BCM: im Notfall weitermachen! Was NIS-2 wirklich verlangt
Business Continuity Management, kurz BCM, klingt erst einmal nach einem Thema für sehr große Unternehmen mit Krisenstab, Lagezentrum und Notfallordnern im Schrank. Das greift zu kurz. Unter NIS-2 ist BCM ein ganz praktisches Thema: Wie stellen Sie sicher, dass Ihr Unternehmen auch dann handlungsfähig bleibt, wenn etwas Ernstes passiert? Das BSI beschreibt BCM genau in dieser Logik als Fähigkeit, auch in Ausnahmesituationen handlungsfähig zu bleiben, mit Strukturen und Prozessen für schnelle, koordinierte und wirksame Reaktion.
Die kurze Antwort
NIS-2 verlangt nicht nur technische Schutzmaßnahmen gegen Angriffe. Die Richtlinie nennt ausdrücklich Business Continuity, einschließlich Backup-Management und Disaster Recovery, sowie Krisenmanagement als Teil der Risikomanagementmaßnahmen. BCM ist damit kein freundliches Extra, sondern ein fester Bestandteil dessen, was betroffene Unternehmen organisatorisch aufbauen müssen.
BCM ist nicht einfach „wir haben Backups“
Das ist einer der häufigsten Denkfehler. Backups sind wichtig, aber BCM ist deutlich breiter. Es geht nicht nur darum, Daten wiederherstellen zu können, sondern darum, kritische Leistungen und Prozesse trotz eines Störfalls weiterzuführen oder zumindest geordnet wieder anlaufen zu lassen. ISO 22301 beschreibt BCM genau als Rahmen, um sich auf Störungen vorzubereiten, ihre Auswirkungen zu reduzieren und die Wiederherstellung sicherzustellen.
Worum es bei BCM wirklich geht
Die praktische Leitfrage lautet: Was muss in Ihrem Unternehmen im Notfall weiterlaufen oder sehr schnell wieder funktionieren? Genau dort beginnt BCM. Nicht bei einer allgemeinen Katastrophenromantik, sondern bei den wirklich kritischen Prozessen, Systemen, Informationen, Abhängigkeiten und Ansprechpartnern. ISO 22301 beschreibt dafür ausdrücklich Planung, Aufbau, Betrieb, Überwachung, Review, Aufrechterhaltung und kontinuierliche Verbesserung eines dokumentierten Managementsystems.
Nicht nur IT-Ausfälle sind ein BCM-Thema
Wer BCM nur als Rechenzentrums- oder Serverthema denkt, denkt zu klein. BCM ist relevant bei Stromausfall, Ausfall von Cloud-Diensten, Telekommunikationsproblemen, kompromittierten Konten, Ransomware, Ausfall wichtiger Mitarbeiter, Unzugänglichkeit von Gebäuden oder Störungen in Lieferketten. Genau deshalb führt ENISA in der NIS-2-Umsetzungsleitlinie Business Continuity und Crisis Management neben Incident Handling, Supply Chain Security und anderen Maßnahmen als eigenes Pflichtfeld.
Der Kern von BCM: vorher denken, nicht nachher improvisieren
Ein Unternehmen ohne BCM hofft im Ernstfall oft, dass die Leute schon irgendetwas Vernünftiges tun. Das kann funktionieren. Es ist aber keine belastbare Strategie. BCM bedeutet, dass wichtige Fragen vorher geklärt werden: Wer entscheidet? Welche Leistungen haben Vorrang? Wie lange darf etwas ausfallen? Welche Ersatzwege gibt es? Wie wird intern und extern kommuniziert? Genau darin liegt der eigentliche Wert: weniger Improvisation, mehr Handlungsfähigkeit. Das entspricht sowohl der BSI-Beschreibung von BCM als auch dem Managementsystemgedanken von ISO 22301.
Ohne Prioritäten wird BCM schnell weichgespült
Ein häufiger Fehler ist, im BCM einfach alles für wichtig zu erklären. Das hilft nicht. Wenn im Notfall alles Priorität 1 hat, hat in Wahrheit nichts Priorität. Ein belastbarer BCM-Ansatz braucht deshalb eine ehrliche Sicht auf kritische Geschäftsprozesse, tolerierbare Ausfallzeiten und notwendige Wiederanlaufziele. Genau dieser Gedanke steckt auch in ISO 22301: Organisationen sollen Risiken identifizieren, sich vorbereiten und Wiederherstellungszeiten verbessern.
BCM ist keine neue Erfindung
Das Konzept des Business Continuity Managements existiert schon lange. Unternehmen können bewährte Methoden und Normen wie ISO 27001, TISAX® oder speziell ISO 22301 nutzen, die sich ausschließlich mit BCM beschäftigt. Das bedeutet, niemand muss bei null anfangen – es gibt bewährte Strukturen, auf die aufgebaut werden kann.
