ISO 22301: Business Continuity Management

Compliance · ISO 22301

ISO 22301:2019 ist die internationale Norm für Business Continuity Management Systems (BCMS). Sie ermöglicht die Wiederherstellung nach Vorfällen und erfüllt etwa 80 % der Pflichten aus NIS2 und DORA.

Business Continuity ist kein Luxus mehr: Sie ist Anforderung. NIS2 verlangt sie für wesentliche und wichtige Einrichtungen, DORA für Finanzunternehmen, und immer mehr Ausschreibungen verlangen sie als Voraussetzung. ISO 22301 liefert den international anerkannten Rahmen und ist zertifizierbar.

Was deckt das BCMS nach ISO 22301 ab?

Identifikation kritischer Prozesse via BIA (Business Impact Analysis).
Definition von RTO (Recovery Time Objective) und RPO (Recovery Point Objective).
Risikoanalyse mit Fokus auf Verfügbarkeit.
Wiederherstellungsstrategien (alternative Standorte, Cloud, Backup-Lieferanten).
Business Continuity Plan und Disaster Recovery Plan.
Kommunikation in Krisensituationen.
Übungen und Simulationen (mindestens jährlich).
Kontinuierliche Verbesserung und Managementbewertung.

Wesentliche Komponenten der Implementierung

1. Business Impact Analysis (BIA)

Identifikation der kritischen Prozesse, deren Unterbrechung das Geschäft am stärksten beeinträchtigt. Quantifizierung der Auswirkungen (finanziell, reputationell, rechtlich) je Stunde Ausfall. Festlegung der Maximum Tolerable Period of Disruption (MTPD).

2. Risikoanalyse

Konsistent mit ISO 31000, mit Fokus auf Bedrohungen für die Verfügbarkeit: Cyberangriffe, Naturkatastrophen, Provider-Ausfall, Pandemie, Personalausfall.

3. Wiederherstellungsstrategie

Für jeden kritischen Prozess die effizienteste Strategie auswählen: redundanter aktiv-aktiv Standort, Cold-Site, Cloud Failover, alternative Provider, manuelle Notfallprozesse. Investition gegen RTO/RPO ausbalancieren.

4. Business Continuity Plan

Dokumentation der Verantwortlichkeiten, Aktivierungsablauf, Krisenkommunikation, interne und externe Kontakte, Eskalationskriterien.

5. Übungen

Tabletop, technische Tests, vollständige Simulationen. Mindestens eine Übung pro Jahr je kritischem Prozess. Ergebnisse dokumentieren und Plan anpassen.

Zusammenhang mit anderen Normen

ISO 22301 wird häufig mit ISO 27001 (Anhang A.5.29-A.5.30 zu Business Continuity), dem ENS (Klausel op.cont) und NIS2/DORA integriert. Ein einheitliches BCMS erfüllt mehrere Normen mit geteilten Dokumenten und Übungen.

Praxisbeispiel: Krankenhaus mit 600 Betten

Ein Privatkrankenhaus in Kastilien und León implementierte ISO 22301, da NIS2 das Gesundheitswesen als wesentliche Einrichtung einstuft. BIA identifizierte 18 kritische Prozesse, von denen 6 RTO unter 4 Stunden benötigten. Investition 145.000 € in 9 Monaten (aktiv-aktiv Standort, redundante elektronische Patientenakte, Notfall-Kommunikation). Ergebnis bei realem Ransomware-Vorfall im Folgejahr: kritische Services in 78 Minuten wiederhergestellt; geschätzte vermiedene Verluste ca. 3,2 Mio. €.

Häufig gestellte Fragen

Für welche Unternehmen ist ISO 22301 sinnvoll?

Unternehmen mit hohem Verfügbarkeitsbedarf: Banken, Versicherer, Cloud-Provider, kritische Infrastrukturen, Krankenhäuser, Logistik, Industriebetriebe mit kontinuierlicher Produktion. Auch für KMU, die an Ausschreibungen teilnehmen oder als Lieferant kritischer Branchen arbeiten.

Wie hängt ISO 22301 mit NIS2 und DORA zusammen?

NIS2 verlangt Business-Continuity- und Krisenmanagementpläne für wesentliche und wichtige Einrichtungen. DORA verlangt Operational-Resilience-Tests für Finanzunternehmen. Eine ISO-22301-Implementierung deckt etwa 80 % beider Anforderungen ab und liefert dokumentierte Evidenz.

Welche Phasen umfasst die Implementierung?

Business Impact Analysis (BIA), Risikoanalyse, Strategieauswahl, Definition Business Continuity Plan (BCP), Disaster Recovery Plan (DRP), Schulung, Übungen und Audit. Typische Dauer: 6-9 Monate für mittlere Organisationen.

Wie unterscheidet sich ein BCP von einem DRP?

Der Business Continuity Plan (BCP) deckt alle kritischen Prozesse und Funktionen für die Aufrechterhaltung des Geschäfts ab. Der Disaster Recovery Plan (DRP) fokussiert technisch auf die Wiederherstellung von IT-Systemen und Daten. Der DRP ist eine Teilmenge des BCP.

Checkliste: 8 Schritte zur ISO 22301

Anwendungsbereich und kritische Services definieren.
BIA durchführen mit RTO/RPO je Prozess.
Risikoanalyse mit Fokus Verfügbarkeit.
Wiederherstellungsstrategien wählen.
BCP und DRP dokumentieren.
Team schulen und Krisenkommunikation einrichten.
Mindestens jährliche Übungen.
Internes Audit, Managementbewertung, externe Zertifizierung.

Autor: Ángel Ortega Castro · unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU.

Brauchen Sie Unterstützung?

Arbeiten Sie mit mir an Ihrer ISO 22301

Beratung zur Implementierung und Zertifizierung ISO 22301. Erstgespräch kostenfrei.

Termin vereinbaren →

Haeufig gestellte Fragen

Wie wirkt sich das auf mein KMU aus?

Es gilt, sobald Sie spanische Kunden bedienen oder spanische Daten verarbeiten; der Rahmen ist oberhalb der in der Tabelle zusammengefassten Schwellenwerte verbindlich.

Wie hoch sind die Kosten 2026?

Richtwerte fuer KMU mit 10-50 Mitarbeitenden: 2.500-12.000 EUR fuer die Dokumentation + Auditorenhonorare AENOR / BV / SGS / LRQA.

Welche spanische Regelung gilt?

Die BOE verweist auf RD 311/2022 (ENS), Verordnung EU 2016/679 (DSGVO), LOPDGDD, NIS2, DORA und EU AI Act 2024/1689 je nach Umfang.

Wie lange dauert die Implementierung?

Durchschnittlich 4-7 Monate pro ISO. Ein integriertes SGI (9001+14001+27001) dauert in der Regel 8-12 Monate.

Kann es ueber Kit Digital oder Kit Consulting kofinanziert werden?

Ja, Kit Consulting 2026 deckt bis zu 24.000 EUR Beratungsstunden ab; Kit Digital deckt Werkzeuge (CRM, ERP, Cybersicherheit) bis zu 29.000 EUR ab.

ISO 22301 · Business Continuity Management