Which business processes are truly critical — and how fast must they recover after a disruption? The Business Impact Analysis answers exactly these questions. It is the foundation for every continuity plan, every disaster recovery plan and every investment decision in resilience.
ISO 27001 (A.5.30) and ISO 22301 require a systematic assessment of disruption impact. Our template follows the methodology from ISO/IEC 27031 and structures the analysis into eight practical sections.
What the template covers
Methodology describes the assessment approach: structured workshops with process owners, four impact categories, a 1-to-5 scale and derivation of MTPD, RTO and RPO from the results.
Critical processes are summarised in an overview table — each process with its owner, MTPD, RTO, RPO and priority level. This table is the centrepiece: it determines which processes need their own continuity plan.
Detailed assessments go deeper for the most critical processes. For each, the template documents dependencies (IT systems, people, suppliers, facilities), financial and operational impact over time and the minimum business continuity objective (MBCO). Three fully worked examples are included.
Resource requirements during disruption show the minimum resources needed for emergency operations — staff, systems, workstations, connectivity.
Single points of failure are explicitly named, with the current state of risk mitigation. This makes the biggest vulnerabilities transparent.
Template: Business Impact Analysis
Dokumentenkontrolle
Eigentümer: BCM-Leitung
Genehmigt von: CEO
Version: 2.0
Gültig ab: 2026-02-15
Nächste Überprüfung: 2027-02-15
Klassifizierung: Vertraulich
1. Zweck und Scope
Die Business Impact Analyse identifiziert die kritischen Geschäftsprozesse der Nordwind Logistics GmbH, quantifiziert die Auswirkung von Unterbrechungen im Zeitverlauf und definiert die Wiederherstellungsziele (RTO und RPO), die Grundlage für Continuity- und Disaster-Recovery-Pläne sind.
Scope: Alle Geschäftsprozesse der Nordwind Logistics GmbH, inklusive Hauptsitz in Hamburg und Niederlassung in Rotterdam.
2. Methodik
Die BIA folgt den Vorgaben von ISO 22301 und ISO/IEC 27031. Sie wurde zwischen dem 2026-01-20 und dem 2026-02-10 in strukturierten Workshops mit den Prozessverantwortlichen erhoben. Pro Prozess wurden bewertet:
- Finanzielle Auswirkung über vier Zeitfenster: 4 Stunden, 1 Tag, 3 Tage, 1 Woche.
- Regulatorische Auswirkung (Bußgelder, Meldepflichten, Vertragsverletzungen).
- Reputations-Auswirkung (Kundenvertrauen, mediale Aufmerksamkeit).
- Operative Auswirkung (Unfähigkeit, Kunden zu bedienen, Sicherheitsrisiken).
Jede Auswirkung wurde auf einer Skala von 1–5 bewertet. Die Werte bei 1 Woche dienten zur Ableitung der Maximum Tolerable Period of Disruption (MTPD) und zur Festlegung von Recovery Time Objective (RTO) und Recovery Point Objective (RPO) unterhalb der MTPD mit Sicherheitspuffer.
3. Kritische Prozesse
| ID | Prozess | Verantwortlich | MTPD | RTO | RPO | Priorität |
|---|---|---|---|---|---|---|
| P-01 | Sendungserfassung und -verfolgung (Kundenportal) | Operationsleitung | 8 h | 4 h | 1 h | Kritisch |
| P-02 | Disposition und Tourenplanung | Operationsleitung | 12 h | 6 h | 1 h | Kritisch |
| P-03 | Kundenrechnungsstellung | CFO | 5 Tage | 3 Tage | 24 h | Hoch |
| P-04 | Kundenservice | Vertriebsleitung | 1 Tag | 8 h | 8 h | Hoch |
| P-05 | Lohnabrechnung | HR-Leitung | 15 Tage | 7 Tage | 24 h | Mittel |
| P-06 | HR-Administration (ohne Lohnabrechnung) | HR-Leitung | 10 Tage | 5 Tage | 24 h | Mittel |
| P-07 | Einkauf und Lieferantenmanagement | Einkauf | 10 Tage | 5 Tage | 24 h | Mittel |
| P-08 | Recht und Vertragsmanagement | Legal | 30 Tage | 10 Tage | 7 Tage | Niedrig |
| P-09 | Marketing | Marketingleitung | 30 Tage | 15 Tage | 7 Tage | Niedrig |
4. Detailbewertung (Auszug — Top-3-Prozesse)
P-01 — Sendungserfassung und -verfolgung
Beschreibung: Kunden buchen Sendungen über das Online-Portal (AST-002) und verfolgen sie in Echtzeit. Der Prozess speist direkt Disposition und Kundenrechnungsstellung.
Abhängigkeiten:
- IT: AST-002 (Logistikportal SaaS), AST-001 (Kundendatenbank), AST-003 (M365), AST-010 (Firewall), Internetanbindung an Hamburg und Rotterdam.
- Personen: 4 Disponenten, 2 Kundenservice-Mitarbeitende, 1 IT-Rufbereitschaft.
- Lieferanten: Vendor X Logistics (SUP-004), AWS (SUP-001).
- Einrichtungen: Hamburg HQ (AST-016) — mit Rotterdam als Ausweichstandort.
Auswirkung im Zeitverlauf:
| Zeit | Finanziell | Regulatorisch | Reputation | Operativ | Gesamt (1–5) |
|---|---|---|---|---|---|
| 4 h | 15.000 EUR Umsatzverlust | Gering — SLA überwacht | Mittel — Kundenbeschwerden | Hoch — Lieferverzögerungen | 4 |
| 1 Tag | 80.000 EUR + SLA-Gutschriften | Mittel — SLA-Verletzung | Hoch — Social Media | Hoch — verpasste Lieferfenster | 5 |
| 3 Tage | 300.000 EUR + Kundenabwanderungsrisiko | Hoch — Vertragsverletzung | Sehr hoch — Presseberichterstattung wahrscheinlich | Sehr hoch — Logistik-Zusammenbruch | 5 |
| 1 Woche | 900.000 EUR + massive Abwanderung | Sehr hoch | Kritisch | Kritisch | 5 |
MTPD: 8 Stunden. RTO: 4 Stunden. RPO: 1 Stunde. Priorität: Kritisch.
Minimum Business Continuity Objective (MBCO): Manuelle Sendungserfassung per Telefon + Spreadsheet-Aufnahme bei 30 % Kapazität innerhalb von 2 Stunden nach erklärter Unterbrechung.
P-02 — Disposition und Tourenplanung
Beschreibung: Zuweisung von Sendungen an Fahrer und Routenoptimierung. Hängt von P-01 als Input ab.
Abhängigkeiten: AST-002, AST-007 (ERP), Routenplanungssystem (Teil des Logistikportals), Disponenten, Fahrer, Fahrzeuge.
Auswirkung im Zeitverlauf: Finanzielle Auswirkung wächst rasch — bei 1 Woche 1,2 Mio. EUR Verlust plus Vertragsstrafen. Regulatorisch: mittel (verpasste EU-Lieferpflichten für regulierte Güter). Operativ: kritisch nach 12 h.
MTPD: 12 Stunden. RTO: 6 Stunden. RPO: 1 Stunde. Priorität: Kritisch.
MBCO: Manuelle Disposition über ausgedruckte Tourenblätter aus dem letzten Backup, 50 % Normalkapazität innerhalb von 4 Stunden.
P-03 — Kundenrechnungsstellung
Beschreibung: Monatliche Rechnungserstellung und Ad-hoc-Rechnungen für Premium-Kunden. Hängt von Sendungsdaten (aus P-01) und ERP (AST-007) ab.
Abhängigkeiten: AST-007 (ERP), AST-001 (Kunden-DB), Finanzmitarbeitende, E-Mail für Rechnungsversand.
Auswirkung im Zeitverlauf: Finanzielle Auswirkung bei 1 Woche verzögert — 250.000 EUR verzögerter Umsatz, aber kein dauerhafter Verlust. Regulatorisch: niedrig. Reputation: mittel für Premium-Kunden. Operativ: niedrig.
MTPD: 5 Tage. RTO: 3 Tage. RPO: 24 Stunden. Priorität: Hoch.
MBCO: Manuelle Rechnungserstellung für die Top-20-Kunden innerhalb 1 Tag auf Basis exportierter Daten.
(Prozesse P-04 bis P-09 folgen derselben Struktur und sind im BIA-Workbook abgelegt.)
