Ein Logistik-Dienstleister verliert durch einen Ransomware-Vorfall vier Tage Zugriff auf das Auftrags-System. Die Geschäftsleitung sucht den Notfallplan — er existiert als 80-seitiges PDF aus 2021, mit Telefonnummern von Mitarbeitenden, die das Unternehmen verlassen haben. Die manuelle Auftragsabwicklung über Excel funktioniert für maximal einen Tag. Ein BCMS, das nur auf Papier existiert, ist im Ernstfall wertlos.
ISO 22301:2019 ist der internationale Standard für Business-Continuity-Management-Systeme (BCMS). Der Standard definiert Anforderungen an Aufbau, Betrieb, Überwachung und Verbesserung eines BCMS, mit dem eine Organisation auf Störungen vorbereitet ist und kritische Aktivitäten innerhalb akzeptabler Zeit wieder aufnehmen kann.
Was umfasst der Standard?
ISO 22301 folgt der gleichen High-Level-Struktur (HLS) wie ISO 27001 — zehn Klauseln, die ein Managementsystem definieren. Damit lässt sich ein BCMS gut mit einem ISMS oder einem Qualitätsmanagement-System nach ISO 9001 integrieren.
Die zehn Klauseln im Hauptteil
- Klauseln 1–3 — Anwendungsbereich, normative Verweisungen, Begriffe.
- Klausel 4 — Kontext der Organisation: interne und externe Themen, Anforderungen interessierter Parteien, BCMS-Geltungsbereich.
- Klausel 5 — Führung: Verpflichtung der obersten Leitung, BCM-Politik, Rollen und Verantwortlichkeiten.
- Klausel 6 — Planung: Risiken und Chancen, BC-Ziele, Planung von Änderungen.
- Klausel 7 — Unterstützung: Ressourcen, Kompetenz, Bewusstsein, Kommunikation, dokumentierte Information.
- Klausel 8 — Betrieb: Business-Impact-Analyse, Risikobeurteilung, BC-Strategien und -Lösungen, BC-Pläne und -Verfahren, Übungs-Programm.
- Klausel 9 — Bewertung der Leistung: Überwachung, Internes Audit, Management-Review.
- Klausel 10 — Verbesserung: Korrekturmaßnahmen und kontinuierliche Verbesserung.
Klausel 8 im Detail — der operative Kern
Anders als bei ISO 27001 enthält ISO 22301 keinen Annex mit Kontrollen. Stattdessen ist Klausel 8 ausführlich und beschreibt die operativen Bausteine eines BCMS:
- Business-Impact-Analyse (BIA): Identifikation kritischer Aktivitäten, Bewertung von Ausfall-Folgen über Zeit, Festlegung von MTPD und RTO.
- Risikobeurteilung: Bewertung der Risiken, die kritische Aktivitäten unterbrechen können (typisch komplementär zur ISMS-Risikobeurteilung).
- BC-Strategien und -Lösungen: Auswahl von Maßnahmen für Personal, Standorte, IT, Lieferanten und Stakeholder-Kommunikation.
- BC-Pläne und -Verfahren: dokumentierte Reaktion auf Vorfälle, Aktivierungs-Kriterien, Eskalationswege, Notfall-Kontakte.
- Übungs-Programm: Tabletop-Übungen, technische Failover-Tests, vollständige Simulationen mit dokumentierter Auswertung.
Zertifizierungsprozess
Der Zertifizierungsablauf entspricht ISO 27001:
Stage 1 — Dokumentenprüfung. Geltungsbereich, BC-Politik, BIA-Methodik, Risikobeurteilung, BC-Pläne, Übungs-Programm. Dauer: 1–3 Tage.
Stage 2 — Vor-Ort-Audit. Wirksamkeitsprüfung. Auditoren befragen Stakeholder aus Geschäftsbereichen, sichten Übungs-Protokolle, prüfen die Verzahnung von BIA und BC-Plänen. Dauer: 2–8 Tage.
Überwachungs- und Rezertifizierungs-Audits. Drei-Jahres-Zyklus mit jährlichen Überwachungs-Audits.
Voraussetzungen vor Stage 1:
- Vollständige BIA und Risikobeurteilung dokumentiert
- BC-Pläne für alle kritischen Aktivitäten erstellt
- Mindestens eine Übung mit dokumentierter Auswertung durchgeführt
- Internes Audit über den vollen Geltungsbereich abgeschlossen
- Mindestens ein Management-Review mit BCMS-Bezug erfolgt
Mapping zu anderen Standards
| Standard | Verhältnis zu ISO 22301 |
|---|---|
| ISO/IEC 27001:2022 | Annex-A-Kontrollen A.5.29 und A.5.30 decken IS-Aspekte des BCM ab |
| ISO 22313:2020 | Umsetzungs-Leitfaden zu ISO 22301; nicht zertifizierbar |
| ISO 22317:2021 | Leitfaden für Business-Impact-Analyse |
| ISO 22318:2021 | Leitfaden für Lieferketten-Continuity |
| ISO/IEC 27031 | IKT-Bereitschaft für Geschäftskontinuität (Disaster Recovery) |
| BSI Standard 200-4 | Business Continuity Management nach BSI |
| NIST SP 800-34 | Contingency Planning Guide for Federal Information Systems |
| DORA (EU) | Digital Operational Resilience Act; verlangt BCM-Elemente für Finanzsektor |
Implementierungs-Aufwand
KMU (10–50 Personen): 6–9 Monate Aufbau, 0,2–0,4 FTE für Betrieb. Häufig kombiniert mit ISMS-Verantwortung.
Mittelstand (50–500 Personen): 9–15 Monate Aufbau, 0,5–1 FTE für Betrieb. BC-Manager-Rolle als Vollzeit oder als Schwerpunkt einer kombinierten Stelle.
Konzern (>500 Personen): 12–24 Monate Aufbau bei mehreren Standorten oder verteilten Geschäftsprozessen. Mehrere FTEs mit dezentraler Verantwortung pro Geschäftseinheit.
Wesentliche Kostentreiber neben dem ISMS-Aufbau:
- Redundanz-Investitionen (Zweit-Standort, Cloud-Failover, Ersatz-Hardware)
- Übungs-Aufwand (Stunden der Beteiligten plus externe Moderation für Krisensimulationen)
- Externe BIA-Workshops, wenn intern keine Methoden-Erfahrung vorhanden ist
Verwandte Standards
- ISO/IEC 27001: Komplementärer ISMS-Standard mit BCM-Bezug in A.5.29/A.5.30.
- ISO/IEC 27002: Umsetzungs-Hinweise zu A.5.30 (IKT-Bereitschaft für Geschäftskontinuität).
- ISO/IEC 27005: Risikomanagement-Methodik, ergänzt die BCMS-Risikobeurteilung.
- BSI IT-Grundschutz: BSI Standard 200-4 als deutsches BCM-Pendant.
Quellen
- ISO 22301:2019 (ISO Online Browsing Platform) — offizielle Norm-Information
- ISO 22313:2020 — Leitfaden zur Umsetzung
- Beuth Verlag — deutsche Übersetzung als DIN EN ISO 22301 (kostenpflichtig)
- BSI Standard 200-4 — deutsches BCM-Modell (kostenfrei)