Business Continuity Management System (BCMS): Governance, Steuerung und Nachweise

Ein Business Continuity Management System ist der strukturierte Rahmen, mit dem eine Organisation ihr Business Continuity Management plant, umsetzt, überwacht und kontinuierlich verbessert. Es definiert, wie BCM geführt wird, welche Rollen und Verantwortlichkeiten gelten, welche Dokumente erforderlich sind, wie Risiken und Auswirkungen analysiert werden, wie Strategien und Pläne gesteuert werden und wie die Wirksamkeit regelmässig überprüft wird.

Während Business Continuity Management den Gesamtprozess zur Sicherstellung kritischer Leistungen beschreibt, regelt das Business Continuity Management System die Organisation, Governance, Methodik, Dokumentation, Steuerung und Nachweisführung dieses Prozesses.

Ein BCMS stellt sicher, dass Business Continuity Management nicht von Einzelpersonen, Einzelprojekten oder einmaligen Dokumenten abhängt. Es verankert BCM als wiederkehrenden Managementprozess mit klaren Verantwortlichkeiten, verbindlichen Vorgaben, nachvollziehbaren Nachweisen und regelmässiger Verbesserung.

Das Ziel eines BCMS ist der Aufbau einer nachvollziehbaren, steuerbaren und überprüfbaren BCM-Struktur. Die Organisation soll jederzeit zeigen können, wie kritische Leistungen identifiziert, bewertet, geschützt, fortgeführt und wiederhergestellt werden.

Ein wirksames BCMS beantwortet insbesondere folgende Fragen:

• Wer ist für Business Continuity Management verantwortlich?
• Für welche Organisationseinheiten, Standorte, Leistungen und Prozesse gilt das BCMS?
• Welche BCM-Policy und welche Mindestanforderungen sind verbindlich?
• Wie werden kritische Prozesse, Ressourcen und Abhängigkeiten ermittelt?
• Wie werden Strategien, Pläne, Übungen und Tests gesteuert?
• Welche Nachweise müssen vorhanden sein?
• Wie werden Ergebnisse, Lücken und Massnahmen an die Geschäftsleitung berichtet?
• Wie wird das BCMS regelmässig überprüft und verbessert?

Damit wird Business Continuity Management nicht nur als Projekt, sondern als Führungs- und Steuerungssystem verstanden.

Die Begriffe Business Continuity Management, Business Continuity Management System, Business Impact Analyse, Business Continuity Strategie und Business Continuity Plan werden häufig vermischt. Für eine klare SEO- und Fachstruktur ist die Abgrenzung wichtig.

Das Business Continuity Management beschreibt den gesamten Prozess zur Vorbereitung auf Betriebsunterbrechungen und zur Sicherstellung kritischer Leistungen.

Das Business Continuity Management System beschreibt den organisatorischen und methodischen Rahmen, mit dem dieser Prozess gesteuert, dokumentiert, überprüft und verbessert wird.

Die Business Impact Analyse liefert die fachlichen Grundlagen zu Kritikalität, MTPD, RTO, RPO, Auswirkungen und Abhängigkeiten.

Die Business Continuity Strategie legt fest, mit welchen Optionen, Massnahmen, Ressourcen und Notbetriebsformen die Wiederanlaufanforderungen erfüllt werden.

Der Business Continuity Plan beschreibt die konkrete operative Anwendung im Ereignisfall mit Rollen, Abläufen, Checklisten, Kommunikation, Notbetrieb und Wiederanlauf.

Das BCMS verbindet diese Elemente zu einem steuerbaren Managementsystem.

Ein Business Continuity Management System besteht aus mehreren miteinander verbundenen Elementen. Diese Elemente sorgen dafür, dass BCM nicht isoliert in einzelnen Dokumenten verbleibt, sondern organisatorisch verankert und wirksam gesteuert wird.

Am Anfang steht die Festlegung des Geltungsbereichs. Dabei wird definiert, welche Organisationseinheiten, Standorte, Geschäftsprozesse, Dienstleistungen, Produkte, Systeme oder kritischen Leistungen vom BCMS umfasst sind.

Der Kontext berücksichtigt interne und externe Anforderungen, regulatorische Vorgaben, Kundenanforderungen, Leistungsaufträge, Abhängigkeiten, Risikolage, kritische Infrastrukturen, Lieferanten, IT-Services und Erwartungen relevanter Anspruchsgruppen.

Typische Inhalte:

• Organisationseinheiten und Standorte
• kritische Leistungen und Services
• interne und externe Anspruchsgruppen
• gesetzliche, regulatorische und vertragliche Anforderungen
• Schnittstellen zu Risikomanagement, Krisenmanagement, ISMS, IKS, ITSCM und Compliance
• Grenzen des Geltungsbereichs und begründete Ausschlüsse

Die BCM Policy legt die verbindlichen Grundsätze für das Business Continuity Management System fest. Sie beschreibt Zweck, Ziele, Geltungsbereich, Verantwortlichkeiten, Mindestanforderungen, Berichterstattung und Verbesserungsmechanismen.

Eine wirksame BCM Policy ist kurz, klar und durch die Geschäftsleitung getragen. Sie sollte nicht nur eine formale Erklärung sein, sondern als verbindliche Leitlinie für Rollen, Prozesse, Nachweise und Entscheidungen dienen.

Typische Inhalte:

• Zweck und Ziel des BCMS
• Grundsätze zur Sicherstellung kritischer Leistungen
• Verantwortlichkeiten der Geschäftsleitung und der BCM-Organisation
• Anforderungen an BIA, Strategien, Pläne, Übungen und Reviews
• Berichterstattung und Management Review
• Verpflichtung zur kontinuierlichen Verbesserung
• Schnittstellen zu Krisenmanagement, ITSCM, ISMS, Risikomanagement und Compliance

Ein BCMS benötigt klare Zuständigkeiten. Ohne Rollen, Verantwortlichkeiten und Entscheidungswege bleibt BCM häufig unverbindlich.

Typische Rollen im BCMS sind:

• Geschäftsleitung oder oberstes Führungsorgan
• BCM-Verantwortliche oder BCMS-Manager
• Prozessverantwortliche
• Fachbereichsverantwortliche
• IT- und ITSCM-Verantwortliche
• Krisenmanagement- oder Notfallorganisation
• Risikomanagement, Compliance, Datenschutz und Informationssicherheit
• interne Revision oder Auditfunktion
• Lieferanten- und Providermanagement

Die Governance regelt, wer entscheidet, wer prüft, wer berichtet und wer Massnahmen verfolgt. Sie schafft die Grundlage für verbindliche Umsetzung und klare Nachweisführung.

Ein BCMS sollte messbare oder zumindest überprüfbare Ziele enthalten. Diese Ziele helfen, Wirksamkeit, Reifegrad und Fortschritt zu beurteilen.

Mögliche BCMS-Ziele sind:

• vollständige Identifikation kritischer Prozesse
• aktuelle und validierte Business Impact Analysen
• genehmigte Business Continuity Strategien
• aktuelle Business Continuity Pläne für kritische Leistungen
• regelmässige Übungen und Tests
• fristgerechte Bearbeitung von Massnahmen
• aktuelle Kontaktlisten und Eskalationswege
• dokumentierte Reviews und Managemententscheidungen
• nachweisbare Verbesserung der BCM-Reife

Kennzahlen müssen zur Organisation passen. Entscheidend ist nicht die Anzahl der Kennzahlen, sondern ihre Aussagekraft für Steuerung und Verbesserung.

Ein BCMS legt fest, welche Methodik für Business Continuity Management verwendet wird. Dazu gehören Bewertungslogik, Kritikalitätsklassen, Vorlagen, Prozessmodelle, Dokumentationsanforderungen, Rollenmodelle und Freigabeprozesse.

