- Bedeutung
- Aufrechterhaltung des Geschäftsbetriebs bei Störungen
- Ziel
- Handlungsfähig bleiben, kritische Prozesse fortführen
- Werkzeuge
- BCP, BCMS, DRP, Backups
- Bezug zu NIS2
- Resilienz ist Kernziel
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist Business Continuity?
Business Continuity (Geschäftskontinuität) ist der Oberbegriff für die Fähigkeit einer Organisation, auch bei größeren Störungen – Cyberangriff, Stromausfall, Ausfall eines Rechenzentrums oder eines wichtigen Dienstleisters – weiterzuarbeiten und ihre kritischen Geschäftsprozesse innerhalb akzeptabler Zeit aufrechtzuerhalten oder wieder anlaufen zu lassen. Während einzelne Notfalldokumente konkrete Abläufe regeln, beschreibt Business Continuity das übergeordnete Ziel: die durchgehende Handlungsfähigkeit des Unternehmens. Im Mittelpunkt steht die Frage, welche Prozesse so wichtig sind, dass ihr Ausfall existenzbedrohend wäre, und wie lange ein Stillstand maximal tolerierbar ist.
Die Bausteine
Business Continuity wird nicht durch ein einzelnes Werkzeug erreicht, sondern durch ein abgestimmtes Zusammenspiel mehrerer Bausteine, die jeweils eine eigene Aufgabe erfüllen:
- BCP: der konkrete, operative Notfallplan für den Geschäftsbetrieb.
- BCMS: das übergeordnete Managementsystem, das Notfallpläne aktuell, getestet und wirksam hält.
- DRP: der technische Plan für die Wiederherstellung von IT-Systemen und Daten.
- Krisenmanagement: die Steuerung und Kommunikation auf Führungsebene.
Begriffe sauber abgrenzen: Cluster auf einen Blick
Die fünf Begriffe werden im Alltag oft vermischt, obwohl jeder eine andere Flughöhe hat. Die folgende Tabelle ordnet sie nach Fokus und Normbezug. Kurz gesagt: Business Continuity ist das Dach, alles andere arbeitet darunter.
| Begriff | Fokus | ISO-Bezug |
|---|---|---|
| Business Continuity | Oberziel: durchgehende Handlungsfähigkeit der gesamten Organisation | ISO 22301 (Rahmenkonzept) |
| BCP | Operativer Notfallplan: Wer tut was, wenn ein Prozess ausfällt? | ISO 22301, Abschnitt 8.4 |
| BCMS | Managementsystem: hält Pläne aktuell, geprüft und auditierbar | ISO 22301 (zertifizierbare Norm) |
| DRP | Technische IT-Wiederherstellung: Systeme, Netze, Daten | ISO/IEC 27031 (IKT-Bereitschaft) |
| Wiederherstellung | Konkrete Rückkehr eines Systems oder Datenbestands in den Sollzustand | ISO/IEC 27031, Backup-Vorgaben |
Üben, nicht nur planen
Pläne, die ungelesen in der Schublade liegen, helfen im Ernstfall wenig. Entscheidend sind regelmäßige Tests, Notfallübungen und realistische Szenarien – damit im Krisenfall jede Person ihre Rolle kennt und Abläufe unter Druck funktionieren. Wer den All-Hazards-Gedanken konsequent verfolgt, übt nicht nur den Cyberangriff, sondern auch Strom- oder Lieferantenausfälle.
Ein Beispiel macht das greifbar. Bei einem mittelständischen Maschinenbauer verschlüsselt Ransomware nachts das ERP-System, und weil ein zuvor mehrfach durchgespielter BCP existiert, schaltet die Produktion am Morgen ohne langes Zögern auf vordefinierte Notfall-Prozesse mit Papierlaufzetteln um, während der Krisenstab parallel Kunden informiert, die zuständige Behörde innerhalb der NIS2-Meldekette benachrichtigt und der DRP das ERP aus geprüften, vom Netz getrennten Offline-Backups zurückspielt. Die Lieferfähigkeit bleibt erhalten. Genau dieser Unterschied – Stunden statt Tage – entscheidet bei einem Zulieferer oft über Vertragsstrafen und den Verbleib im Lieferantenpool.
Business Continuity und NIS2
Resilienz ist kein Beiwerk, sondern Pflicht. Die seit dem 6. Dezember 2025 in Kraft befindliche NIS2-Umsetzung nennt Aufrechterhaltung des Betriebs, Backup-Management und Krisenmanagement ausdrücklich als verpflichtende Risikomanagement-Maßnahmen. Entscheidend ist dabei, dass die Geschäftsleitung die Maßnahmen nicht nur freigibt, sondern persönlich für deren Wirksamkeit haftet – ein Punkt, der Business Continuity vom IT-Thema zur Chefsache macht. Greift im Ernstfall eine meldepflichtige Störung, gilt die gestufte Meldekette: Erstmeldung innerhalb von 24 Stunden, ausführliche Meldung nach 72 Stunden, Abschlussbericht binnen eines Monats. Bei Verstößen drohen wesentlichen Einrichtungen Bußgelder bis 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes, wichtigen Einrichtungen bis 7 Mio. Euro oder 1,4 %.
Die BSI-Erstregistrierungsfrist (6. März 2026) ist inzwischen abgelaufen; betroffene Unternehmen können sich jedoch weiterhin nachträglich registrieren, ohne dass die Pflichten dadurch entfallen.
Was müssen Sie konkret tun?
- Kritische Geschäftsprozesse identifizieren und maximal tolerierbare Ausfallzeiten (BIA) je Prozess festlegen.
- BCP, DRP und Krisenrollen schriftlich fixieren und mindestens einmal jährlich realistisch üben.
- Offline- und unveränderbare Backups einrichten und die Wiederherstellung regelmäßig testen – nicht nur die Sicherung.
- Die 24/72-Stunden-Meldekette in den Notfallplan einbauen, inklusive benannter Ansprechpartner für das BSI.
- Nachweise (Übungsprotokolle, Testberichte, Freigaben der Leitung) prüfsicher dokumentieren – falls noch nicht beim BSI registriert, die Nachregistrierung anstoßen.
Häufige Fragen
Was bedeutet Business Continuity?
Business Continuity (Geschäftskontinuität) bezeichnet die Fähigkeit einer Organisation, auch bei größeren Störungen wie Cyberangriff, Stromausfall oder dem Ausfall eines Rechenzentrums handlungsfähig zu bleiben und ihre kritischen Geschäftsprozesse innerhalb akzeptabler Zeit aufrechtzuerhalten oder wieder anlaufen zu lassen. Es ist das übergeordnete Ziel, unter dem einzelne Notfallpläne und das Management der Wiederanlaufzeiten konkret zusammenwirken. Der Rahmen ist in der Norm ISO 22301 beschrieben.
Welche Werkzeuge gehören zur Business Continuity?
Zur Business Continuity gehören vor allem der BCP als operativer Notfallplan für den Geschäftsbetrieb, das BCMS als steuerndes Managementsystem nach ISO 22301 und der DRP für die technische Wiederherstellung von IT-Systemen und Daten. Ergänzt werden diese Bausteine durch regelmäßig getestete Offline-Backups, geübte Krisenrollen und eine Business Impact Analyse, die festlegt, welche Prozesse wie lange ausfallen dürfen, ohne existenzbedrohend zu werden.
Warum ist Business Continuity für NIS2 wichtig?
Die seit dem 06.12.2025 in Kraft befindliche NIS2-Umsetzung nennt Aufrechterhaltung des Betriebs, Backup-Management und Krisenmanagement ausdrücklich als verpflichtende Risikomanagement-Maßnahmen, für deren Wirksamkeit die Geschäftsleitung persönlich haftet. Bei meldepflichtigen Störungen gilt die Meldekette mit 24 Stunden Frühwarnung, 72 Stunden Meldung und einem Monat Abschlussbericht. Verstöße können bei wesentlichen Einrichtungen Bußgelder bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes auslösen.
Weiterführende Quelle: ISO 22301 – Business Continuity Management Systems (Norm-Übersicht)