5. Ressourcenbedarf bei Unterbrechung
Um auf MBCO-Niveau während einer Unterbrechung zu arbeiten, werden mindestens folgende Ressourcen benötigt:
| Ressource | Normal | Minimum | Quelle |
|---|---|---|---|
| Disponenten | 4 | 2 | Quergeschultes Personal aus Kundenservice |
| Kundenservice-Mitarbeitende | 2 | 1 | Vertriebsleitung deckt zweite Position |
| IT-Rufbereitschaft | 1 | 1 | Rufbereitschaftsplan |
| Logistikportal (oder manuelles Fallback) | Portal | Telefon + Spreadsheet | Vorbereitetes Fallback-Kit |
| ERP | Verfügbar | Lese-Exports | Tägliche Exporte auf sicherem Share |
| Arbeitsplätze | 6 | 3 | Hot Desks + Laptops |
| Konnektivität | Glasfaser + Mobilfunk-Backup | Mobilfunk-Backup | Vorkonfigurierter 4G-Router |
| Einrichtungen | Hamburg HQ | Niederlassung Rotterdam | Niederlassung übernimmt HQ-Prozesse |
6. Identifizierte Single Points of Failure
Die BIA deckte drei Single Points of Failure auf, die nicht vollständig gemindert sind:
- Vendor X Logistics (SUP-004): Einziger SaaS-Anbieter für das Logistikportal. Minderung in Bearbeitung — Qualifizierung eines zweiten Anbieters (als RTP-008 verfolgt).
- Dispositionswissen konzentriert auf 4 Personen: Querschulungsplan für 2026-Q2 ins HR-Programm aufgenommen.
- ERP auf On-Prem-Server: HA vorhanden, aber ein RZ-Totalausfall erfordert 8 Stunden Failover zum DR-Standort. Akzeptiert angesichts der MTPD für Rechnungsstellung.
7. Verknüpfungen zu Continuity-Plänen
- P-01 und P-02 → Continuity Plan CP-01 (Logistikbetrieb).
- P-03 → Continuity Plan CP-02 (Finanzen).
- P-05 und P-06 → Continuity Plan CP-03 (HR).
- DR für alle IT-Assets → Disaster Recovery Plan DRP-01.
8. Überprüfung und nächste Schritte
- Die BIA wird jährlich und nach jeder größeren organisatorischen, technischen oder lieferantenseitigen Änderung überprüft.
- Validierung der Annahmen durch Tabletop-Übungen (nächste: 2026-05-20).
- Quartalsweiser Abgleich der RTO/RPO mit dem Disaster-Recovery-Register.
Genehmigt von Katharina Meier (CEO) am 2026-02-15.
Document control
Owner: Business Continuity Lead
Approved by: CEO
Version: 2.0
Effective date: 2026-02-15
Next review: 2027-02-15
Classification: Confidential
1. Purpose and scope
This Business Impact Analysis identifies the critical business processes of Nordwind Logistics GmbH, quantifies the impact of disruptions over time, and defines the recovery objectives (RTO and RPO) that drive the continuity plans and disaster recovery plans.
Scope: all business processes of Nordwind Logistics GmbH, including the HQ in Hamburg and the branch in Rotterdam.
2. Methodology
The BIA follows ISO 22301 and ISO/IEC 27031 guidance. It was conducted through structured workshops with process owners between 2026-01-20 and 2026-02-10. For each process, the team assessed:
- Financial impact across four time buckets: 4 hours, 1 day, 3 days, 1 week.
- Regulatory impact (fines, reporting obligations, breach of contract).
- Reputational impact (customer confidence, media attention).
- Operational impact (inability to serve customers, safety risks).
Each impact was rated on a 1–5 scale. Scores at 1 week were used to derive Maximum Tolerable Period of Disruption (MTPD) and to set Recovery Time Objectives (RTO) and Recovery Point Objectives (RPO) below the MTPD with a safety margin.
3. Critical processes
| ID | Process | Owner | MTPD | RTO | RPO | Priority |
|---|---|---|---|---|---|---|
| P-01 | Shipment booking and tracking (customer portal) | Head of Ops | 8h | 4h | 1h | Critical |
| P-02 | Dispatch and route planning | Head of Ops | 12h | 6h | 1h | Critical |
| P-03 | Customer invoicing | CFO | 5 days | 3 days | 24h | High |
| P-04 | Customer support | Head of Sales | 1 day | 8h | 8h | High |
| P-05 | Payroll | HR Lead | 15 days | 7 days | 24h | Medium |
| P-06 | HR administration (excluding payroll) | HR Lead | 10 days | 5 days | 24h | Medium |
| P-07 | Procurement and supplier management | Procurement | 10 days | 5 days | 24h | Medium |
| P-08 | Legal and contract management | Legal | 30 days | 10 days | 7 days | Low |
| P-09 | Marketing | Marketing Lead | 30 days | 15 days | 7 days | Low |
4. Detailed assessment (extract — top 3 processes)
P-01 — Shipment booking and tracking
Description: Customers book shipments through the online portal (AST-002) and track them in real time. The process feeds directly into dispatch and customer invoicing.
Dependencies:
- IT: AST-002 (logistics portal SaaS), AST-001 (customer database), AST-003 (M365), AST-010 (firewall), internet connectivity at Hamburg and Rotterdam.
