Strategien auf Basis der BIA-Ergebnisse. Erstellung des Notfallvorsorgekonzepts, des Notfallhandbuchs mit Handlungsanweisungen und der Wiederanlaufpläne mit definierten Kommunikationswegen.

Ergebnis: Notfallhandbuch, Wiederanlaufpläne, Kommunikationsplan

Übungen und Tests

Woche 10–14

Planung und Durchführung von Übungen nach dem BSI-Übungskonzept: Tabletop-Übungen, funktionale Tests und Planübungen. Auswertung der Ergebnisse und Aktualisierung der Notfallpläne.

Ergebnis: Übungsberichte, aktualisierte Notfallpläne, Lessons Learned

BCM-Betrieb und BCMaaS-Übergang

Fortlaufend

Überführung in den Regelbetrieb mit Etablierung des PDCA-Zyklus. Übergabe an den internen oder externen BCM-Beauftragten und Aufsetzen der Betriebsprozesse für die fortlaufende Pflege des BCM.

Ergebnis: Betriebshandbuch, BCMaaS-Vertrag, PDCA-Dokumentation

Zeitangaben beziehen sich auf ein Erstprojekt im Mittelstand (100–500 Mitarbeiter) mit Zielstufe Aufbau-BCMS. Bei bestehendem IT-Grundschutz verkürzen sich die Phasen entsprechend.

Erfahrung und Qualifikation

Worauf SECURAM aufbaut

SECURAM Consulting wurde in Hamburg gegründet und berät seit mehr als 20 Jahren mittelständische Unternehmen in der DACH-Region. Die Kombination aus ISMS, BCMS, KI-Governance und Risikomanagement unter einem Dach unterscheidet SECURAM von spezialisierten Einzelnorm-Beratungen, weil Überschneidungen zwischen Standards systematisch genutzt werden.

30+
Implementierte Managementsysteme
50+
Durchgeführte interne Audits
15+
Betreute Organisationen (aaS)
20+
Jahre Beratungserfahrung

Skalierung

Vom BSI-Standard zur internationalen Zertifizierung

BSI 200-4 als methodischer Einstieg, ISO 22301 als zertifizierbarer internationaler Standard, ITSCM für die IT-spezifische Geschäftskontinuität.

Organisationen, die mit BSI 200-4 einsteigen, können BIA-Ergebnisse und Notfallkonzepte beim Aufstieg auf ISO 22301 wiederverwenden. Von BSI 200-4 zu ITSCM baut die IT-spezifische Planung auf bestehenden BCM-Strukturen auf.

Weitere Standards in der BCMS-Säule
Notfallmanagement

Laufender Betrieb

BCMaaS — Externer BCM-Beauftragter

Nach der Implementierung des BSI 200-4 beginnt der laufende BCM-Betrieb: BIA-Aktualisierung, Durchführung von Übungen, Pflege des Notfallhandbuchs und Abstimmung mit dem IT-Grundschutz. Nicht jede Organisation kann diese Aufgaben dauerhaft intern besetzen.

Mit BCMaaS stellt SECURAM einen externen BCM-Beauftragten, der die Verantwortung für den fortlaufenden BCMS-Betrieb übernimmt. Das Modell eignet sich besonders für Organisationen, die die BSI-200-4-Implementierung abgeschlossen haben und das System ohne dauerhafte interne Besetzung fortführen wollen.

  • Wahrnehmung der Rolle des BCM-Beauftragten
  • Pflege der BIA und Aktualisierung der Notfallpläne
  • Planung und Durchführung von Übungen nach BSI-Übungskonzept
  • Abstimmung der BCM-Dokumentation mit IT-Grundschutz
  • Berichterstattung an die Geschäftsleitung

SECURAM Consulting ist Mitglied der BSI-Allianz für Cybersicherheit, bei ISACA, Bitkom, der IHK Kiel und im Netzwerk Hamburg@work.

