Login

Kontakt aufnehmen

GRASP German GRC
Kostenlos testen

NIS2 umsetzen konkret: Business Continuity Management

Veröffentlicht am: 5. März 2026

Max Mustermann

Veröffentlicht am: 05.03.2026

Business Continuity Management

Business Continuity Management (BCM) ist der Managementprozess zur Sicherstellung der Fortführung und Wiederherstellung kritischer Geschäftsprozesse bei Störungen. NIS2 verlangt, dass Organisationen ihre Betriebsfähigkeit auch bei Cybervorfällen, IT-Ausfällen oder operativen Störungen strukturiert absichern. Ziel ist es, die Auswirkungen von Vorfällen zu begrenzen, die Wiederaufnahme kritischer Funktionen zu ermöglichen und die Handlungsfähigkeit der Organisation jederzeit aufrechtzuerhalten. Wer NIS2 umsetzen will, muss Business Continuity Management als Bestandteil der Unternehmenssteuerung etablieren und in Risikomanagement, Governance und operative Prozesse integrieren.

 

Weitere Artikel der Reihe „NIS2 umsetzen“

Wenn Sie alle Inhalte und Grafiken dieser „NIS2 umsetzen“-Reihe zusammenführen, erhalten Sie am Ende einen Projektplan, der Ihnen dabei hilft, NIS2-konform zu werden.

 

Business Continuity Management im Kontext der NIS2

NIS2 verankert Business Continuity Management als verbindlichen Bestandteil des Cyber-Risikomanagements. Organisationen müssen sicherstellen, dass kritische Geschäftsprozesse auch bei Sicherheitsvorfällen oder Systemausfällen fortgeführt oder innerhalb definierter Zeiträume wiederhergestellt werden können. BCM ist damit keine optionale organisatorische Maßnahme, sondern eine regulatorische Pflicht.

Für die Praxis bedeutet das: Organisationen müssen in der Lage sein, Betriebsunterbrechungen strukturiert zu bewältigen. Dazu gehören vorbereitete Verfahren, definierte Verantwortlichkeiten und dokumentierte Wiederherstellungsstrategien. Business Continuity Management ermöglicht es, die Auswirkungen von Vorfällen zu begrenzen und die operative Stabilität zu sichern.

Entscheidend ist, dass BCM nicht isoliert betrachtet wird. Es ist eng mit Risikomanagement, Incident Management und Governance verbunden. Organisationen müssen zeigen können, dass ihre BCM-Maßnahmen auf einer fundierten Risikobewertung basieren und systematisch umgesetzt wurden.

Kritische Geschäftsprozesse identifizieren und priorisieren

Die Grundlage für ein auditfestes Business Continuity Management ist die systematische Identifikation kritischer Geschäftsprozesse. Organisationen müssen nachvollziehbar bestimmen, welche Prozesse für die Aufrechterhaltung des Geschäftsbetriebs wesentlich sind und welche operativen, finanziellen oder regulatorischen Auswirkungen ein Ausfall dieser Prozesse hätte. Ohne diese Priorisierung bleibt jede Kontinuitätsplanung unscharf und nicht belastbar. Diese Vorgehensweise steht im Kontext der Anforderungen an das Risikomanagement gemäß § 30 Abs. 2 BSIG, der Organisationen verpflichtet, geeignete Maßnahmen zur Gewährleistung der Sicherheit und Resilienz ihrer Systeme und Prozesse umzusetzen.

Die Analyse erfolgt strukturiert und methodisch. Dabei werden die betroffenen Geschäftsbereiche erfasst und ihre Rolle im Gesamtbetrieb bewertet. Ebenso sind Abhängigkeiten von IT-Systemen, technischen Anlagen oder externen Dienstleistern zu berücksichtigen, da diese maßgeblich beeinflussen, wie anfällig ein Prozess für Störungen ist. Zusätzlich sind die Auswirkungen eines Ausfalls auf den operativen Betrieb, auf Kundenbeziehungen sowie auf gesetzliche oder vertragliche Verpflichtungen zu analysieren. Ein weiterer zentraler Aspekt sind die zeitlichen Anforderungen an die Wiederherstellung, also die Frage, wie lange ein Prozess unterbrochen sein darf, ohne dass erhebliche Schäden entstehen.