- People: 4 dispatchers, 2 customer service agents, 1 IT on-call.
- Suppliers: Vendor X Logistics (SUP-004), AWS (SUP-001).
- Facilities: Hamburg HQ (AST-016) — with Rotterdam as secondary site.
Impact over time:
| Time | Financial | Regulatory | Reputational | Operational | Total (1–5) |
|---|---|---|---|---|---|
| 4h | EUR 15,000 lost revenue | Low — SLA monitored | Medium — customer complaints | High — delivery delays | 4 |
| 1 day | EUR 80,000 lost revenue + SLA credits | Medium — SLA breach | High — social media | High — missed delivery windows | 5 |
| 3 days | EUR 300,000 + customer churn risk | High — contract breach | Very high — press coverage likely | Very high — logistics collapse | 5 |
| 1 week | EUR 900,000 + major churn | Very high | Critical | Critical | 5 |
MTPD: 8 hours. RTO: 4 hours. RPO: 1 hour. Priority: Critical.
Minimum Business Continuity Objective (MBCO): Manual shipment booking via phone + spreadsheet intake at 30% capacity within 2 hours of declared disruption.
P-02 — Dispatch and route planning
Description: Assigning shipments to drivers and optimising routes. Depends on P-01 for inputs.
Dependencies: AST-002, AST-007 (ERP), route planning system (part of logistics portal), dispatchers, drivers, vehicles.
Impact over time: Financial impact grows rapidly — at 1 week, EUR 1.2M lost plus penalty clauses. Regulatory impact: moderate (missed EU delivery obligations for regulated goods). Operational impact: critical after 12h.
MTPD: 12 hours. RTO: 6 hours. RPO: 1 hour. Priority: Critical.
MBCO: Manual dispatch via printed route sheets from the last known backup, supporting 50% of normal capacity within 4 hours.
P-03 — Customer invoicing
Description: Monthly invoice generation plus ad-hoc invoicing for premium customers. Depends on shipment records (from P-01) and ERP (AST-007).
Dependencies: AST-007 (ERP), AST-001 (customer DB), finance staff, email for delivery of invoices.
Impact over time: Financial impact at 1 week is delayed — EUR 250,000 in postponed revenue but no permanent loss. Regulatory: low. Reputational: medium for premium customers. Operational: low.
MTPD: 5 days. RTO: 3 days. RPO: 24 hours. Priority: High.
MBCO: Manual invoice creation for top 20 customers within 1 day using exported data.
(Processes P-04 to P-09 follow the same structure and are stored in the BIA workbook.)
5. Resource requirements at disruption
To operate at MBCO level during a disruption, the following minimum resources are required:
| Resource | Normal | Minimum | Source |
|---|---|---|---|
| Dispatchers | 4 | 2 | Cross-trained staff from customer support |
| Customer service agents | 2 | 1 | Head of Sales covers second |
| IT on-call | 1 | 1 | On-call rota |
| Logistics portal (or manual fallback) | Portal | Phone + spreadsheet | Prepared fallback kit |
| ERP | Available | Read-only exports | Daily exports in secure share |
| Workstations | 6 | 3 | Hot desks + laptops |
| Connectivity | Fibre + mobile backup | Mobile backup | Pre-provisioned 4G router |
| Facilities | Hamburg HQ | Rotterdam branch | Branch supports HQ processes |
6. Single points of failure identified
The BIA revealed three single points of failure that are not fully mitigated:
- Vendor X Logistics (SUP-004): Sole SaaS provider for the logistics portal. Mitigation in progress — second provider qualification (tracked as RTP-008).
- Dispatch expertise concentrated in 4 people: Cross-training plan added to the HR programme for 2026-Q2.
- ERP on-prem server: HA in place, but a DC-level disaster would require 8 hours to fail over to the DR site. Accepted given MTPD of invoicing.
7. Links to continuity plans
- P-01 and P-02 → Continuity Plan CP-01 (Logistics operations).
- P-03 → Continuity Plan CP-02 (Finance).
- P-05 and P-06 → Continuity Plan CP-03 (HR).
- DR for all IT assets → Disaster Recovery Plan DRP-01.
8. Review and next steps
- Review the BIA annually and after any major organisational, technological, or supplier change.
- Validate the assumptions through tabletop exercises (next: 2026-05-20).
- Confirm RTO/RPO against the disaster recovery register quarterly.
Approved by Katharina Meier (CEO) on 2026-02-15.
Sources
- ISO/IEC 27001:2022 Annex A 5.30 — ICT readiness for business continuity
- ISO 22301:2019 — Business Continuity Management Systems
- ISO/IEC 27031:2011 — ICT Readiness for Business Continuity