BCM braucht klare Rollen
Ein Notfallplan ohne klare Zuständigkeiten ist meistens nur Papier. Im Ernstfall muss klar sein, wer den Vorfall bewertet, wer den Wiederanlauf steuert, wer mit Dienstleistern spricht, wer intern kommuniziert und wer Geschäftsentscheidungen trifft. Genau deshalb gehört BCM nicht nur in die IT. Es ist immer auch Führungs- und Organisationsarbeit. Das BSI beschreibt BCM ausdrücklich als strukturierte und koordinierte Reaktion auf Ausnahmesituationen.
Lieferanten und Cloud-Abhängigkeiten gehören mit auf den Tisch
Viele Unternehmen merken erst im Störfall, wie abhängig sie von einzelnen Dienstleistern, Plattformen oder Standorten wirklich sind. BCM ohne diese Abhängigkeiten bleibt lückenhaft. Wer sich nur auf die eigenen Systeme konzentriert, aber kritische Cloud-Dienste, Kommunikationsanbieter oder externe Betriebsleistungen ausblendet, baut kein belastbares BCM. Dass ENISA BCM im NIS-2-Kontext gemeinsam mit Supply Chain Security und anderen Resilienzmaßnahmen adressiert, ist genau deshalb logisch.
Ein BCM-Plan, der nie getestet wurde, ist nur Theorie
Das ist einer der wichtigsten Punkte überhaupt. Ein BCM-Konzept sieht auf dem Papier schnell ordentlich aus. Die entscheidende Frage ist aber, ob es unter Druck trägt. Wenn Sie nie geprüft haben, ob Ihr Notfallarbeitsplatz funktioniert, ob Kommunikationswege belastbar sind, ob Backups wirklich wiederherstellbar sind oder ob die Verantwortlichen ihren Teil kennen, ist das Konzept bestenfalls eine Vermutung. ISO 22301 betont deshalb ausdrücklich das Überwachen, Reviewen, Aufrechterhalten und Verbessern des Systems.
Der häufigste Denkfehler
Der häufigste Denkfehler lautet: "BCM machen wir später, wenn wir die IT-Sicherheit im Griff haben." Das ist zu kurz gedacht. NIS-2 trennt diese Themen gerade nicht sauber voneinander. Business Continuity, Backup, Disaster Recovery und Krisenmanagement gehören ausdrücklich in denselben Pflichtenkatalog wie Incident Handling und andere Risikomanagementmaßnahmen. BCM ist also kein Bonus nach der Technik, sondern Teil eines belastbaren Sicherheitsniveaus.
Ein pragmatischer Start für Unternehmen
Wenn ein Unternehmen BCM sinnvoll und ohne Theater aufbauen will, reicht für den Start oft schon eine schlanke Vorgehensweise: kritische Prozesse identifizieren, tolerierbare Ausfälle definieren, Abhängigkeiten benennen, Rollen festlegen, Wiederanlaufwege planen und das Ganze testen. Das ist noch kein Hochglanz-Resilienzprogramm, aber es ist ein realistischer Anfang. ISO 22301 ist dafür ein gut passender Referenzrahmen, weil der Standard genau diesen systematischen Aufbau eines BCMS beschreibt.
Was will der Auditor oder Prüfer sehen?
Ein Auditor oder Prüfer will in diesem Bereich in der Regel nicht hören, dass „im Ernstfall schon alle zusammenhalten“. Er will sehen, dass das Unternehmen vorbereitet ist: mit einem strukturierten BCM-Ansatz, nachvollziehbaren Prioritäten, klaren Rollen, realistischen Wiederanlaufzielen und wenigstens grundlegenden Tests oder Übungen. Genau das entspricht dem NIS-2-Gedanken von Business Continuity und Crisis Management sowie dem Managementsystemansatz der ISO 22301
FAQ
Unser Tipp
BCM heißt nicht, im Ernstfall heroisch zu improvisieren. Es heißt, vorher so viel Klarheit zu schaffen, dass das Unternehmen auch unter Druck handlungsfähig bleibt. Genau deshalb ist Business Continuity unter NIS-2 kein Randthema, sondern ein fester Teil belastbarer Sicherheits- und Resilienzarbeit. Wenn kritische Prozesse bekannt sind, Verantwortlichkeiten klar sind und Wiederanlauf realistisch geplant und getestet wurde, ist im Notfall deutlich mehr drin als nur Hoffnung.
Interesse geweckt?
Wenn Sie BCM so aufbauen wollen, dass es im Ernstfall nicht nur gut klingt, sondern wirklich trägt, dann lassen Sie uns sprechen oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!