ISO 22301 Business Continuity: BCMS, Business Impact Analyse, RTO/RPO, Notfallpläne, Übungen, NIS2-, DORA- und ISO-27001-Bezug.
RL
Robert LozoPartner · CIPP/E · CIPM · CISM
01. MAI 2026
ISO 22301 ist der internationale Standard für Business Continuity Management Systeme (BCMS) — die systematische Vorbereitung auf, Reaktion auf und Wiederherstellung nach störungsbedingten Ereignissen. Während ISO 27001 sich auf Informationssicherheit konzentriert, deckt ISO 22301 die gesamte Geschäftskontinuität ab — von Cyberangriffen über Lieferanten-Ausfälle bis zu Naturkatastrophen. Die Norm folgt der High-Level Structure (identisch mit ISO 9001 / ISO 27001) und ermöglicht damit integrierte Managementsysteme. Für deutsche Unternehmen ist ISO 22301 besonders relevant durch NIS2 (Säule „Aufrechterhaltung des Betriebs"), DORA (Säule „Resilienztests") und BSI-Standard 200-4 (BCM). Über 2.500 deutsche Unternehmen sind aktuell ISO-22301-zertifiziert — Tendenz steigend, vor allem im Finanzdienstleistungs- und KRITIS-Sektor.
Kerntatsachen
Aktuelle Version: ISO 22301:2019 — durchgängige PDCA-Struktur mit ISO 9001 und ISO 27001 kompatibel.
Business Impact Analyse (BIA) ist das zentrale Steuerungsinstrument — pro kritischem Geschäftsprozess RTO und RPO definiert.
RTO (Recovery Time Objective): wie lange darf die Unterbrechung maximal dauern.
RPO (Recovery Point Objective): wie alt darf die letzte gesicherte Datenversion maximal sein.
Übungs-Pflicht: mindestens jährliche BCM-Tests, kombiniert mit Tabletop- und Live-Übungen.
BRAUCHEN SIE UNTERSTÜTZUNG?
Von der Klassifizierung zur Konformität.
Wir helfen Organisationen in der EU, ihre KI-Systeme zu klassifizieren, die technische Dokumentation aufzubauen und die geforderte Governance einzurichten. Starten Sie mit einem 30-Minuten-Termin.
ISO 22301 definiert die Anforderungen an ein Business Continuity Management System (BCMS) — einen systematischen Ansatz zur Aufrechterhaltung der Geschäftstätigkeit auch in Krisensituationen.
Über 60 % aller mittelständischen Unternehmen in Deutschland haben kein dokumentiertes BCM. Bei einer durchschnittlichen Cyber-Angriffs-Wiederherstellungs-Dauer von 23 Tagen (BSI Lagebericht 2024) entstehen daraus existenzielle Risiken — vor allem für Unternehmen mit hoher Lieferantenabhängigkeit oder kritischen IT-Systemen.
Aufbau
ISO 22301:2019 folgt der High-Level Structure (HLS) — identisch mit ISO 9001, ISO 14001 und ISO 27001.
Die Klausel 8 (Betrieb) ist der BCM-spezifische Kern — alle anderen Klauseln sind kongruent mit anderen Managementsystemen.
