Zum Inhalt springen
SIKKER GmbH

Business Continuity: Vorbereitet sein, bevor es ernst wird

Irgendwann trifft es fast jedes Unternehmen. Ein Cyberangriff, ein Systemausfall, ein Brand, eine Naturkatastrophe. Die Frage ist nicht ob, sondern wie gut ein Unternehmen darauf vorbereitet ist. Viele merken erst im Ernstfall, dass Notfallpläne fehlen, veraltet sind oder schlicht nicht funktionieren. Genau hier setzen wir an.

Erstgespräch anfragen Warum das wichtig ist

Warum das wichtig ist

Betriebsunterbrechungen kosten Zeit, Geld und Kundenvertrauen, und je länger ein Ausfall dauert, desto größer wird der Schaden. Für viele Unternehmen kommen regulatorische Anforderungen hinzu: Finanzdienstleister, kritische Infrastrukturen und zunehmend auch deren Lieferanten stehen unter dem Druck, Resilienz nachweisbar zu machen. Geschäftspartner und Auftraggeber fragen in Lieferantenprüfungen gezielt danach, ob ein funktionierendes Business Continuity Management vorhanden ist.

Was wir tun

Wir starten mit einer Analyse. Welche Prozesse sind geschäftskritisch? Was passiert, wenn diese ausfallen? Wie lange kann das Unternehmen einen Ausfall verkraften, bevor es existenzbedrohend wird? Auf dieser Grundlage entwickeln wir gemeinsam mit Ihnen ein Business Continuity Management System, das zu Ihrer Organisation passt.

Bei der Umsetzung begleiten wir Sie durch alle relevanten Schritte:

  • Business Impact Analyse: Identifikation kritischer Prozesse und Ressourcen
  • Risikoanalyse und Bewertung relevanter Bedrohungsszenarien
  • Entwicklung von Notfall- und Wiederanlaufplänen
  • Erstellung der notwendigen Dokumentation und Richtlinien
  • Schulungen und Übungen, damit Pläne im Ernstfall auch funktionieren
  • Vorbereitung auf eine Zertifizierung nach ISO 22301

Nicht jedes Unternehmen braucht eine Zertifizierung. Manchmal ist ein funktionierendes, gut dokumentiertes BCM-System das eigentliche Ziel. Wir begleiten beides: den strukturierten Aufbau ohne Zertifizierungsdruck genauso wie die gezielte Vorbereitung auf das Audit, mit Gap-Analyse, Definition von Handlungsempfehlungen und Begleitung durch den Zertifizierungsprozess.

Für die laufende Verwaltung und Steuerung Ihres BCM steht Ihnen unser Management-Tool SIKKER ASSISTENT zur Verfügung, mit dem Sie Business-Impact-Analysen durchführen sowie Notfall- und Wiederanlaufpläne, Übungen und die gesamte Dokumentation zentral verwalten können.

Nach der Einführung

Ein BCM-System muss regelmäßig überprüft und aktualisiert werden. Bedrohungslagen ändern sich, Prozesse ändern sich, Organisationen ändern sich. Wir unterstützen Sie mit regelmäßigen Übungen, Audits und der Weiterentwicklung Ihrer Pläne, damit das System nicht nach der Einführung in der Schublade verschwindet.

Das Ergebnis

Sie wissen, welche Prozesse kritisch sind und was im Ernstfall zu tun ist. Ihre Mitarbeitenden kennen ihre Rollen. Die Wiederanlaufzeiten sind realistisch geplant und getestet. Gegenüber Geschäftspartnern und Aufsichtsbehörden können Sie nachweisen, dass Ihr Unternehmen auch unter Druck handlungsfähig bleibt.

Sprechen Sie uns an. Gemeinsam finden wir die passende Lösung.

Häufig gestellte Fragen

Wie lange dauert der Aufbau eines BCM?

Der Zeitrahmen hängt von Unternehmensgröße, Prozesskomplexität und bestehender Dokumentation ab. Typischerweise dauert die Ersterstellung eines BCM nach ISO 22301 zwischen sechs und zwölf Monaten: Business Impact Analyse und Risikoanalyse belegen die ersten drei bis vier Monate, Strategieentwicklung und Plandokumentation weitere zwei bis vier Monate, Tests und Schulungen runden den Aufbau ab. Bei bestehendem ISMS nach ISO 27001 verkürzt sich die Projektdauer spürbar.

Reicht unser bestehendes Notfallkonzept aus?

Viele Unternehmen haben IT-Wiederanlaufpläne oder Brandschutzkonzepte, aber kein umfassendes BCM. Ein strukturiertes BCM geht darüber hinaus: Es betrachtet alle geschäftskritischen Prozesse, definiert Wiederanlaufzeiten, regelt Verantwortlichkeiten im Krisenfall und wird regelmäßig getestet. Eine Gap-Analyse zeigt, welche Bausteine vorhanden sind und wo Ergänzungen nötig sind, um Anforderungen aus NIS-2, ISO 22301 oder Kundenverträgen zu erfüllen.

Was ist der Unterschied zwischen BCM und Disaster Recovery?

Disaster Recovery (DR) konzentriert sich auf die Wiederherstellung von IT-Systemen und Daten nach einem Ausfall. Business Continuity Management geht darüber hinaus: Es betrachtet alle geschäftskritischen Prozesse, nicht nur die IT. BCM umfasst organisatorische Maßnahmen, Kommunikationspläne, alternative Arbeitsplätze und die Aufrechterhaltung des Geschäftsbetriebs während einer Krise. DR ist ein wichtiger Baustein innerhalb eines umfassenden BCM.

Was ist ISO 22301?

ISO 22301:2019 ist der internationale Standard für Business Continuity Management Systeme (BCMS) und definiert Anforderungen an Planung, Aufbau, Umsetzung und kontinuierliche Verbesserung. Die High-Level-Struktur stimmt mit ISO 27001 überein, was integrierte Managementsysteme ermöglicht. Eine Zertifizierung weist gegenüber Kunden, Partnern und Aufsichtsbehörden systematische Vorsorge nach.

Für wen ist Business Continuity Management Pflicht?

Eine gesetzliche BCM-Pflicht besteht für Betreiber kritischer Infrastrukturen (KRITIS) nach dem BSI-Gesetz, für Unternehmen im Anwendungsbereich der NIS-2-Richtlinie (§30 BSIG fordert explizit Business Continuity) und für Finanzunternehmen unter DORA. Darüber hinaus verlangen viele Branchenstandards, Kundenverträge und Versicherungsbedingungen ein dokumentiertes BCM. Auch ohne gesetzliche Pflicht ist BCM für jedes Unternehmen sinnvoll, dessen Geschäftsbetrieb von funktionierenden Prozessen und IT-Systemen abhängt.

Wie hängen BCM und ISO 27001 zusammen?

ISO 27001 enthält in Annex A die Kontrollen A.5.29 (Informationssicherheit bei Störungen) und A.5.30 (IKT-Bereitschaft für Business Continuity). Diese Kontrollen fordern, dass Unternehmen Kontinuitätsanforderungen definieren und Wiederherstellungspläne für ihre Informationsverarbeitung vorhalten. Ein ISMS nach ISO 27001 legt damit die Grundlage für BCM im Bereich der Informationssicherheit. ISO 22301 erweitert diesen Ansatz auf alle Geschäftsprozesse.

Wie funktioniert eine Business Impact Analyse?

Die Business Impact Analyse (BIA) identifiziert alle geschäftskritischen Prozesse und bewertet die Auswirkungen eines Ausfalls über die Zeit. Für jeden Prozess werden maximal tolerierbare Ausfallzeit (MTPD), Wiederanlaufzeit (RTO) und maximal tolerierbarer Datenverlust (RPO) bestimmt. Das Ergebnis priorisiert alle weiteren BCM-Maßnahmen und Wiederanlaufpläne.

Verwandte Leistungen

Business Continuity steht nicht isoliert. Diese Leistungen ergänzen den BCM-Aufbau sinnvoll.

ISMS & ISO 27001

ISO 27001 fordert Kontinuitätsplanung als Teil der Informationssicherheit. Wir verbinden ISMS-Aufbau und BCM zu einem integrierten Managementsystem.

Mehr erfahren

Risikomanagement

Risikoanalyse ist die Grundlage jedes BCM. Wir identifizieren Bedrohungen, bewerten Eintrittswahrscheinlichkeiten und leiten Maßnahmen ab.

Mehr erfahren

Informationssicherheit

Business Continuity ist ein zentraler Baustein der Informationssicherheit. Unsere Beratung verbindet beide Disziplinen.

Mehr erfahren

Betriebskontinuität sicherstellen

Wie gut ist Ihr Unternehmen auf Betriebsunterbrechungen vorbereitet? In einem unverbindlichen Erstgespräch analysieren wir Ihren Status quo und skizzieren erste Schritte zum BCM.

Jetzt Erstberatung anfragen