Das Ergebnis dieser strukturierten Bewertung ist eine priorisierte Übersicht kritischer Geschäftsprozesse. Diese Übersicht dient als Grundlage für die Festlegung von Wiederherstellungszielen, die Entwicklung von Notfallplänen und die Ausgestaltung technischer sowie organisatorischer Schutzmaßnahmen. Maßnahmen zur Aufrechterhaltung und schnellen Wiederherstellung kritischer Abläufe stehen ebenfalls im Zusammenhang mit den Anforderungen an Business-Continuity- und Krisenmanagementmaßnahmen gemäß § 30 Abs. 2 Nr. 3 BSIG.

 

BCM Kritische Geschaeftsprozesse identifizieren 810 x 810
Planen Sie für die Identifikation kritischer Geschäftsprozesse ca. 18 Werktage ein.

Wiederherstellungsziele definieren und dokumentieren

NIS2 verlangt, dass Organisationen klar definieren, wie schnell Systeme und Prozesse nach einem Ausfall wiederhergestellt werden müssen. Diese Zielwerte sind zentrale Steuerungsgrößen im Business Continuity Management und unterstützen die Aufrechterhaltung der Betriebsfähigkeit auch bei erheblichen Störungen. Anforderungen an entsprechende Maßnahmen ergeben sich im Kontext der Risikomanagementpflichten nach § 30 Abs. 2 Nr. 4 BSIG, der organisatorische und technische Maßnahmen zur Sicherstellung der Resilienz und Betriebsfortführung verlangt.

Zu den wesentlichen Wiederherstellungsparametern gehören insbesondere:

  • maximal tolerierbare Ausfallzeiten von Systemen oder Geschäftsprozessen
  • maximal tolerierbarer Datenverlust
  • Wiederherstellungsprioritäten für Systeme und Prozesse

Diese Zielwerte entsprechen in der Praxis typischen Steuerungsgrößen wie Recovery Time Objective (RTO) und Recovery Point Objective (RPO).

Die Wiederherstellungsziele müssen dokumentiert, intern abgestimmt und formal genehmigt werden. Zudem sind sie regelmäßig zu überprüfen und bei Änderungen von Geschäftsprozessen, IT-Systemen oder Bedrohungslagen anzupassen. Die Dokumentation dieser Zielwerte ist auch relevant für die Nachweis- und Prüfpflichten gegenüber Aufsichtsbehörden gemäß § 32 BSIG.

Business Continuity Management
Planen Sie für die Definition der Wiederherstellungsziele ca. 14 Werktage ein.

Business Continuity Pläne erstellen und implementieren

Ein zentraler Bestandteil des Business Continuity Management ist die Entwicklung konkreter Wiederherstellungspläne. Diese Pläne legen verbindlich fest, wie die Organisation im Falle einer Störung vorgeht und welche Schritte zur Wiederaufnahme des Betriebs erforderlich sind. Ziel ist es, nicht erst im Ereignisfall zu reagieren, sondern vorbereitet und strukturiert handeln zu können. Die Umsetzung entsprechender organisatorischer und technischer Maßnahmen steht im Zusammenhang mit den Anforderungen an das Risikomanagement gemäß § 30 Abs. 2 Nr. 4 BSIG, der Maßnahmen zur Gewährleistung der Sicherheit und Resilienz von Systemen und Einrichtungen verlangt.

Ein Business Continuity Plan beschreibt die Zuständigkeiten und Entscheidungsstrukturen innerhalb der Organisation und definiert, wer im Störungsfall welche Rolle übernimmt. Darüber hinaus enthält er konkrete Wiederherstellungsverfahren, die festlegen, wie betroffene Systeme und Prozesse technisch und organisatorisch wiederhergestellt werden. Ebenso sind klare Kommunikationswege und Eskalationsprozesse zu definieren, damit interne und externe Stakeholder zeitnah informiert werden und Entscheidungen nachvollziehbar getroffen werden können. Ergänzend ist eine Priorisierung von Systemen und Geschäftsprozessen erforderlich, um sicherzustellen, dass besonders kritische Funktionen zuerst wieder aufgenommen werden.

