- Bedeutung
- Business Continuity Plan (Notfallplan)
- Zweck
- Geschäftsbetrieb bei Störungen aufrechterhalten
- Inhalt
- Kritische Prozesse, Rollen, Wiederanlauf
- Verwandt
- BCMS, DRP
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist ein BCP?
Der Business Continuity Plan ist das operative Herzstück der Notfallvorsorge: ein konkretes, dokumentiertes Drehbuch dafür, wie ein Unternehmen auch bei größeren Störungen – Cyberangriff, Stromausfall, Ausfall eines Rechenzentrums oder eines Schlüssellieferanten – seine wichtigsten Prozesse weiterführt. Während Business Continuity das übergeordnete Ziel beschreibt, übersetzt der BCP dieses Ziel in handfeste Anweisungen: Er legt fest, wer was in welcher Reihenfolge tut, auf welche Ausweichlösungen umgestellt wird und wie kommuniziert wird, bis der Normalbetrieb zurückkehrt.
Was ein BCP enthält
Ein belastbarer BCP stützt sich auf eine vorab durchgeführte Business-Impact-Analyse und enthält typischerweise folgende Bestandteile:
- Liste der kritischen Geschäftsprozesse und ihrer Abhängigkeiten
- Maximal tolerierbare Ausfallzeiten je Prozess
- Rollen, Verantwortliche und Notfall-Kommunikationswege
- Ausweich- und Wiederanlauf-Reihenfolge mit konkreten Sofortmaßnahmen
Beispiel: Bei einem regionalen Energieversorger fällt das zentrale Abrechnungssystem nach einem Cyberangriff aus. Der BCP greift sofort: Das Callcenter wechselt auf vordefinierte manuelle Abläufe, ein benannter Notfallkoordinator priorisiert die Wiederherstellung, und die Kommunikationsvorlagen für Kunden und die zuständige Behörde liegen abrufbereit vor. So bleibt der Versorger handlungsfähig, statt im Chaos zu improvisieren.
BCP, DRP und BCMS
Der BCP ist Teil eines größeren Systems: Das BCMS steuert die Notfallvorsorge übergeordnet und hält Pläne aktuell, der DRP kümmert sich speziell um die technische Wiederherstellung der IT. Der BCP ist damit breiter als der DRP, aber konkreter als das BCMS.
BCP und NIS2
Die seit dem 6. Dezember 2025 geltende NIS2-Richtlinie verlangt Maßnahmen zur Aufrechterhaltung des Betriebs und zum Krisenmanagement. Ein getesteter und regelmäßig geübter BCP ist der praktische Kern davon – und ein wichtiger Nachweis, falls die Aufsichtsbehörde die Resilienz prüft. Bei wesentlichen Einrichtungen drohen für Versäumnisse Bußgelder bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Weiterführende Quelle: ISO 22301 – internationaler Standard für Business Continuity Management
Häufige Fragen
Was ist ein Business Continuity Plan?
Ein Business Continuity Plan (BCP) ist ein konkreter, dokumentierter Notfallplan, der kritische Geschäftsprozesse auch bei Störungen wie Cyberangriff, Stromausfall oder Rechenzentrumsausfall aufrechterhält. Er legt fest, wer was in welcher Reihenfolge tut, auf welche Ausweichlösungen umgestellt wird und wie kommuniziert wird, bis der Normalbetrieb zurückkehrt. Der BCP stützt sich dabei auf eine vorab durchgeführte Business-Impact-Analyse der wichtigsten Prozesse.
Was ist der Unterschied zwischen BCP und DRP?
Der BCP (Business Continuity Plan) sichert den gesamten Geschäftsbetrieb inklusive Personal, Standorten und Prozessen, während der DRP (Disaster Recovery Plan) gezielt die technische Wiederherstellung von IT-Systemen und Daten regelt. Der DRP ist damit ein Teilplan innerhalb der breiteren Business-Continuity-Planung. Der BCP ist also breiter angelegt als der DRP, aber konkreter als das übergeordnete BCMS.
Muss man einen BCP für NIS2 haben?
Die seit dem 6. Dezember 2025 geltende NIS2-Richtlinie verlangt Maßnahmen zur Aufrechterhaltung des Betriebs und zum Krisenmanagement, listet aber keinen BCP namentlich. In der Praxis ist ein getesteter Business Continuity Plan jedoch der gängige und nachweisbare Weg, diese Pflichten umzusetzen. Bei wesentlichen Einrichtungen drohen für Versäumnisse Bußgelder bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes.