BCM nach NIS2: Business Continuity Management aufbauen (2026)
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
- § 30 BSIG Abs. 2 Nr. 5 verlangt Aufrechterhaltung des Geschäftsbetriebs
- BIA-Output: kritische Geschäftsprozesse + RTO/RPO + Abhängigkeiten
- Notfallplan: Krisenstab, Eskalationspfade, Kontaktlisten, Rollback-Verfahren
- ISO 22301 als Best-Practice (nicht Pflicht)
- Mindestens jährlich Tabletop-Übung + alle 2 Jahre Live-Test
1. Rechtsbasis NIS2 + ISO 22301
§ 30 Abs. 2 Nr. 5 BSIG verlangt "Aufrechterhaltung des Geschäftsbetriebs, einschließlich Backup-Management und Wiederherstellung sowie Krisenmanagement".
Konkretisiert durch BSI-Standard 200-4 + ENISA "Risk Management Guidelines for NIS2 Entities" (10/2024).
2. Business Impact Analyse (BIA)
BIA-Schritte:
- Geschäftsprozesse-Inventar erstellen
- Pro Prozess: Kritikalität bewerten (Geld, Reputation, Recht)
- Pro kritischem Prozess: IT-Abhängigkeiten dokumentieren
- Pro IT-System: max. tolerierbare Ausfallzeit (MTPD) definieren
- Daraus RTO/RPO-Ziele ableiten
3. RTO + RPO definieren
| Prozess | RTO (max. Ausfall) | RPO (max. Datenverlust) | Implementierung |
|---|---|---|---|
| Online-Shop | 1h | 15min | HA-Cluster + Real-time-Replikation |
| ERP/Lohnabrechnung | 4h | 1h | Hot Standby + Backups |
| 4h | 15min | Microsoft 365 Geo-Redundanz | |
| HR-Software | 24h | 4h | Cloud-Backup täglich |
| Intranet | 72h | 24h | Tape-Backup wöchentlich |
4. Notfallplan + Krisenstab
Notfallplan-Inhalte:
- Krisenstab-Liste mit 24h-Erreichbarkeit (Mobil, Privat-E-Mail)
- Eskalations-Workflow: wer entscheidet wann was
- Kommunikations-Plan: Mitarbeiter, Kunden, Behörden, Presse
- Backup-Lokationen (alternativer Standort, Home-Office)
- Lieferanten-Notfall-Kontakte
- Rollback-Verfahren
5. Disaster Recovery
DR-Komponenten:
- 3-2-1-Backup: 3 Kopien, 2 Medien, 1 offsite
- Immutable Backup gegen Ransomware
- Quartalsweise DR-Test mit Wiederherstellung in Test-Umgebung
- RPO-konformer Replikations-Mechanismus
- Dokumentierte Recovery-Prozeduren
6. 8-Wochen-Roadmap KMU
| Woche | Aktivität |
|---|---|
| 1-2 | BCM-Beauftragten benennen, BIA durchführen |
| 3 | RTO/RPO pro Prozess festlegen |
| 4-5 | Notfallplan + Krisenstab + Kontaktlisten |
| 6 | DR-Konzept + Backup-Test |
| 7 | Tabletop-Exercise mit Krisenstab |
| 8 | Lessons Learned + Update Plan |
Häufig gestellte Fragen
Was ist der Unterschied zwischen BCM und DR?
BCM = übergeordnetes Managementsystem für Geschäftsfortführung. DR = technische Wiederherstellung der IT. BCM enthält DR plus Personal, Räume, Lieferanten, Kommunikation.
Wie definiere ich RTO und RPO?
RTO (Recovery Time Objective) = wie lange darf System ausfallen? RPO (Recovery Point Objective) = wie viel Datenverlust akzeptabel? Pro kritischem System individuell, basierend auf BIA.
Welcher Standard?
ISO 22301 ist Goldstandard. NIS2 fordert KEINE Zertifizierung, aber gleichwertige Strukturen. BSI-Standard 200-4 als deutscher Pendant.
Wer macht BCM in KMU?
Idealerweise BCM-Beauftragter (kann auch IT-Sicherheits-Beauftragter sein). Geschäftsführung haftet (§ 38 BSIG).
Wie oft Notfall-Übung?
Mindestens 1× jährlich Tabletop-Exercise, alle 2 Jahre Live-Test einer kritischen Anwendung. Nach jedem Vorfall Lessons-Learned-Workshop.
Bußgeldrisiko bei BCM-Verstößen?
§ 60 BSIG: bis 10 Mio. EUR / 2% Weltumsatz. Praxis: bei akutem Vorfall ohne BCM-Plan signifikante Bußgelder + GF-Haftung.
Quellen
- BSIG 2025 (konsolidierte Fassung) — § 30, § 60 BSIG (Stand: 02.05.2026)
- NIS-2-Umsetzungsgesetz — BGBl. 2025 I Nr. 301 (Stand: 02.05.2026; in Kraft 06.12.2025)
- Richtlinie (EU) 2022/2555 (NIS2) — Art. 21 (EUR-Lex DE) (Stand: 02.05.2026)
- BSI — NIS-2 FAQ regulierte Unternehmen
Werkzeuge & Selbsttests
NIS2 Readiness-Check
Pruefen Sie Ihre NIS2-Reife in 10 Minuten.
Bussgeld-Rechner
Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen.
NIS2 Selbsttest
Bin ich betroffen? Pruefen Sie Schwellenwerte und Sektoren-Zugehoerigkeit.
NIS2 Pflichtmassnahmen-Audit
10 Pflichtmassnahmen aus Paragraph 30 BSIG mit Reifegrad-Bewertung.