Damit Business Continuity Pläne wirksam sind, müssen sie organisatorisch verankert und für alle relevanten Bereiche verbindlich eingeführt werden. Sie dürfen nicht lediglich dokumentiert werden, sondern müssen im Ernstfall praktisch anwendbar sein und eine zügige operative Wiederaufnahme ermöglichen.

Business Continuity Pläne erstellen und implementieren
Planen Sie für die Erstellung der Business Continuity Pläne ca. 24 Werktage ein.

 

Backup- und Wiederherstellungsfähigkeit sicherstellen

Die Fähigkeit zur Wiederherstellung von Daten und Systemen ist ein zentraler Bestandteil des Business Continuity Management. Organisationen müssen sicherstellen, dass kritische Daten regelmäßig gesichert werden und im Bedarfsfall innerhalb definierter Zeiträume wiederhergestellt werden können. Ohne belastbare Backup- und Recovery-Strukturen bleibt jede Kontinuitätsplanung unvollständig, da die operative Wiederaufnahme unmittelbar von der Verfügbarkeit konsistenter und unverfälschter Daten abhängt.

Zu den grundlegenden Anforderungen gehört eine regelmäßige und risikoorientierte Datensicherung, die sich an der Kritikalität der jeweiligen Systeme und Prozesse orientiert. Ebenso ist eine sichere Speicherung der Backups erforderlich, sodass diese vor Verlust, Beschädigung oder gleichzeitiger Beeinträchtigung durch denselben Vorfall geschützt sind. Der Schutz vor unberechtigtem Zugriff oder Manipulation ist dabei von besonderer Bedeutung, insbesondere im Hinblick auf gezielte Cyberangriffe, bei denen Angreifer versuchen, Sicherungen zu verschlüsseln oder zu löschen. Ergänzend müssen regelmäßige Wiederherstellungstests durchgeführt werden, um nachzuweisen, dass die gesicherten Daten tatsächlich nutzbar sind und die definierten Wiederherstellungsziele eingehalten werden können.

Gerade im Kontext von Ransomware und anderen gezielten Angriffsszenarien ist es entscheidend, dass Backups unabhängig vom Produktivsystem gespeichert und angemessen abgesichert sind. Nur wenn Wiederherstellungsprozesse technisch und organisatorisch belastbar sind, kann die Betriebskontinuität gewährleistet werden.

 

Integration in Governance und Risikomanagement

Business Continuity Management muss organisatorisch gesteuert und überwacht werden. Es handelt sich nicht um eine rein operative oder technische Disziplin, sondern um einen strukturierten Managementprozess, der in bestehende Steuerungs- und Kontrollmechanismen eingebettet sein muss. Nur wenn BCM in die formalen Entscheidungs- und Berichtswege integriert ist, kann es seine regulatorische und strategische Funktion erfüllen.

Für die Praxis bedeutet das zunächst, dass Business Continuity Management in das unternehmensweite Risikomanagement eingebunden werden muss. Risiken in Bezug auf Betriebsunterbrechungen, Systemausfälle oder Cybervorfälle sind systematisch zu identifizieren, zu bewerten und in bestehende Risikoberichte zu integrieren. Gleichzeitig müssen Verantwortlichkeiten klar definiert sein. Es muss nachvollziehbar geregelt werden, welche Funktionen für Planung, Umsetzung, Überwachung und Aktualisierung der BCM-Maßnahmen zuständig sind. Entscheidungen im Zusammenhang mit Wiederherstellungszielen, Priorisierungen oder Risikoakzeptanzen sind zu dokumentieren, damit sie transparent und auditierbar bleiben. Darüber hinaus ist die Geschäftsleitung regelmäßig über den Status, identifizierte Risiken und wesentliche Änderungen im BCM zu informieren, um ihrer Überwachungs- und Steuerungsverantwortung gerecht zu werden.

