BCM: Business Continuity Management hat zum Ziel, die Resilienz einer Organisation gegen Schadensereignisse zu stärken. Schadensereignisse, die zeitkritische und relevante Prozesse in der Organisation betreffen, sollen frühzeitig erkannt und ggf. in ihren Auswirkungen so weit möglich abgemildert werden.
Unterscheidung von Schadensereignissen: Störung, Notfall, Krise
Im allgemeinen sollen nach BSI Standard 200-4 Schadensereignisse, die zeitkritische Geschäftsprozesse betreffen, durch ein BCMS behandelt werden.
Im Fokus des BCM liegen die zeitkritischen Geschäftsprozesse der Institution, die gegen Ausfälle abgesichert werden sollen
(Quelle: BSI Standard 200-4)
Ziel eines BCMS ist, die Ausfallzeiten wichtiger Geschäftsprozesse so gering wie möglich zu halten und damit den Schaden bestmöglich zu begrenzen. Zu unterscheiden sind Störungen, Notfälle und Krisen. Störungen sollten im normalen Geschäftsablauf behoben werden können, für Notfälle und Krisen sind BAO, Besondere Aufbauorganisationen, erforderlich.
Organisation eines BCMS
Der Aufbau eines BCMS ist als PDCA (Plan-Do_Check-Act) Prozess zu initiieren. Der iterative Prozess ist in Abständen zu wiederholen, Maßnahmen müssen getestet und auf Aktualität und Wirksamkeit regelmäßig geprüft werden. In einer dynamische sich ändernden Bedrohungslandschaft muss ein BCMS kontinuierlich angepasst werden, um im Not- oder Krisenfall wirksam zu sein. Elemente eines BCMS sind:
- BCM Organisation
- BCM Methoden
- BCM Prozess
- BCM Ressourcen
- BCM Dokumentation
Das BSIG gibt keine konkrete Form des BCMS vor, in § 30 Abs. 2 ist jedoch die Anforderung an ein adäquates BCM-System implizit in der Forderung nach „Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement“ enthalten.
Zusammen mit den Meldepflichten nach BSIG und, sofern zutreffend, nach DSGVO, sollen die Anforderungen ein insgesamt höheres Sicherheitsniveau in Deutschland und EU-weit schaffen. Unternehmen, die weder über ein Informations-Sicherheits-Management-System noch über ein BCMS verfügen, sollten sich Gedanken über die Einführung machen. Die Investition in die eigene Sicherheit und die der verbundenen Unternehmen und Organisationen ist allemal niedriger, als ggf. einen länger andauernden Krisenfall zu bewältigen.
Achtung:
Die Pflicht zur Registrierung als NIS2/BSI reguliertes Unternehmen endet spätestens am 6.3.2026. Unternehmen, die unter die Regelungen fallen, sollten zeitnah handeln. Weitere Informationen zur Registrierungspflicht hier auf dieser Seite.
Hilfe benötigt?
Dann kontaktieren Sie uns einfach unter info@prisecon.de und vereinbaren ein kostenfreies Evaluationsgespräch.
Sie benötigen Hilfe bei der Umsetzung der Rechtspflichten nach NIS2/BSIG?
Wir beraten und betreuen eine Reihe mittelständischer Unternehmen und Organisationen in den Bereichen Datenschutz und Datensicherheit. Gern evaluieren wir in einem kostenfreien Erstgespräch den Bedarf in Ihrer Organisation. Sie erreichen uns unter info@prisecon.de oder unter den unten angegebenen Geschäftsdaten.