Hauptklauseln
Klausel 4 — Kontext
Anforderung
Praktische Umsetzung
4.1 Verstehen der Organisation
Geschäftstätigkeit, Stakeholder, Abhängigkeiten
4.2 Stakeholder
Anforderungen aller Interessengruppen
4.3 Anwendungsbereich
klares BCMS-Scope-Statement
4.4 BCMS
übergeordnete Anforderungen
Klausel 5 — Führung
Anforderung
Pflichtdokument
5.1 Engagement der Geschäftsleitung
dokumentiertes Mandat
5.2 Politik
BCMS-Leitlinie
5.3 Rollen und Verantwortlichkeiten
BCM-Organisationsstruktur
Klausel 6 — Planung
Anforderung
Output
6.1 Risiken und Chancen
Risiko-Inventar
6.2 BCM-Ziele
mit messbaren KPIs
6.3 Planung von Änderungen
Change-Prozess
Klausel 7 — Unterstützung
Anforderung
Inhalt
7.1 Ressourcen
Budget, Personal, Infrastruktur
7.2 Kompetenz
Schulung, Qualifikation
7.3 Bewusstsein
BCM-Awareness
7.4 Kommunikation
intern und extern
7.5 Dokumentierte Information
BCM-Pläne
Klausel 8 — Betrieb (BCM-spezifisch)
Das Herzstück der Norm:
Aktivität
Inhalt
8.1
Betriebliche Planung
8.2
BIA und Risikobewertung
8.3
BCM-Strategien
8.4
Vorgehensweisen
8.5
Übungen und Tests
8.6
Bewertung
Klauseln 9-10 — Bewertung und Verbesserung
Anforderung
Frequenz
9.1 Monitoring
kontinuierlich
9.2 Internes Audit
mindestens jährlich
9.3 Management-Review
mindestens jährlich
10 Verbesserung
kontinuierlich
BIA
Die Business Impact Analyse (BIA) ist das zentrale Steuerungsinstrument — sie identifiziert die kritischen Geschäftsprozesse und ihre Wiederherstellungs-Anforderungen.
Eine vollständige BIA produziert eine Priorisierungs-Matrix der Geschäftsprozesse mit klaren RTO/RPO-Zielen — die Grundlage für alle weiteren BCM-Aktivitäten.
RTO und RPO
Zwei zentrale Kennzahlen, die die BCM-Strategie steuern.
Recovery Time Objective (RTO)
Wie lange darf die Unterbrechung maximal dauern, bevor inakzeptable Konsequenzen entstehen?
Geschäftsprozess
Typischer RTO
Online-Banking
1 Stunde
ERP-Kernprozess
4-8 Stunden
HR-Lohnabrechnung
1-3 Tage
Marketing-Website
24 Stunden
Archivierung
7-14 Tage
Recovery Point Objective (RPO)
Wie alt darf die letzte gesicherte Datenversion maximal sein?
Strengere RTO/RPO bedeuten deutlich höhere Investitionen — eine Hochverfügbarkeits-Architektur kostet typischerweise das 3-5-fache einer Standard-Architektur.
Risikoanalyse
Die BCM-Risikoanalyse identifiziert Bedrohungs-Szenarien, die zu Geschäftsunterbrechungen führen können.
Notfallpläne dokumentieren die konkrete Reaktion auf Krisen-Szenarien.
Standard-Inhalt eines Notfallplans
Inhalt
Beschreibung
Aktivierungs-Kriterien
wann ist der Plan auszulösen
Krisenstab
Rollen, Verantwortlichkeiten, Eskalations-Wege
Sofortmaßnahmen
erste Stunden
Wiederherstellungs-Schritte
konkrete Verfahren
Kommunikations-Plan
intern und extern
Ressourcen
Personal, Equipment, Räume, Budget
Rückkehr zum Normalbetrieb
wann ist Krise beendet
Krisenkommunikation
Stakeholder
Inhalt
Mitarbeiter
Sicherheit, Anweisungen, nächste Schritte
Kunden
Auswirkungen, voraussichtliche Wiederherstellung
Lieferanten
abgestimmte Reaktion, Alternativen
Behörden
gesetzliche Meldepflichten (DSGVO, NIS2, DORA)
Öffentlichkeit / Medien
abgestimmte Statements
Übungen
ISO 22301 verlangt regelmäßige Übungen zur Validierung des BCMS.
Übungs-Typen
Typ
Beschreibung
Frequenz
Walkthrough
Plan-Review mit Verantwortlichen
quartalsweise
Tabletop
Szenario-basiertes Durchspielen
halbjährlich
Funktional
Test einzelner Komponenten (z. B. Restore-Test)
quartalsweise
Vollständige Übung
realistische Krisensimulation
jährlich
Live-Test
echte Aktivierung von Notfall-Komponenten
je nach Risiko
Übungs-Lebenszyklus
Phase
Inhalt
Planung
Szenario, Teilnehmer, Ziele, Erfolgskriterien
Durchführung
gemäß Plan, mit Beobachtern
Auswertung
Lessons Learned, Verbesserungs-Maßnahmen
Anpassung
BCM-Pläne aktualisieren
Übungs-Dokumentation
Jede Übung sollte dokumentiert sein:
Datum, Teilnehmer, Szenario
Ziel-Erreichungs-Grad
identifizierte Lücken
abgeleitete Maßnahmen
Re-Test-Plan
Synergien ISO 27001
ISO 22301 ergänzt ISO 27001 — beide haben sinnvolle Überschneidungen.
Mapping zu ISO 27001
ISO 27001 Annex A
ISO 22301 Bezug
A.5.30 ICT readiness for BC (NEU 2022)
direkt
A.5.29 Information security during disruption
direkt
A.5.24 Incident management
überlappend
A.8.13 Backup
direkt
A.8.14 Redundancy
direkt
Integriertes BCMS-ISMS
Viele Unternehmen betreiben ein integriertes Managementsystem mit:
gemeinsamer Geschäftsleitung
gemeinsamer Sicherheitsorganisation
gemeinsamen Audits
gemeinsamen KPIs
Das spart 30-40 % der separaten Aufwände.
Reihenfolge
Reihenfolge
Wann sinnvoll
ISO 27001 zuerst, ISO 22301 später
wenn Cyber-Risiken dominieren
ISO 22301 zuerst, ISO 27001 später
wenn physische / lieferanten Risiken dominieren
parallel
bei integriertem Aufbau, KRITIS, Finanzdienstleister
BSI-Standard 200-4
Der deutsche BSI-Standard 200-4 ist eine Alternative zu ISO 22301 mit deutscher Detail-Tiefe.
Vergleich ISO 22301 vs. BSI 200-4
Aspekt
ISO 22301
BSI-Standard 200-4
Internationale Anerkennung
hoch
begrenzt auf DACH
Zertifizierbar
ja, akkreditierte Zertifizierer
nicht direkt
Detail-Tiefe
mittel
hoch
Behörden-Akzeptanz
hoch
sehr hoch
KRITIS-Bezug
gut
sehr gut
Empfehlung
International tätige Unternehmen: ISO 22301
Behörden + KRITIS: BSI-Standard 200-4 (oft kombiniert mit IT-Grundschutz)
Beide kombiniert: häufig in Konzernen
NIS2 / DORA
Die jüngsten Regulierungen verschärfen BCM-Anforderungen erheblich.
NIS2-Pflicht „Aufrechterhaltung des Betriebs"
NIS2 § 30 Pkt. 3 BSIG-neu fordert:
BCM nach ISO 22301 oder gleichwertig
Notfall- und Krisenpläne
Backup-Management mit Restore-Tests
RTO/RPO-Definitionen pro kritisches System
DORA Säule „Resilienz"
DORA fordert:
digitale operative Resilienz-Strategie (Art. 5)
Resilienztests (Art. 24-27)
TLPT für signifikante Finanzunternehmen alle 3 Jahre
IKT-Bereitschaft für Geschäftskontinuität
ISO 22301 ist die methodisch passende Grundlage — aber DORA verlangt zusätzliche, sektor-spezifische Anforderungen.
KRITIS-Anforderungen
KRITIS-Betreiber müssen alle 2 Jahre einen Sicherheits-Nachweis erbringen — BCM ist obligatorisch.
Implementierungs-Roadmap
Ein Standard-Aufbau dauert 9-15 Monate.