Häufige Fragen

FAQ — BSI 200-4

BSI-Standard 200-4 ist die nationale Methodik des Bundesamts für Sicherheit in der Informationstechnik für Business Continuity Management. Als Nachfolger des BSI 100-4 beschreibt der Standard ein strukturiertes Vorgehen zum Aufbau und Betrieb eines BCM mit drei Reifegradstufen: Reaktiv-BCMS, Aufbau-BCMS und Standard-BCMS. Der Standard ist Teil der IT-Grundschutz-Familie und ergänzt die Standards BSI 200-1 und 200-2 um den Bereich Geschäftskontinuität und Notfallmanagement.
BSI 200-4 ist relevant für Bundesbehörden, die den Umsetzungsplan Bund (UP Bund) einhalten müssen, für Betreiber kritischer Infrastrukturen nach dem KRITIS-Dachgesetz sowie für Organisationen, die bereits BSI IT-Grundschutz einsetzen und ihr BCM in die bestehende Sicherheitsarchitektur integrieren wollen. Auch Organisationen, die eine methodische Grundlage bevorzugen, bevor sie eine internationale Zertifizierung nach ISO 22301 anstreben, profitieren vom Stufenmodell des BSI 200-4.
Die Kosten richten sich nach dem gewählten Reifegrad (Reaktiv, Aufbau oder Standard), dem Umfang der zeitkritischen Geschäftsprozesse und dem bestehenden Dokumentationsstand. Pauschalpreise wären unseriös. Eine Reifegradanalyse mit initialer BIA liefert innerhalb von zwei bis drei Wochen eine belastbare Aufwandsschätzung in Personentagen. SECURAM arbeitet auf Tagessatzbasis, sodass der Aufwand transparent bleibt und Sie die Steuerung behalten.
BSI 200-4 ist ein nationales Umsetzungsrahmenwerk mit konkreten Vorgehensweisen und einem Stufenmodell für den schrittweisen BCM-Einstieg. ISO 22301 ist ein zertifizierbarer internationaler Standard, der Anforderungen an das Managementsystem definiert. BSI 200-4 bietet keine eigenständige Zertifizierung, kann aber als methodische Grundlage für eine spätere ISO-22301-Zertifizierung dienen. Die BIA-Ergebnisse und Notfallkonzepte aus BSI 200-4 lassen sich beim Aufstieg auf ISO 22301 weitgehend wiederverwenden.
Ein Notfallkonzept nach BSI 200-4 besteht aus mehreren Dokumenten: dem Notfallvorsorgekonzept mit präventiven Maßnahmen, der Business Impact Analyse mit Identifikation zeitkritischer Prozesse, den BC-Strategien zur Absicherung dieser Prozesse, dem Notfallhandbuch mit konkreten Handlungsanweisungen für den Ernstfall sowie dem Übungskonzept zur regelmäßigen Validierung der Notfallpläne. In unseren Projekten ergänzen wir diese Kerndokumente um Kommunikationspläne und Wiederanlauf-Checklisten.
BSI 200-4 bietet keine eigenständige Zertifizierung. Allerdings kann eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz die Anforderungen des BSI 200-4 mit abdecken, wenn das BCM in den IT-Grundschutz-Verbund integriert wird. Organisationen, die eine eigenständige BCM-Zertifizierung anstreben, wechseln in der Regel auf ISO 22301, wobei die nach BSI 200-4 erarbeiteten Ergebnisse als Grundlage dienen.
Die wesentlichen Änderungen betreffen drei Bereiche. Erstens führt BSI 200-4 ein dreistufiges Reifegradmodell ein (Reaktiv-BCMS, Aufbau-BCMS, Standard-BCMS), das einen schrittweisen Einstieg ermöglicht. Zweitens wurde die Verzahnung mit dem ISMS nach BSI 200-1 und 200-2 deutlich verstärkt, sodass gemeinsame Risikoanalysen und Dokumentation möglich sind. Drittens integriert der neue Standard das Krisenmanagement als eigenständige Komponente, die im BSI 100-4 nur am Rande behandelt wurde.
SECURAM verbindet BSI-200-4-Beratung mit der Erfahrung aus ISMS-Projekten nach BSI IT-Grundschutz und ISO 27001. Diese Doppelperspektive verhindert redundante Dokumentation zwischen BCM und ISMS und verkürzt den Implementierungsaufwand. Zudem bietet SECURAM mit BCMaaS den laufenden Betrieb nach der Implementierung als externen Service, sodass Organisationen das BCM ohne dauerhafte interne Besetzung fortführen können.
Das Stufenmodell des BSI 200-4 definiert drei Reifegrade für das Business Continuity Management. Das Reaktiv-BCMS bildet die Mindestanforderung mit grundlegenden Notfallmaßnahmen. Das Aufbau-BCMS erweitert den Ansatz um eine strukturierte BIA und dokumentierte Notfallpläne. Das Standard-BCMS entspricht einem vollständigen BCM-System mit regelmäßigen Übungen, Krisenmanagement und kontinuierlicher Verbesserung. Der Einstieg ist auf jeder Stufe möglich.
BCMaaS steht für Business Continuity Management as a Service. SECURAM übernimmt dabei die Rolle des externen BCM-Beauftragten und verantwortet den laufenden Betrieb des BCM nach der Implementierung. Das Modell umfasst die Pflege der BIA, die Aktualisierung der Notfallpläne, die Planung und Durchführung von Übungen sowie die Abstimmung mit dem IT-Grundschutz. BCMaaS eignet sich für Organisationen, die die Rolle nicht dauerhaft intern besetzen können oder wollen.

Bereit für BCM nach BSI 200-4?

In einem 45-minütigen Erstgespräch klären wir Ihre BCM-Stufe, den Scope und die nächsten Schritte.

Erstgespräch vereinbaren →

Nächster Schritt

Ihr Einstieg in BSI 200-4

GAP-Analyse

BSI 200-4 Reifegradanalyse

Auf welcher Stufe steht Ihr BCM? Die Reifegradanalyse mit initialer BIA liefert in zwei bis drei Wochen eine belastbare Einordnung in das Stufenmodell und den geschätzten Aufwand.

Reifegradanalyse anfragen →
Internes Audit

BCM-Audit nach BSI 200-4

SECURAM prüft Ihr BCM gegen die Anforderungen des BSI 200-4 und bewertet die Wirksamkeit Ihrer Notfallpläne, Übungsprogramme und BIA-Dokumentation als unabhängige Prüfinstanz.

Audit anfragen →
Implementierung

BSI 200-4 implementieren

Von der Business Impact Analyse über die Notfallplanung bis zum laufenden Betrieb: SECURAM übernimmt die Konzeption und begleitet den BCM-Aufbau nach BSI-Methodik.

Implementierung anfragen →

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin
SECURAM Consulting GmbH

Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen