Ein Montag, 07:48 Uhr. Die IT eines großen Stadtwerks bricht vollständig zusammen – Ursache: ein Ransomware-Angriff. Kein Stromnetzmonitoring, keine Kundenkommunikation, keine Abrechnung. Im Meetingraum: Krisenmodus. Notfallpläne werden gesucht. Zu spät.
Was hätte geholfen? Ein gelebtes, systemgestütztes BCMS.
Was ist ein BCMS?
Ein Business Continuity Management System (BCMS) ist ein systematischer, normengeleiteter Ansatz zur Aufrechterhaltung der Betriebsfähigkeit in Ausnahmesituationen. Es verfolgt das Ziel, kritische Geschäftsprozesse auch im Krisenfall fortzuführen oder in akzeptabler Zeit wiederherzustellen, um Schäden für Kunden, Partner, Mitarbeitende und das Unternehmen selbst zu minimieren.
Ein BCMS besteht nicht nur aus Wiederanlaufplänen, sondern umfasst:
- die Identifikation kritischer Prozesse und Ressourcen (z. B. durch Business Impact Analysen),
- die Definition von Wiederherstellungszielen wie RTO (Recovery Time Objective) und RPO (Recovery Point Objective),
- den Aufbau strukturierter Reaktionspläne und Kommunikationswege,
- die Verantwortlichkeitsregelung, inklusive Schulung und Awareness,
- sowie die regelmäßige Prüfung, Pflege und Weiterentwicklung des Systems (z. B. durch Notfallübungen).
Im Idealfall ist ein BCMS vollständig in das Unternehmensmodell integriert, mit Schnittstellen zum Risikomanagement, zur Informationssicherheit (ISMS) und zu operativen Abläufen.
Mit der BPM- und GRC-Software Aeneis wird ein BCMS nicht nur dokumentiert, sondern gelebt, getestet und jederzeit einsatzbereit – revisionssicher, rollenbasiert und entlang anerkannter Standards wie ISO 22301.
Warum jedes Unternehmen ein BCMS braucht
Ein BCMS schützt nicht nur vor Katastrophen. Es schützt vor:
- Imageverlust bei Kunden & Partnern
- Strafzahlungen bei Compliance-Verstößen
- Produktionsstillstand & Lieferengpässen
- Vertrauensverlust bei Aufsichtsbehörden
- Chaos im Ernstfall
Und es sichert
- Betriebskontinuität
- Digitale Resilienz
- Prüfungsfähigkeit
- Reaktionsgeschwindigkeit
Für wen Aeneis besonders relevant ist
Unternehmen, die hohen regulatorischen Anforderungen unterliegen oder KRITIS-relevant sind – etwa im Finanzwesen, Gesundheitswesen, der Energiebranche oder dem Maschinenbau – profitieren besonders von einem digital integrierten BCMS mit Aeneis. Hier ist Prüfbarkeit, Wiederherstellbarkeit und Resilienzfähigkeit nicht nur sinnvoll, sondern gefordert.
Regulatorik: Was gefordert ist – und was geprüft wird
Ein belastbares Business Continuity Management System ist für viele Unternehmen nicht nur sinnvoll, sondern gesetzlich oder normativ vorgeschrieben. Regulierer, Gesetzgeber und internationale Normen fordern eine strukturierte, nachweisbare und kontinuierlich gepflegte Vorsorge für den Krisenfall. Dabei steht nicht die reine Dokumentation im Fokus, sondern der lebensnahe Nachweis von Wirksamkeit.
Folgende Vorgaben und Standards sind dabei für ein BCMS besonders relevant:
- ISO 22301: Der internationale Standard für Business Continuity Management ist die zentrale Referenz für alle Unternehmen, die ihr BCMS systematisch aufbauen und weiterentwickeln wollen. Gefordert werden u. a. eine Business Impact Analyse (BIA), strukturierte Wiederanlaufpläne, regelmäßige Tests und eine kontinuierliche Verbesserung des Systems. Aeneis unterstützt hier mit methodisch geführter Prozessdokumentation, rollenbasiertem Zugriff und dokumentierter Testplanung.
- MaRisk (Mindestanforderungen an das Risikomanagement): Für Banken und Finanzdienstleister sind funktionierende Notfallkonzepte obligatorisch. Die MaRisk fordern ein institutsspezifisches Notfallmanagement, das auf die Fortführung wesentlicher Prozesse im Ernstfall abzielt – inklusive Rollen, Verantwortlichkeiten und Testverfahren. Aeneis bietet hier eine integrierte Lösung, die regulatorisch prüfbare Workflows mit dem operativen BCM verbindet.
- BAIT (Bankaufsichtliche Anforderungen an die IT): Die BAIT ergänzen die MaRisk um spezifische Anforderungen an das IT-Notfallmanagement. Gefordert werden klare Strukturen zur Wiederherstellung von IT-Diensten, Dokumentation von Abhängigkeiten und regelmäßige Wirksamkeitstests. Mit Aeneis können diese Anforderungen nicht nur erfüllt, sondern nachvollziehbar dokumentiert und zentral gesteuert werden.
- DORA (Digital Operational Resilience Act): Ab 2025 gilt dieser neue EU-Rahmen für nahezu alle Finanzunternehmen. Im Fokus stehen die digitale Resilienz und der Nachweis von Ausfallsicherheit, insbesondere im Kontext cyberphysischer Risiken. Aeneis hilft, DORA-konforme Prozesse, Risiken, Wiederanlaufstrategien und externe Abhängigkeiten systematisch zu modellieren und zu überwachen.
- NIS-2-Richtlinie: Für Unternehmen, die unter die KRITIS-Regulierung fallen, bringt NIS-2 verschärfte Anforderungen in Bezug auf IT-Sicherheit, Vorfallsreaktion und Business Continuity. Der Nachweis eines aktuellen, gelebten und getesteten BCMS wird zur Pflicht. Mit Aeneis können diese Anforderungen in Echtzeit überwacht und regelmäßig evaluiert werden – auf Prozessebene, systembezogen und organisationsweit.
- ISO 27001: Die Norm für Informationssicherheits-Management fordert ebenfalls Maßnahmen zur Wiederherstellung der Geschäftstätigkeit bei IT- oder Sicherheitsvorfällen. Ein BCMS ist hier elementarer Bestandteil der gesamten Sicherheitsstrategie. Aeneis verbindet ISMS und BCM in einem System – mit gemeinsamen Strukturen, verknüpften Risiken und klarer Verantwortlichkeitsregelung.
Prüfende Stellen, Auditoren und Aufsichtsbehörden erwarten nicht nur eine Notfallakte, sie erwarten ein integriertes, revisionssicheres und regelmäßig getestetes System, das im Ernstfall funktioniert. Mit Aeneis setzen Sie diese Anforderungen systemgestützt, nachvollziehbar und zukunftssicher um.
BCMS mit Aeneis: Ihre Resilienz digital denken
Die BPM- und GRC-Software Aeneis ist der Schlüssel zur vernetzten, revisionssicheren und normkonformen Umsetzung eines BCMS.
Aeneis vereint:
... in einem einzigen, leistungsstarken System.
Funktionen für Ihr BCM in Aeneis:
- Wiederanlaufpläne im Prozess:
Wiederherstellungspläne (BCPs) sind direkt in den Prozessen hinterlegt – klar strukturiert, testbar und jederzeit einsatzbereit. - Integrierte BIA:
Business Impact Analysen für Prozesse und Ressourcen – auch ohne Prozessmodell – mit direkter Verknüpfung zur ISMS-Kategorisierung. - Kritische Ressourcen & RPOs:
Dokumentation aller benötigten Ressourcen je Prozess inkl. Recovery Point Objectives (RPO). - BCMS-Ansichten & App:
Spezielle Sichten für Notfall- und Prozessverantwortliche; individuell konfigurierbare BCMS-App zur einfachen Pflege. - Automatisiertes Notfallhandbuch:
Exportfähiges Handbuch inkl. Wiederanlaufplänen & Geltungsbereich, validiert auf Aktualität und Vollständigkeit. - ISO 22301-Standardregelwerk & SoA:
Vorkonfiguriertes Regelwerk und SoA-Vorlage – sofort einsatzbereit, auditfähig und erweiterbar.
Mehr zum BCM in Aeneis lesen Sie hier.
Häufig gestellte Fragen (FAQ) zum BCMS
Was ist der Unterschied zwischen BCMS und Notfallmanagement?
Ein Notfallmanagement beschreibt Maßnahmen zur Reaktion auf akute Störungen. Ein BCMS ist umfassender: Es plant strategisch, analysiert Auswirkungen (BIA), definiert Wiederanlaufziele (RTO/RPO) und integriert Tests, Rollen und Dokumentation.
Ist ein BCMS auch ohne ISO-Zertifizierung sinnvoll?
Ja. Auch ohne formale Zertifizierung profitieren Unternehmen von erhöhter Resilienz, klaren Abläufen und gesicherter Handlungsfähigkeit – insbesondere bei internen Audits, Kundenprüfungen oder Cybervorfällen.
Wie unterstützt Aeneis bei der Umsetzung der ISO 22301?
Aeneis stellt ein vollständiges Regelwerk, eine SoA-Vorlage, konfigurierbare Kataloge u.v.m. bereit – ideal für eine normkonforme, digitale und prüffähige Umsetzung der ISO 22301.
Kann ich bestehende Prozesse und ISMS-Strukturen für das BCMS weiterverwenden?
Ja. Aeneis ermöglicht die direkte Übernahme von ISMS-Kategorisierungen ins BCMS und verknüpft diese mit Wiederanlaufplänen, BIA und Verantwortlichkeiten.
Wie halte ich das Notfallhandbuch in Aeneis aktuell?
Über den integrierten Validator prüft Aeneis automatisch, ob alle BCMS-relevanten Inhalte vorhanden, freigegeben und aktuell sind, inklusive Rollen, Dokumenten und Gültigkeiten.