Business Continuity in Governance integrieren
Planen Sie für die Integration in Governance & Risikomanagement ca. 16 Werktage ein.

 

Übungen, Tests und kontinuierliche Verbesserung

Business Continuity Management ist nur wirksam, wenn die definierten Maßnahmen regelmäßig überprüft werden. NIS2 verlangt, dass Organisationen ihre Wiederherstellungsfähigkeit testen und kontinuierlich verbessern.

Für die Praxis bedeutet das:

  • Durchführung regelmäßiger Übungen
  • Überprüfung der Wiederherstellungsverfahren
  • Aktualisierung der Pläne bei Änderungen
  • Auswertung von Vorfällen und Testergebnissen

Diese Maßnahmen stellen sicher, dass Business Continuity Management im Ernstfall funktioniert und an neue Risiken angepasst wird. Für die Einführung strukturierter Tests und Übungen ist eine Umsetzungsdauer von etwa 18 Werktagen realistisch.

 

Besondere Anforderungen für cyber-physische Systeme und kritische Anlagen

Organisationen mit cyber-physischen Systemen oder operativen Anlagen stehen vor besonderen Herausforderungen. Diese Systeme sind häufig nicht für schnelle Änderungen oder Wartungsmaßnahmen ausgelegt und erfordern spezifische Wiederherstellungsstrategien.

Business Continuity Management muss diese Systeme ausdrücklich berücksichtigen. Dazu gehört insbesondere die Sicherstellung der Betriebsfähigkeit von Produktionsanlagen, Steuerungssystemen und anderen operativen Komponenten.

Entscheidend ist, dass diese Systeme in BCM-Analysen und Wiederherstellungspläne einbezogen werden. Organisationen müssen ihre Abhängigkeiten kennen und geeignete Maßnahmen definieren. Für die Integration dieser Systeme ist eine Umsetzungsdauer von etwa 22 Werktagen realistisch.

 

Dokumentation als Voraussetzung für Auditfähigkeit

Ein auditfähiges Business Continuity Management erfordert eine nachvollziehbare und konsistente Dokumentation aller relevanten Maßnahmen. Organisationen müssen in der Lage sein, gegenüber Aufsichtsbehörden, Prüfern und internen Kontrollinstanzen nachzuweisen, dass BCM nicht nur konzeptionell vorgesehen, sondern strukturiert umgesetzt und wirksam verankert wurde. Dokumentation ist damit kein administrativer Zusatz, sondern ein integraler Bestandteil der regulatorischen Absicherung.

Zu den zentralen Nachweisen gehört eine dokumentierte BCM-Strategie, aus der Zielsetzung, Geltungsbereich und Einbettung in die Unternehmenssteuerung hervorgehen. Ebenso müssen Wiederherstellungsziele nachvollziehbar definiert und formal festgehalten sein. Klar geregelte und dokumentierte Verantwortlichkeiten stellen sicher, dass Zuständigkeiten im Ereignisfall eindeutig sind und keine Entscheidungsunsicherheiten entstehen. Ergänzend müssen aktuelle Wiederherstellungspläne vorliegen, die organisatorisch abgestimmt und freigegeben sind. Auch durchgeführte Tests und Übungen sind zu dokumentieren, um die praktische Funktionsfähigkeit der Maßnahmen belegen zu können.

Eine strukturierte Dokumentation schafft Transparenz über den Reifegrad des Business Continuity Management und ermöglicht eine überprüfbare Steuerung. Gleichzeitig stellt sie sicher, dass regulatorische Anforderungen erfüllt werden und die Organisation im Prüfungsfall belastbare Nachweise vorlegen kann.

Zusammenspiel mit anderen NIS2-Bausteinen

Business Continuity Management ist eng mit anderen NIS2-Themen verbunden. Es baut auf dem Risikomanagement auf und ergänzt Incident Management und technische Schutzmaßnahmen. Gleichzeitig ist es Bestandteil der Governance und Compliance-Struktur.

