Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht → Audit Begleitung as a Service GAP-Analyse Implementierung
ISMS
Übersicht → Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht → Externer KI-Beauftragter EU AI Act ISO 42001 Thema Schatten-KI
BCMS
Übersicht → Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht → Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht → Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht → Insights KI-Security Briefing
Über uns
Übersicht → Presse
+49 40-298 4553-0 [email protected]
ISO 22301 Beratung: BCMS aufbauen und zertifizieren | SECURAM
BCMS · ISO 22301:2019

ISO 22301 Beratung für Unternehmen

ISO 22301 ist die internationale Norm für Business Continuity Management. Sie verpflichtet Organisationen, kritische Geschäftsprozesse zu identifizieren, Ausfallszenarien zu bewerten und belastbare Notfallpläne zu entwickeln. Die Business Impact Analyse (BIA) bildet das methodische Fundament. SECURAM begleitet von der Anforderungsanalyse über die BIA und Notfallplanung bis zur erfolgreichen Zertifizierung und dem laufenden Betrieb als externer BCM-Beauftragter.

Erstgespräch vereinbaren Leistungsumfang ↓
22301 Business Continuity
ISMS AIMS BCMS RMS

Ausgangslage

Warum Geschäftskontinuität kein optionales Thema mehr ist

Regulatorischer Druck und reale Ausfallszenarien machen ein dokumentiertes BCMS zur betrieblichen Notwendigkeit.

ISO 22301:2019 ist die internationale Norm für Business Continuity Management Systeme (BCMS). Sie definiert Anforderungen an die Planung, den Aufbau und den laufenden Betrieb eines Systems, das Organisationen auf Betriebsunterbrechungen vorbereitet. Die Business Impact Analyse (BIA) bildet die methodische Grundlage: Sie identifiziert kritische Geschäftsprozesse, bewertet Ausfallauswirkungen und liefert die Kennzahlen für BC-Strategien und Notfallpläne. Anders als reine Notfallkonzepte verlangt die ISO 22301 ein vollständiges Managementsystem mit Governance, Übungen und kontinuierlicher Verbesserung.

Seit dem KRITIS-Dachgesetz vom 17. März 2026 müssen Betreiber kritischer Infrastrukturen nachweisen, dass sie über ein dokumentiertes System zur Aufrechterhaltung kritischer Dienstleistungen verfügen. Parallel fordert die NIS-2-Richtlinie in Artikel 21 Absatz 2 Buchstabe c Maßnahmen zur Aufrechterhaltung des Betriebs. Auch Lieferketten-Anforderungen großer Auftraggeber setzen zunehmend ein zertifiziertes BCMS voraus. Wer bisher auf informelle Notfallpläne gesetzt hat, steht vor der Aufgabe, diese in ein prüfbares System zu überführen.

In unseren Projekten sehen wir, dass Unternehmen die ISO 22301 am effizientesten aufbauen, wenn sie bestehende Managementsystem-Strukturen nutzen. Wer bereits ein ISMS nach ISO 27001 betreibt, verfügt über Risikomanagement, interne Audits und Management Reviews, die sich auf das BCMS übertragen lassen. SECURAM plant beide Systeme integriert, sodass kein doppelter Aufwand entsteht. Nach der Zertifizierung übernehmen wir auf Wunsch den laufenden Betrieb als externer BCM-Beauftragter.

Leistungsumfang

ISO 22301: Von der Analyse bis zur Zertifizierung

Strukturierter Aufbau eines BCMS in sieben Leistungsbausteinen.

01

Anforderungsanalyse und Scoping

Bestimmung des BCMS-Geltungsbereichs, Identifikation relevanter interessierter Parteien und regulatorischer Anforderungen. Klärung, welche Geschäftsprozesse in den Scope fallen und welche Standorte betroffen sind.

02

Business Impact Analyse (BIA)

Systematische Bewertung der Auswirkungen von Betriebsunterbrechungen auf kritische Geschäftsprozesse. Ermittlung von maximal tolerierbaren Ausfallzeiten (MTPD), Wiederanlaufzielen (RTO) und minimalem Leistungsumfang (MBCO).

03

BC-Strategie und Risikobehandlung

Entwicklung von Strategien zur Absicherung der kritischen Prozesse auf Basis der BIA-Ergebnisse. Auswahl geeigneter Risikobehandlungsoptionen für identifizierte Bedrohungsszenarien.

04

Notfallpläne und Wiederanlaufverfahren

Erstellung dokumentierter Notfallpläne mit konkreten Handlungsanweisungen, Eskalationswegen und Kommunikationsverfahren. Definition von Wiederanlaufverfahren für jeden kritischen Geschäftsprozess.

05

Übungs- und Testprogramm

Planung und Durchführung von BC-Übungen: Planspiele, funktionale Tests und Simulationen. Auswertung der Übungsergebnisse und Ableitung von Verbesserungsmaßnahmen für die Notfallpläne.

06

Internes Audit und Management Review

Durchführung eines internen Audits als Generalprobe für das Zertifizierungsaudit. Vorbereitung und Begleitung des Management Reviews zur Bewertung der BCMS-Wirksamkeit durch die Geschäftsleitung.

07

Zertifizierungsbegleitung

Fachliche Begleitung während des Zertifizierungsaudits durch den akkreditierten Zertifizierer. Unterstützung bei Rückfragen und Nachforderungen bis zur Zertifikatserteilung.

Ablauf

Von der Anforderungsanalyse zum BCMS-Zertifikat in 6 Phasen

Anforderungsanalyse und BIA

Woche 1–3

Festlegung des BCMS-Geltungsbereichs, Identifikation interessierter Parteien und regulatorischer Anforderungen. Parallele Durchführung der Business Impact Analyse mit Bewertung aller kritischen Geschäftsprozesse.

Ergebnis: Scope-Dokument, BIA-Report mit MTPD, RTO und MBCO

BC-Strategie und Risikobehandlung

Woche 3–6

Entwicklung von BC-Strategien auf Basis der BIA-Ergebnisse. Bewertung von Bedrohungsszenarien und Auswahl geeigneter Risikobehandlungsoptionen für jeden kritischen Prozess.

Ergebnis: BC-Strategiedokument, Risikobehandlungsplan

Notfallpläne und Wiederanlaufverfahren

Woche 6–12

Erstellung dokumentierter Notfallpläne mit Handlungsanweisungen, Eskalationswegen und Kommunikationsverfahren. Definition von Wiederanlaufverfahren und Verantwortlichkeiten für jeden kritischen Geschäftsprozess.

Ergebnis: Notfallhandbuch, Wiederanlaufverfahren, Kommunikationsplan

Übungen und Tests

Woche 10–14

Planung und Durchführung eines Übungsprogramms: Planspiele für die Krisenstabsarbeit, funktionale Tests der Wiederanlaufverfahren und Auswertung der Ergebnisse. Verbesserung der Notfallpläne auf Basis der Erkenntnisse.

Ergebnis: Übungsberichte, aktualisierte Notfallpläne

Internes Audit und Management Review

Woche 14–16

Durchführung eines internen Audits als Generalprobe für das Zertifizierungsaudit. Bewertung der BCMS-Wirksamkeit im Management Review durch die Geschäftsleitung. Nachbesserung identifizierter Schwachstellen.

Ergebnis: Audit-Bericht, Management-Review-Protokoll, Maßnahmenplan

Zertifizierungsvorbereitung und BCMaaS-Übergang

Woche 16–20 / fortlaufend

Finale Vorbereitung der Zertifizierungsdokumentation und fachliche Begleitung während des Zertifizierungsaudits. Nach erfolgreicher Zertifizierung Übergang in den laufenden Betrieb mit SECURAM als externem BCM-Beauftragten für BIA-Updates, Übungen und Überwachungsaudits.

Ergebnis: ISO-22301-Zertifikat, BCMaaS-Vertrag für laufenden Betrieb

Zeitangaben beziehen sich auf ein Erstprojekt im Mittelstand (100–500 Mitarbeiter) ohne bestehendes BCMS. Bei vorhandenem ISO-27001-zertifiziertem ISMS verkürzt sich der Zeitraum auf 3 bis 4 Monate, weil Risikomanagement und Audit-Strukturen bereits etabliert sind.

Erfahrung und Qualifikation

Worauf SECURAM aufbaut

SECURAM Consulting wurde in Hamburg gegründet und berät seit mehr als 20 Jahren mittelständische Unternehmen in der DACH-Region. Die Kombination aus ISMS, BCMS, KI-Governance und Risikomanagement unter einem Dach unterscheidet SECURAM von spezialisierten Einzelnorm-Beratungen, weil Überschneidungen zwischen Standards systematisch genutzt werden.

30+
Implementierte Managementsysteme
50+
Durchgeführte interne Audits
15+
Betreute Organisationen (aaS)
20+
Jahre Beratungserfahrung

Skalierung

ISO 22301 im Kontext der BCMS-Strategie

Vom nationalen Einstieg über die internationale Norm bis zur IT-spezifischen Kontinuität. SECURAM plant Ihr BCMS von Anfang an erweiterungsfähig.

ISO 22301 und ISO 27001 teilen die High Level Structure der ISO. Ein integriertes Managementsystem vermeidet doppelte Dokumentation und senkt den Aufwand für das zweite Zertifikat um 30 bis 40 Prozent.

Weitere Standards in der BCMS-Säule
Notfallmanagement Schwachstellenmanagement

Laufender Betrieb

BCMaaS — Externer BCM-Beauftragter

Nach der erfolgreichen ISO-22301-Zertifizierung muss das BCMS dauerhaft betrieben, gepflegt und weiterentwickelt werden. Jährliche Überwachungsaudits durch den Zertifizierer verlangen den Nachweis eines lebendigen Systems. SECURAM übernimmt diese Aufgabe als externer BCM-Beauftragter (BCMaaS) und stellt sicher, dass Ihr Zertifikat nicht verfällt.

Für Organisationen, die keinen eigenen BCM-Beauftragten beschäftigen, ist das Modell wirtschaftlich sinnvoll: Sie erhalten die Fachkompetenz eines erfahrenen BCM-Spezialisten, ohne eine Vollzeitstelle besetzen zu müssen. Die Vorbereitung auf Überwachungsaudits und Re-Zertifizierung ist im laufenden Betrieb bereits enthalten.

  • Laufende Aktualisierung der Business Impact Analyse bei Veränderungen in der Organisation
  • Regelmäßige Überprüfung und Aktualisierung der Notfallpläne
  • Planung und Durchführung des jährlichen Übungsprogramms
  • Vorbereitung und Begleitung von Überwachungsaudits und Re-Zertifizierung

SECURAM Consulting ist Mitglied der BSI-Allianz für Cybersicherheit, bei ISACA, Bitkom, der IHK Kiel und im Netzwerk Hamburg@work.

Häufige Fragen

FAQ — ISO 22301

ISO 22301 ist die internationale Norm für Business Continuity Management Systeme (BCMS). Sie definiert Anforderungen an Planung, Aufbau, Betrieb und Verbesserung eines Systems, das Organisationen auf Betriebsunterbrechungen vorbereitet. Die aktuelle Fassung ISO 22301:2019 verlangt eine systematische Business Impact Analyse (BIA), darauf aufbauende BC-Strategien, dokumentierte Notfallpläne und regelmäßige Übungen. Die Zertifizierung erfolgt durch akkreditierte Zertifizierungsstellen und ist drei Jahre gültig mit jährlichen Überwachungsaudits.
In unseren Projekten rechnen wir bei Organisationen ohne bestehendes BCMS mit 5 bis 8 Monaten vom Kick-off bis zum Zertifizierungsaudit. Unternehmen, die bereits ein ISO-27001-zertifiziertes ISMS betreiben, können den Zeitraum auf 3 bis 4 Monate verkürzen, weil Risikomanagement, interne Audits und Management Reviews bereits etabliert sind. Die größte Zeitinvestition entfällt auf die Business Impact Analyse und die Erstellung der Notfallpläne.
Die Kosten hängen vom Scope, der Anzahl kritischer Geschäftsprozesse und dem vorhandenen Reifegrad ab. Ein Unternehmen mit 200 Mitarbeitern und fünf kritischen Prozessen hat einen anderen Aufwand als ein Konzern mit 20 Standorten. Pauschalpreise wären unseriös. Eine Anforderungsanalyse liefert innerhalb von ein bis zwei Wochen eine belastbare Aufwandsschätzung. SECURAM arbeitet auf Tagessatzbasis, sodass Sie die Kostenkontrolle behalten.
SECURAM behandelt Business Continuity nicht als isoliertes Projekt, sondern als Teil der Managementsystem-Strategie. Wer bereits ein ISMS nach ISO 27001 betreibt, nutzt die strukturellen Überschneidungen bei Risikomanagement, internen Audits und Management Reviews. Zusätzlich deckt SECURAM auch NIS-2, KRITIS-Dachgesetz und IT Service Continuity ab, sodass Unternehmen mit mehreren regulatorischen Anforderungen nur einen Berater brauchen. Nach der Zertifizierung übernimmt SECURAM auf Wunsch den laufenden Betrieb als externer BCM-Beauftragter.
Die Business Impact Analyse ist die methodische Grundlage jedes BCMS nach ISO 22301. Sie identifiziert die kritischen Geschäftsprozesse einer Organisation und bewertet die Auswirkungen eines Ausfalls über die Zeit. Ergebnis der BIA sind maximal tolerierbare Ausfallzeiten (MTPD), Wiederanlaufziele (RTO) und der minimale Leistungsumfang im Notfall (MBCO). Auf diesen Kennzahlen bauen BC-Strategien und Notfallpläne auf. Ohne saubere BIA fehlt dem gesamten BCMS die sachliche Grundlage.
NIS-2 fordert in Artikel 21 Absatz 2 Buchstabe c ausdrücklich Maßnahmen zur Aufrechterhaltung des Betriebs, einschließlich Backup-Management und Wiederherstellung nach einem Notfall. Eine ISO-22301-Zertifizierung ist kein formales Pflichtkriterium, liefert aber den strukturierten Nachweis, dass diese Anforderungen erfüllt sind. Für Unternehmen, die unter NIS-2 fallen und gleichzeitig ein BCMS aufbauen wollen, ist die Zertifizierung der effizienteste Weg zur Nachweisführung gegenüber dem BSI.
ISO 22301 ist eine internationale, zertifizierbare Norm mit Anforderungen an ein vollständiges BCMS. BSI 200-4 ist ein deutscher Leitfaden des Bundesamts für Sicherheit in der Informationstechnik, der den Aufbau eines Business Continuity Management Systems beschreibt, aber keine eigenständige Zertifizierung bietet. BSI 200-4 eignet sich als Einstieg und orientiert sich inhaltlich an der ISO 22301, geht bei der Methodik aber eigene Wege. Wer international agiert oder eine Zertifizierung anstrebt, wählt die ISO 22301.
Ja, und SECURAM empfiehlt diese Kombination ausdrücklich. Beide Normen folgen der High Level Structure (HLS) der ISO und teilen zentrale Elemente: Kontext der Organisation, Risikomanagement, interne Audits, Management Review und kontinuierliche Verbesserung. Ein integriertes Managementsystem vermeidet doppelte Dokumentation und doppelte Audits. In der Praxis bedeutet das, dass rund 30 bis 40 Prozent des Aufwands für das zweite System entfallen, weil die Strukturen bereits stehen. SECURAM plant ISO 27001 und ISO 22301 von Beginn an als integriertes System.
Das KRITIS-Dachgesetz vom 17. März 2026 erweitert die Pflichten für Betreiber kritischer Infrastrukturen um physische Resilienz und Business Continuity. Betreiber müssen nachweisen, dass sie über ein dokumentiertes System zur Aufrechterhaltung kritischer Dienstleistungen verfügen. Ein BCMS nach ISO 22301 liefert diesen Nachweis strukturiert. Für Unternehmen, die bereits unter die bisherige KRITIS-Regulierung fallen, bedeutet das Dachgesetz zusätzliche Anforderungen an Notfallplanung und Wiederanlaufverfahren.
BCMaaS steht für Business Continuity Management as a Service. SECURAM übernimmt dabei die Rolle des externen BCM-Beauftragten und verantwortet den laufenden Betrieb des BCMS nach der Zertifizierung. Das umfasst die Aktualisierung der Business Impact Analyse, die Pflege der Notfallpläne, die Planung und Durchführung von Übungen sowie die Vorbereitung auf Überwachungsaudits. Das Modell eignet sich für Organisationen, die kein eigenes BCM-Personal vorhalten, aber ein zertifiziertes System dauerhaft betreiben müssen.

BCMS-Projekt starten

Klären Sie in einem Erstgespräch Scope, Zeitrahmen und Aufwand für Ihr ISO-22301-Projekt.

Erstgespräch vereinbaren →

Nächster Schritt

Ihr Einstieg in die ISO-22301-Zertifizierung

GAP-Analyse

ISO 22301 GAP-Analyse

Systematischer Abgleich Ihres Ist-Zustands gegen die Anforderungen der ISO 22301. Sie erhalten einen priorisierten Maßnahmenplan mit Aufwandsschätzung.

GAP-Analyse anfragen →
Internes Audit

Internes Audit nach ISO 22301

Generalprobe vor dem Zertifizierungsaudit. SECURAM prüft als unabhängige Instanz, ob Ihr BCMS zertifizierungsreif ist.

Audit anfragen →
Implementierung

ISO 22301 implementieren

Vom BIA-Workshop über Notfallpläne bis zum Zertifizierungsaudit. SECURAM begleitet den gesamten Weg zum BCMS-Zertifikat.

Implementierung anfragen →

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin
SECURAM Consulting GmbH

Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen