- Bedeutung
- Business Continuity Management System
- Zweck
- Notfallvorsorge planen, testen, verbessern
- Norm
- Oft angelehnt an ISO 22301
- Verwandt
- BCP, DRP
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist ein BCMS?
Das BCMS (Business Continuity Management System) ist der organisatorische Rahmen hinter dem BCP. Es ist kein einzelnes Dokument, sondern ein dauerhaft betriebenes Steuerungssystem mit klaren Verantwortlichkeiten, Richtlinien und Prozessen. Seine Aufgabe ist es, dafür zu sorgen, dass Notfallpläne nicht einmalig erstellt und dann vergessen werden, sondern auf Basis einer Business-Impact-Analyse entstehen, regelmäßig getestet, nach Übungen und Vorfällen ausgewertet und kontinuierlich verbessert werden. Damit hebt das BCMS die Business Continuity von einer punktuellen Maßnahme auf die Ebene eines gemanagten, nachweisbaren Programms.
Der Kreislauf
Wie ein ISMS folgt ein BCMS dem Plan-Do-Check-Act-Prinzip der kontinuierlichen Verbesserung: planen, umsetzen, testen, nachbessern. So bleibt die Notfallfähigkeit auch dann aktuell, wenn sich Prozesse, IT-Landschaft oder Bedrohungslage verändern. Das Leitungsorgan trägt dabei die Gesamtverantwortung und gibt Ziele und Ressourcen vor.
Ein typischer Fall: Ein Krankenhaus führt sein BCMS so, dass jedes Quartal ein anderes Szenario geübt wird – etwa der Ausfall des Klinikinformationssystems. Nach jeder Übung fließen die Erkenntnisse in aktualisierte Notfallpläne ein, neue kritische Anwendungen werden in den Geltungsbereich aufgenommen, und die Geschäftsführung erhält einen Bericht. So bleibt die Notfallvorsorge lebendig, statt nach dem ersten Audit zu veralten.
BCMS und ISO 22301
Der internationale Standard ISO 22301 beschreibt, wie ein BCMS aufgebaut und betrieben wird. Unternehmen können sich danach zertifizieren lassen – ähnlich wie nach ISO 27001 für Informationssicherheit – und schaffen damit einen anerkannten Nachweis ihrer Notfallreife gegenüber Kunden und Behörden.
BCMS und NIS2
Die seit dem 6. Dezember 2025 geltende NIS2-Richtlinie verlangt Maßnahmen zur Aufrechterhaltung des Betriebs und zum Krisenmanagement. Ein BCMS ist das passende Werkzeug, um diese Anforderungen strukturiert, wiederholbar und nachweisbar zu erfüllen, statt sie in losen Einzelmaßnahmen zu verteilen.
Weiterführende Quelle: ISO 22301 – Anforderungen an Business-Continuity-Managementsysteme
Häufige Fragen
Was ist ein BCMS?
Ein BCMS (Business Continuity Management System) ist das übergeordnete Managementsystem für Notfallvorsorge, das Planung, Tests und kontinuierliche Verbesserung der Notfallfähigkeit steuert. Es ist kein einzelnes Dokument, sondern ein dauerhaft betriebenes Steuerungssystem mit klaren Verantwortlichkeiten, Richtlinien und Prozessen. Das BCMS sorgt dafür, dass Notfallpläne auf Basis einer Business-Impact-Analyse entstehen, regelmäßig getestet und nach Übungen oder Vorfällen verbessert werden.
Wie unterscheiden sich BCMS und BCP?
Das BCMS (Business Continuity Management System) ist das übergeordnete Managementsystem, das Verantwortlichkeiten, Tests und kontinuierliche Verbesserung der Notfallvorsorge organisiert. Der BCP (Business Continuity Plan) ist dagegen ein konkreter, dokumentierter Notfallplan, der innerhalb dieses Systems entsteht und gepflegt wird. Das BCMS ist also der organisatorische Rahmen, während der BCP die operative Handlungsanweisung für den Ernstfall liefert.
Welche Norm steht hinter dem BCMS?
Maßgeblich ist die internationale Norm ISO 22301, die Aufbau, Betrieb und Zertifizierung eines Business Continuity Management Systems beschreibt. Sie folgt demselben Plan-Do-Check-Act-Prinzip wie die ISO 27001 für Informationssicherheit. Unternehmen können sich nach ISO 22301 zertifizieren lassen und schaffen damit einen anerkannten, von externen Stellen geprüften Nachweis ihrer Notfallreife gegenüber Kunden, Partnern und Behörden.