Business Continuity Management nach BSI 200-4 für NIS-2
BCM nach BSI-Standard 200-4: Von der Business Impact Analyse bis zum Notfallhandbuch. NIS-2-Pflicht seit Dezember 2025.
Business Continuity Management (BCM) gehört zu den zehn Mindestmaßnahmen, die das NIS-2-Umsetzungsgesetz seit dem 6. Dezember 2025 von betroffenen Unternehmen fordert. § 30 Abs. 2 Nr. 3 BSIG verlangt explizit die „Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement". Trotzdem fehlt vielen mittelständischen Unternehmen ein strukturiertes Notfallmanagement – oder es beschränkt sich auf IT-Backup-Konzepte, die im Ernstfall nicht ausreichen.
Der BSI-Standard 200-4 liefert die methodische Grundlage für ein ganzheitliches BCM, das über reine IT-Wiederherstellung hinausgeht. Dieser Artikel zeigt, wie Sie Business Continuity Management nach BSI 200-4 aufbauen und gleichzeitig die NIS-2-Anforderungen erfüllen.
Was BSI-Standard 200-4 von seinen Vorgängern unterscheidet
Der BSI-Standard 200-4 ersetzt den Vorgänger BSI-Standard 100-4 (Notfallmanagement) und wurde im Juni 2023 veröffentlicht. Er wurde grundlegend überarbeitet und an aktuelle internationale Standards angeglichen, insbesondere an ISO 22301 (Business Continuity Management Systems). Die wichtigsten Neuerungen sind ein stufenweiser Einstieg über drei Ausbaustufen (Reaktiv, Aufbau, Standard), die engere Verzahnung mit dem IT-Grundschutz-Kompendium und den BSI-Standards 200-1 bis 200-3, eine stärkere Berücksichtigung von Lieferketten und Outsourcing-Abhängigkeiten sowie konkrete Vorlagen für die Business Impact Analyse (BIA) und Notfallpläne.
Die drei Ausbaustufen des BSI 200-4
Der Standard bietet einen pragmatischen Einstiegspfad, der insbesondere für den Mittelstand relevant ist:
Stufe 1: Reaktiv-BCMS
Die minimale Einstiegsstufe für Unternehmen, die bisher kein BCM haben. Sie umfasst die Identifikation der zeitkritischsten Geschäftsprozesse, grundlegende Notfallpläne für die wichtigsten Szenarien, Festlegung von Verantwortlichkeiten im Krisenfall sowie Basisübungen (Tischübungen / Tabletop Exercises).
Aufwand: Realisierbar in 4–8 Wochen. Für NIS-2-betroffene Unternehmen die empfohlene Minimalanforderung als Sofortmaßnahme.
Stufe 2: Aufbau-BCMS
Die mittlere Stufe ergänzt die reaktive Basis um eine systematische Analyse. Sie umfasst eine vollständige Business Impact Analyse (BIA), Soll-Ist-Vergleich der Wiederherstellungsfähigkeiten, dokumentierte BCM-Strategie sowie regelmäßige Tests und Übungen.
Aufwand: Typischerweise 3–6 Monate für die Implementierung.
Stufe 3: Standard-BCMS
Die vollständige Stufe entspricht den Anforderungen der ISO 22301 und umfasst ein vollständiges BCM-Managementsystem mit PDCA-Zyklus, umfassende BIA und Risikoanalyse, detaillierte Wiederherstellungspläne für alle kritischen Prozesse, regelmäßige Übungen (mindestens jährlich), Management-Reviews und kontinuierliche Verbesserung sowie Integration mit dem ISMS (ISO 27001 / IT-Grundschutz).
Aufwand: 6–12 Monate für die Erstimplementierung, danach laufende Pflege.
Die Business Impact Analyse: Kern des BCM
Die Business Impact Analyse (BIA) ist das zentrale Instrument des BCM nach BSI 200-4. Sie beantwortet die Frage: Welche Geschäftsprozesse sind zeitkritisch, und wie lange darf ein Ausfall maximal dauern?
Schritt 1: Geschäftsprozesse identifizieren
Erfasse alle wesentlichen Geschäftsprozesse des Unternehmens. Im Mittelstand sind das typischerweise 15–30 Prozesse, aufgeteilt in Kernprozesse (Produktion, Vertrieb, Kundenservice), Unterstützungsprozesse (IT, Personal, Finanzen) und Managementprozesse (Strategie, Compliance, Controlling).
Schritt 2: Schadensanalyse durchführen
Für jeden Prozess wird bewertet, welcher Schaden bei Ausfall entsteht – und zwar über die Zeit. Die relevanten Schadenskategorien sind finanzielle Schäden (Umsatzausfall, Vertragsstrafen), Reputationsschäden (Kundenverlust, Medienberichterstattung), regulatorische Konsequenzen (Bußgelder, Aufsichtsmaßnahmen) und Personenschäden (bei KRITIS und Gesundheitswesen).
Schritt 3: Zeitparameter festlegen
Aus der Schadensanalyse werden die zentralen Zeitparameter abgeleitet:
| Parameter | Bedeutung | Beispiel |
|---|---|---|
| MTPD (Maximum Tolerable Period of Disruption) | Maximale Ausfallzeit, bevor existenzbedrohende Schäden eintreten | 72 Stunden |
| RTO (Recovery Time Objective) | Zielzeit für die Wiederherstellung des Prozesses | 24 Stunden |
| RPO (Recovery Point Objective) | Maximaler akzeptabler Datenverlust (zeitlich) | 4 Stunden |
| MBCO (Minimum Business Continuity Objective) | Minimales Leistungsniveau im Notbetrieb | 60 % Kapazität |
Schritt 4: Ressourcen identifizieren
Für jeden zeitkritischen Prozess wird ermittelt, welche Ressourcen für die Wiederherstellung erforderlich sind: IT-Systeme und Anwendungen, Personal (Schlüsselpersonen), Räumlichkeiten und Infrastruktur, externe Dienstleister und Lieferanten sowie Daten und Dokumente.
Von der BIA zur BCM-Strategie
Die BIA-Ergebnisse bilden die Grundlage für die BCM-Strategie. Diese definiert, mit welchen Maßnahmen die identifizierten Risiken adressiert werden. Typische Strategieoptionen sind die Redundanz kritischer Systeme und Infrastruktur, Ausweichstandorte und Homeoffice-Fähigkeit, vertragliche Vereinbarungen mit Wiederherstellungsdienstleistern, Versicherungen (Betriebsunterbrechung, Cyberversicherung) sowie manuelle Rückfallverfahren für den Notbetrieb.
BCM und NIS-2: Was das Gesetz konkret verlangt
Das NIS-2-Umsetzungsgesetz fordert in § 30 Abs. 2 Nr. 3 BSIG die „Aufrechterhaltung des Betriebs". Diese Anforderung umfasst laut Gesetzesbegründung und BSI-Interpretation mehrere Teilaspekte. Mehr zu allen 10 Mindestmaßnahmen im Artikel NIS-2-Mindestmaßnahmen nach § 30 BSIG.
Backup-Management umfasst regelmäßige, getestete Datensicherungen, Backup-Konzept mit definierten RPOs, die sichere Aufbewahrung von Backups (räumlich getrennt, verschlüsselt) sowie regelmäßige Wiederherstellungstests.
Wiederherstellung nach einem Notfall beinhaltet dokumentierte Wiederherstellungspläne mit definierten RTOs, Notfallpläne für die wichtigsten Ausfallszenarien (Cyberangriff, Systemausfall, Standortausfall) und getestete Wiederherstellungsprozeduren.
Krisenmanagement umfasst eine definierte Krisenorganisation mit klaren Verantwortlichkeiten, Kommunikationspläne (intern und extern), einen Eskalationsprozess und die Anbindung an die NIS-2-Meldepflichten (24h-Erstmeldung, 72h-qualifizierte Meldung). Details zur Krisenkommunikation finden Sie im Artikel Krisenkommunikation bei Cyberangriff.
BCM im Zusammenspiel mit dem ISMS
Business Continuity Management steht nicht isoliert, sondern ist eng mit dem Informationssicherheits-Managementsystem verzahnt. ISO 27001:2022 adressiert BCM in Anhang A, Control A.5.29 (Informationssicherheit bei Störungen) und A.5.30 (IKT-Bereitschaft für Business Continuity). Der BSI-Grundschutz behandelt das Thema in den Bausteinen DER.4 (Notfallmanagement) und im übergreifenden BSI-Standard 200-4.
Für Unternehmen, die bereits ein ISMS nach ISO 27001 betreiben, ist die Integration des BCM der natürliche nächste Schritt. Die Risikoanalyse aus dem ISMS liefert Input für die BIA, und die BCM-Maßnahmen werden als Controls im ISMS dokumentiert. Mehr zur ISO 27001 Zertifizierung und den Kosten finden Sie in unserem Leitfaden.
Häufige Fehler beim BCM-Aufbau
BCM wird auf IT-Disaster-Recovery reduziert
IT-Wiederherstellung ist ein Teil des BCM – aber nicht das Ganze. Ein Cyberangriff betrifft nicht nur die IT: Kommunikationswege fallen aus, Mitarbeitende können nicht arbeiten, Kunden und Partner müssen informiert werden, regulatorische Meldepflichten greifen. Ein gutes BCM berücksichtigt all diese Dimensionen.
Pläne werden erstellt, aber nie getestet
Ein Notfallhandbuch, das im Schrank verstaubt, ist im Ernstfall wertlos. BSI 200-4 fordert mindestens jährliche Übungen – angefangen bei einfachen Tischübungen (Durchsprechen von Szenarien) bis hin zu vollständigen Simulationen. Der Erfahrungswert: Die erste Übung deckt fast immer kritische Schwachstellen auf, die in der Planungsphase übersehen wurden.
Lieferkettenabhängigkeiten werden ignoriert
NIS-2 fordert explizit die Berücksichtigung der Lieferkettensicherheit (§ 30 Abs. 2 Nr. 4 BSIG). Für das BCM bedeutet das: Wenn Ihr wichtigster IT-Dienstleister ausfällt, muss Ihr Plan eine Antwort haben. Die BIA muss externe Abhängigkeiten systematisch erfassen.
Praxisempfehlung: BCM-Aufbau in drei Phasen
Phase 1: Sofortmaßnahmen (Woche 1–4)
In dieser Phase werden die zeitkritischsten Prozesse identifiziert (Top 5), eine Krisenorganisation mit Ansprechpartnern und Kommunikationswegen aufgesetzt, ein Backup-Konzept überprüft und getestet sowie grundlegende Notfallpläne für die Szenarien Cyberangriff, Systemausfall und Standortausfall erstellt. Damit erreichen Sie mindestens Stufe 1 (Reaktiv-BCMS) und erfüllen die NIS-2-Mindestanforderungen.
Phase 2: Systematischer Aufbau (Monat 2–4)
In dieser Phase wird eine vollständige BIA durchgeführt, RTO/RPO für alle kritischen Prozesse definiert, eine BCM-Strategie mit Maßnahmenplan erstellt und eine erste Tischübung durchgeführt. Das Ergebnis entspricht Stufe 2 (Aufbau-BCMS).
Phase 3: Integration und Reifung (Monat 5–12)
In dieser Phase wird das BCM in das ISMS integriert, ein vollständiger Übungsplan erstellt und umgesetzt, das BCM mit Lieferanten-Assessment verzahnt und ein Management-Review-Prozess etabliert. Das Ergebnis entspricht Stufe 3 (Standard-BCMS) und ist kompatibel mit ISO 22301.
Häufig gestellte Fragen (FAQ)
Was ist Business Continuity Management nach BSI 200-4?
BCM nach BSI 200-4 ist ein systematischer Ansatz, um kritische Geschäftsprozesse auch bei Störungen aufrechtzuerhalten. Der Standard definiert drei Ausbaustufen (Reaktiv, Aufbau, Standard) und umfasst Business Impact Analyse, Notfallpläne, Krisenmanagement und regelmäßige Tests. Seit Juni 2023 ersetzt er den Vorgänger BSI 100-4.
Warum ist BCM seit Dezember 2025 NIS-2-Pflicht?
§ 30 Abs. 2 Nr. 3 BSIG verlangt explizit die ‘Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement’. Betroffene Unternehmen müssen dokumentieren können, wie sie bei Ausfällen (Cyberangriff, Systemausfall, Standortausfall) den Betrieb aufrechterhalten.
Was ist eine Business Impact Analyse (BIA)?
Die BIA identifiziert zeitkritische Geschäftsprozesse und bewertet deren Ausfallauswirkungen. Sie definiert vier Kennzahlen: MTPD (maximale Ausfallzeit), RTO (Wiederherstellungszeit), RPO (maximaler Datenverlust) und MBCO (Mindestleistung im Notbetrieb). Die BIA ist Grundlage für alle BCM-Maßnahmen.
Wie lange dauert der Aufbau eines BCM nach BSI 200-4?
Dreistufig: Stufe 1 (Reaktiv-BCMS) ist in 4-8 Wochen umsetzbar und erfüllt die NIS-2-Mindestanforderung. Stufe 2 (Aufbau-BCMS) mit vollständiger BIA dauert 3-6 Monate. Stufe 3 (Standard-BCMS) mit ISO-22301-Kompatibilität benötigt 6-12 Monate Erstimplementierung.
Fazit: BCM ist keine Kür, sondern NIS-2-Pflicht
Seit dem 6. Dezember 2025 ist Business Continuity Management für rund 29.500 Unternehmen in Deutschland keine optionale Verbesserung mehr, sondern gesetzliche Pflicht. Der BSI-Standard 200-4 bietet mit seinem dreistufigen Ansatz einen pragmatischen Einstieg, der auch für mittelständische Unternehmen mit begrenzten Ressourcen realisierbar ist.
Der wichtigste erste Schritt ist die BIA: Wenn Sie wissen, welche Prozesse zeitkritisch sind und wie lange ein Ausfall maximal dauern darf, haben Sie die Grundlage für alle weiteren Maßnahmen. Der zweite Schritt ist das Testen – ein Plan, der nie geübt wurde, wird im Ernstfall scheitern.
BCM professionell aufbauen
Wenn Sie Unterstützung beim Aufbau Ihres BCM brauchen – sei es als Teil einer NIS-2-Umsetzung oder als eigenständiges Projekt – begleiten wir Sie durch alle drei Phasen:
- NIS-2 prüfen: Sind Sie betroffen? Kostenlose Analyse in 5 Minuten
- NIS-2 umsetzen: BCM-Integration in NIS-2-Beratung
- BSI IT-Grundschutz: BCM nach BSI 200-4 implementieren
- Externer ISB: BCM-Aufbau und -Betrieb durch Experten
Quellen
- BSI-Standard 200-4: Business Continuity Management, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, Juni 2023
- ISO 22301:2019 – Security and resilience – Business continuity management systems – Requirements
- BSI-Gesetz (BSIG), § 30 Abs. 2 Nr. 3 „Aufrechterhaltung des Betriebs" (NIS-2-Umsetzungsgesetz)
- ISO/IEC 27001:2022, Anhang A, Controls A.5.29 und A.5.30
- BSI IT-Grundschutz-Kompendium, Baustein DER.4: Notfallmanagement
BSI IT-Grundschutz Quick-Check
5-Minuten-Entscheidungshilfe: Ist IT-Grundschutz das Richtige für Ihr Unternehmen?
Sie erhalten die Unterlagen per E-Mail. Kein Spam, jederzeit abbestellbar. Details in der Datenschutzerklärung.
- Sofort per E-Mail
- Praxiserprobte Vorlage
- Jederzeit abbestellbar