ISO 22301 – Business Continuity Management
Wie Unternehmen mit einem BCMS nach ISO 22301 kritische Prozesse auch im Krisenfall aufrechterhalten.
Ein Serverausfall, ein Cyberangriff, ein Lieferengpass oder ein Hochwasser: Störungen treffen Unternehmen oft unvorbereitet und können den Betrieb binnen Stunden zum Erliegen bringen. Die internationale Norm ISO 22301 liefert den anerkannten Rahmen, um genau solche Unterbrechungen zu antizipieren und geschäftskritische Abläufe auch im Krisenfall aufrechtzuerhalten. Sie ist die weltweit führende Norm für Business Continuity Management Systeme (BCMS).
Was ISO 22301 regelt
ISO 22301 legt die Anforderungen an ein dokumentiertes Managementsystem fest, mit dem eine Organisation sich auf Störungen vorbereitet, deren Eintrittswahrscheinlichkeit und Auswirkungen reduziert und die Wiederherstellung geordnet steuert. Aktuell gilt die Ausgabe ISO 22301:2019 (veröffentlicht im Oktober 2019), die die Erstfassung von 2012 ablöste. Ergänzend wurde 2024 die Amendment 1 verabschiedet, die den Aspekt Klimawandel als möglichen relevanten Einflussfaktor im Kontext der Organisation verankert.
Die Anforderungen sind bewusst generisch gehalten: Sie gelten für Organisationen jeder Größe, Branche und Rechtsform – vom Kleinbetrieb bis zum Konzern, öffentlich wie privat.
Aufbau nach der High Level Structure
Wie alle modernen ISO-Managementnormen folgt ISO 22301 der einheitlichen High Level Structure (Annex SL) und dem PDCA-Zyklus (Plan–Do–Check–Act). Dadurch lässt sie sich reibungsarm mit anderen Systemen kombinieren, insbesondere mit der ISO/IEC 27001 (Informationssicherheit) und der ISO 9001 (Qualitätsmanagement). Die zentralen Kapitel sind:
- Kontext der Organisation: interne und externe Themen sowie Erwartungen interessierter Parteien verstehen und den Anwendungsbereich abgrenzen.
- Führung: Verpflichtung der obersten Leitung, eine Business-Continuity-Politik und klare Verantwortlichkeiten.
- Planung: Umgang mit Risiken und Chancen sowie messbare Ziele.
- Unterstützung: Ressourcen, Kompetenz, Bewusstsein, Kommunikation und dokumentierte Information.
- Betrieb: Business Impact Analyse, Risikobeurteilung, Strategien, Pläne und Übungen.
- Bewertung der Leistung: Überwachung, interne Audits und Managementbewertung.
- Verbesserung: Umgang mit Abweichungen, Korrekturmaßnahmen und kontinuierliche Weiterentwicklung.
Herzstück: Business Impact Analyse und Risikobeurteilung
Das inhaltliche Fundament eines BCMS bildet die Business Impact Analyse (BIA). In ihr werden die zeitkritischen Aktivitäten identifiziert und die Folgen einer Unterbrechung über die Zeit bewertet. Daraus leiten sich die zentralen Kennzahlen ab:
- MTPD (Maximum Tolerable Period of Disruption) – die maximal tolerierbare Ausfalldauer, nach der untragbare Schäden drohen.
- RTO (Recovery Time Objective) – die angestrebte Wiederanlaufzeit eines Prozesses.
- RPO (Recovery Point Objective) – der maximal tolerierbare Datenverlust, gemessen als Zeitspanne.
- MBCO (Minimum Business Continuity Objective) – das Mindestleistungsniveau, das im Notbetrieb erbracht werden muss.
Ergänzend bewertet die Risikobeurteilung, welche Bedrohungen zu einer Unterbrechung führen können. Aus BIA und Risikobeurteilung entstehen die Business-Continuity-Strategien und die konkreten Notfall- und Wiederanlaufpläne, die benötigte Ressourcen, Abhängigkeiten, Zuständigkeiten und Kommunikationswege festhalten.
Üben, prüfen, verbessern
Pläne, die nur in der Schublade liegen, versagen im Ernstfall. Die Norm verlangt deshalb regelmäßige Übungen und Tests, um Wirksamkeit und Aktualität nachzuweisen. Interne Audits und die Managementbewertung schließen den Regelkreis und sichern die stetige Verbesserung.
Nutzen und Zertifizierung
Ein Unternehmen kann sein BCMS durch eine akkreditierte Stelle nach ISO 22301 zertifizieren lassen. Der Nutzen reicht über das Zertifikat hinaus:
- nachweislich höhere Widerstandsfähigkeit (Resilienz) gegenüber Störungen;
- kürzere Ausfallzeiten und geringere finanzielle wie reputative Schäden;
- Vertrauen bei Kunden, Partnern, Versicherern und Behörden;
- Unterstützung bei der Erfüllung regulatorischer Anforderungen, etwa im Umfeld von NIS2, DORA oder KRITIS;
- Wettbewerbsvorteile in Ausschreibungen, in denen Kontinuitätsnachweise gefordert werden.
Wie der VQB unterstützt
Der VQB begleitet kleine und mittlere Unternehmen praxisnah beim Aufbau eines BCMS – von der Business Impact Analyse und Risikobeurteilung über die Festlegung von RTO, RPO und Notfallplänen bis zu Übungen und interner Auditvorbereitung. Wir nutzen dabei Synergien mit bestehenden Systemen nach ISO 9001 oder ISO/IEC 27001, damit Aufwand und Dokumentation schlank bleiben. So sind Sie auf den Ernstfall vorbereitet und gehen sicher in die Zertifizierung.