Phase 1 — Initialisierung (Monat 1-2)
Geschäftsleitungs-Mandat
BCMS-Anwendungsbereich
Projektorganisation
BCM-Beauftragten benennen
Phase 2 — BIA (Monat 2-4)
Geschäftsprozesse identifizieren
Kritikalität bewerten
RTO/RPO definieren
Abhängigkeiten dokumentieren
Phase 3 — Risikoanalyse (Monat 3-5)
Bedrohungs-Identifikation
Wahrscheinlichkeits- und Auswirkungs-Bewertung
Risiko-Inventar
Phase 4 — Strategie-Entwicklung (Monat 5-7)
pro kritischem Prozess strategische Optionen
Kosten-Nutzen-Bewertung
Geschäftsleitungs-Entscheidung
Phase 5 — Notfallpläne (Monat 7-10)
Krisenstab definieren
Notfallpläne pro Szenario
Kommunikations-Pläne
Ressourcen-Pläne
Phase 6 — Erste Übungen (Monat 10-12)
Walkthrough
Tabletop-Übung
Funktionale Tests
Lessons Learned und Anpassung
Phase 7 — Operative Verankerung (Monat 12-15)
Mitarbeiter-Schulung
Wirksamkeits-Messung
Internes Audit
Management-Review
Phase 8 — Zertifizierung (optional, Monat 15+)
externes Audit Stufe 1+2
Korrekturmaßnahmen
Zertifikatsausstellung
FAQ
Wer braucht ISO 22301?+
Praktisch jedes mittlere bis große Unternehmen — besonders KRITIS-Betreiber, Finanzdienstleister, Industrie-Unternehmen mit kritischen Lieferketten und IT-Service-Provider.
Was ist der Unterschied zu ISO 27001?+
ISO 27001 ist auf Informationssicherheit fokussiert, ISO 22301 auf gesamte Geschäftskontinuität. Synergien liegen vor allem im Cyber-Vorfälle-Bereich (50-60 % Mapping).
Was bedeutet RTO und RPO?+
RTO (Recovery Time Objective) ist die maximal akzeptable Wiederherstellungs-Dauer. RPO (Recovery Point Objective) ist der maximal akzeptable Datenverlust.
Wie wird die BIA durchgeführt?+
In Workshops mit den Fachbereichen — pro Geschäftsprozess Kritikalität, RTO, RPO und Abhängigkeiten erfassen.
Wie oft muss ich BCM-Übungen durchführen?+
Mindestens jährlich eine vollständige Übung plus quartalsweise Walkthrough und halbjährlich Tabletop. Funktionale Tests (Restore-Tests) quartalsweise.
Reicht eine ISO-27001-Zertifizierung statt ISO 22301?+
Nein — ISO 27001 deckt nur Cyber-Aspekte. Für vollständiges BCM ist zusätzliche ISO-22301- oder BSI-200-4-Implementation erforderlich.
Welche Rolle spielt ISO 22301 für NIS2?+
NIS2 fordert in Säule „Aufrechterhaltung des Betriebs" einen BCM-Ansatz — ISO 22301 ist die etablierte Methodik dafür.
Backup ohne Restore-Tests, fehlende Übungen, unvollständige BIA, zu strenge RTO/RPO ohne wirtschaftliche Bewertung, vernachlässigte Lieferanten-Bewertung.
ISO 22301 ist die strategische Grundlage für Geschäftskontinuität — und damit für unternehmerisches Überleben in der Krise. Drei strategische Empfehlungen:
Erstens, BIA als Steuerungsinstrument. Ohne fundierte Business Impact Analyse sind RTO/RPO-Vorgaben nur Vermutungen — und die strategischen Investitionen falsch dimensioniert.
Zweitens, regelmäßige Übungen. Ein Notfallplan ohne Test ist nur Theorie. Mindestens jährliche vollständige Übung ist Pflicht.
Drittens, integrierter Ansatz mit ISO 27001 und ggf. BSI-200-4. Synergien sparen erheblich Aufwand und schaffen ein konsistentes Sicherheits-Gesamtbild.
Vision Compliance unterstützt Unternehmen bei BCMS-Aufbau und Vorfallmanagement — als Teil unserer Cyber-Security-Beratung und NIS2-Beratung. Wir kombinieren ISO 22301, BSI-200-4, NIS2 und DORA-Anforderungen für integrierte Resilienz-Konzepte. Sprechen Sie uns an für ein kostenloses BCM-Erstgespräch mit individueller BIA-Quick-Check.
ÜBER DEN AUTOR
RL
Robert Lozo
Partner · CIPP/E · CIPM · CISM
Robert berät Organisationen zu DSGVO, NIS2, EU AI Act und Finanzregulierung — mit auditfähiger Dokumentation und Compliance-Programmen für regulierte Branchen.