Wer NIS2 umsetzen will, sollte Business Continuity Management nicht isoliert betrachten. Es ist ein zentraler Bestandteil der organisatorischen Resilienz und unterstützt die langfristige Stabilität der Organisation. Diese Artikel-Reihe zeigt, wie Business Continuity Management mit den anderen Anforderungen der NIS2 zusammenwirkt und strukturiert umgesetzt werden kann.

Häufig gestellte Fragen

Warum ist Business Continuity Management (BCM) unter NIS2 verpflichtend?

NNIS2 verankert Business Continuity Management ausdrücklich als verbindlichen Bestandteil des Cyber-Risikomanagements. Organisationen müssen sicherstellen, dass kritische Geschäftsprozesse auch bei Sicherheitsvorfällen, Cyberangriffen oder Systemausfällen fortgeführt oder innerhalb definierter Wiederherstellungszeiten (RTO) stabilisiert werden können. BCM ist damit keine optionale organisatorische Maßnahme, sondern eine regulatorische Pflicht im Rahmen der NIS2-Compliance.

Wie hängt Business Continuity Management mit Incident Management zusammen?

Business Continuity Management und Incident Management sind eng miteinander verzahnt. Während Incident Management die unmittelbare Reaktion auf einen Sicherheitsvorfall steuert, stellt BCM sicher, dass geschäftskritische Prozesse während und nach dem Vorfall aufrechterhalten oder wiederhergestellt werden. Für eine wirksame NIS2-Compliance müssen beide Bereiche organisatorisch abgestimmt sein und in Governance- und Risikostrukturen eingebettet werden.

Welche Anforderungen stellt NIS2 konkret an Business Continuity Management?

NIS2 verlangt, dass Unternehmen strukturierte Verfahren zur Bewältigung von Betriebsunterbrechungen etablieren. Dazu gehören dokumentierte Wiederherstellungsstrategien, klar definierte Verantwortlichkeiten, getestete Notfallpläne sowie vorbereitete Kommunikationsprozesse. Organisationen müssen nachweisen können, dass ihre BCM-Maßnahmen auf fundierten Risikobewertungen basieren und systematisch umgesetzt werden.

Warum ist die Business Impact Analysis (BIA) für NIS2-Compliance entscheidend?

Die Business Impact Analysis bildet die Grundlage eines wirksamen Business Continuity Managements. Sie identifiziert kritische Geschäftsprozesse, bewertet potenzielle Auswirkungen von Unterbrechungen und definiert Wiederherstellungsziele. NIS2 verlangt einen risikobasierten Ansatz. Organisationen müssen daher belegen können, dass ihre BCM-Maßnahmen auf einer strukturierten Analyse von Risiken und Abhängigkeiten beruhen.

Jetzt GRASP 30 Tage kostenlos testen!

Text auf Button: Get Started Free Trial starten

Weitere Beiträge zum Thema

GRASP ist ein Produkt der DextraData GmbH

Siegel Software Made and Hosted in Germany
Siegel Lizensierte IT-Grundschutz-Inhalte Siegel ISO 27001 Zertifizierung

Module

ISMS - Software für Informationssicherheit

DSMS - Software für Datenschutzmanagement

Internal Audit - Software für Auditmanagement

QM - Software für Qualitätsmanagement

BCM - Software für Business Continuity Management

Verknüpfung von GRASP mit Business-Apps

GRASP Dokumentation

Regularien & Zertifizierungen

NIS2 Umsetzungsgesetz erfüllen

Zertifizierung nach ISO/IEC 27001 umsetzen

BSI-Standard 200-4 etablieren

DSGVO-Anforderungen umsetzen

Neues bei GRASP

Unternehmen

Über uns

GRASP FAQs

Trust Center - Unser Versprechen

Sie haben noch Fragen?
Kontaktieren Sie uns gerne!

© DextraData GmbH

Impressum

AGB

Datenschutzerklärung

Cookie-Einstellungen