Typische Dokumente eines BCMS sind:

• BCM Policy
• BCMS-Rahmenkonzept
• Rollen- und Verantwortlichkeitsmodell
• BIA-Methodik
• Risikoanalyse-Methodik
• Business Continuity Strategie-Vorlage
• Business Continuity Plan-Vorlage
• Übungs- und Testkonzept
• Audit- und Reviewplan
• Massnahmen- und Verbesserungsplan
• Management-Review-Bericht
• Nachweismatrix

Eine klare Dokumentationsstruktur verhindert uneinheitliche Einzelvorlagen und erleichtert Audits, Reviews, Schulungen und Aktualisierungen.

Die Business Impact Analyse ist ein wichtiger Bestandteil des BCMS, aber nicht identisch mit dem BCMS. Sie liefert die fachlichen Grundlagen für Kritikalität, MTPD, RTO, RPO, Abhängigkeiten und Ressourcenanforderungen.

Im BCMS wird geregelt, wann eine BIA durchgeführt wird, welche Methodik gilt, wer beteiligt ist, wie Ergebnisse validiert werden und wie Änderungen nachgeführt werden.

Wichtige Steuerungsfragen:

• Für welche Prozesse ist eine BIA erforderlich?
• Welche Bewertungsdimensionen und Zeitklassen gelten?
• Wie werden MTPD, RTO und RPO plausibilisiert?
• Wer genehmigt die BIA-Ergebnisse?
• Wie werden BIA-Ergebnisse in Strategien, Pläne und IT-Anforderungen überführt?
• Wann muss eine BIA aktualisiert werden?

Ein BCMS stellt sicher, dass aus Analysen konkrete Strategien, Massnahmen und Entscheide entstehen. Die Business Continuity Strategie beschreibt, mit welchen Optionen kritische Leistungen aufrechterhalten oder wiederhergestellt werden.

Im Managementsystem wird geregelt, wie Strategieoptionen bewertet, genehmigt, umgesetzt und überprüft werden.

Typische Steuerungselemente:

• Bewertungsmatrix für Strategieoptionen
• Managemententscheid zu Kosten, Wirkung und Restrisiko
• Massnahmenplan mit Verantwortlichkeiten und Fristen
• Abstimmung mit IT, Lieferanten, Standorten und Fachbereichen
• Review der Strategie nach Übungen, Tests, Audits oder Veränderungen

Business Continuity Pläne beschreiben die operative Umsetzung im Ereignisfall. Das BCMS legt fest, welche Pläne erforderlich sind, wie sie aufgebaut sein müssen, wer sie pflegt, wie sie getestet werden und wie ihre Aktualität sichergestellt wird.

Typische BCMS-Vorgaben für Pläne:

• Mindestinhalte je Plan
• Verantwortliche für Erstellung und Pflege
• Freigabe und Versionierung
• Aktualisierungsintervall
• Anforderungen an Kontaktlisten, Eskalation und Checklisten
• Verknüpfung mit Krisenmanagement, ITSCM und DRP
• Test- und Übungsanforderungen

Damit wird verhindert, dass Pläne zwar existieren, aber nicht aktuell, nicht abgestimmt oder im Ereignisfall nicht anwendbar sind.

Ein BCMS muss sicherstellen, dass Business Continuity Massnahmen regelmässig geübt, getestet und verbessert werden. Übungen und Tests zeigen, ob Rollen, Kommunikationswege, Pläne, Wiederanlaufverfahren, IT-Abhängigkeiten und Entscheidungsprozesse funktionieren.

Typische Übungs- und Testformen:

• Tabletop-Übungen
• Krisenstabsübungen mit BCM-Bezug
• Wiederanlaufübungen für kritische Prozesse
• Kommunikations- und Alarmierungstests
• Restore- und Disaster-Recovery-Tests
• Review von Kontaktlisten und Eskalationswegen
• kombinierte Übungen mit IT, Fachbereichen und Lieferanten

Das BCMS regelt Planung, Durchführung, Auswertung, Lessons Learned und Massnahmenverfolgung.

Ein Business Continuity Management System muss regelmässig überwacht und überprüft werden (Audit Business Continuity Management). Dadurch erkennt die Organisation, ob das System angemessen, vollständig, aktuell und wirksam ist.

Typische Prüf- und Reviewelemente:

• interne BCMS-Reviews
• BCM-Audits
• Reifegradbeurteilungen
• Prüfung von BIA, Strategien, Plänen und Übungen
• Überprüfung offener Massnahmen
• Management Review
• Berichterstattung an Geschäftsleitung oder Risikogremium
• Aktualisierung bei organisatorischen, technischen oder regulatorischen Veränderungen

Das Management Review ist besonders wichtig, weil es die Verbindung zwischen operativer BCM-Arbeit und Führungsverantwortung herstellt.

Ein BCMS ist kein statisches Dokumentensystem. Es muss regelmässig verbessert werden. Veränderungen in Organisation, IT, Lieferketten, Standorten, Regulatorik, Kundenanforderungen oder Risikolage müssen in das System zurückfliessen.

Auslöser für Verbesserungen können sein:

• Übungen und Tests
• reale Ereignisse und Störungen
• Audits und Reviews
• neue Geschäftsprozesse
• neue IT-Systeme oder Cloud-Services
• neue Lieferanten oder Outsourcing-Modelle
• Standortveränderungen
• regulatorische Anforderungen
• Erkenntnisse aus Krisenmanagement oder Risikomanagement

Die kontinuierliche Verbesserung stellt sicher, dass das BCMS aktuell, wirksam und anschlussfähig bleibt.

ISO 22301 beschreibt Anforderungen an ein Business Continuity Management System. Eine ISO-22301-orientierte Struktur hilft Organisationen, BCM nachvollziehbar, prüfbar und systematisch aufzubauen.

Im Zentrum stehen dabei unter anderem:

• Kontext der Organisation
• Führung und Verpflichtung
• Policy und Ziele
• Planung
• Unterstützung und Ressourcen
• Betrieb des BCM
• Leistungsbewertung
• Audit und Management Review
• Verbesserung

Ein ISO-22301-orientiertes BCMS muss nicht unnötig komplex sein. Entscheidend ist, dass die Systematik zur Organisation passt, verständlich ist und wirksame Entscheidungen ermöglicht. Ein schlankes BCMS mit klaren Rollen, guten Nachweisen und regelmässiger Verbesserung ist meist wirksamer als ein umfangreiches, aber schwer nutzbares Dokumentensystem.

Ein Projekt zum Aufbau oder Review eines Business Continuity Management Systems sollte konkrete Ergebnisse liefern. Diese Ergebnisse dienen als Nachweise für interne Führung, Revision, Kunden, Behörden, externe Auditoren oder Zertifizierungsstellen.

Typische Ergebnisse sind:

• definierter BCMS-Geltungsbereich
• BCM Policy
• BCMS-Rahmenkonzept
• Rollen- und Verantwortlichkeitsmodell
• Methodik für BIA und Risikoanalyse
• Nachweismatrix für kritische BCM-Elemente
• Dokumentationsstruktur und Vorlagen
• Steuerungs- und Reportingprozess
• Übungs- und Testprogramm
• Audit- und Reviewplan
• Management-Review-Struktur
• Massnahmen- und Verbesserungsplan
• Roadmap zur Weiterentwicklung des BCMS

In der Praxis bestehen viele BCM-Strukturen aus einzelnen Dokumenten, aber nicht aus einem wirksamen Managementsystem. Dadurch fehlen oft Steuerung, Verbindlichkeit, Aktualität und Nachweise.

Häufige Schwachstellen sind:

• unklarer Geltungsbereich
• fehlende oder zu allgemeine BCM Policy
• unklare Rollen und Verantwortlichkeiten
• keine verbindliche BIA-Methodik
• nicht validierte Wiederanlaufanforderungen
• fehlende Managemententscheide zu Strategien und Restrisiken
• Business Continuity Pläne ohne Freigabe oder Aktualisierung
• keine systematische Übungs- und Testplanung
• fehlende Lessons-Learned-Verfolgung
• keine regelmässigen Reviews oder Audits
• unklare Schnittstellen zu ITSCM, Krisenmanagement, ISMS und Risikomanagement
• keine Management-Review-Struktur
• fehlende Nachweismatrix

Ein professionelles BCMS reduziert diese Schwachstellen durch klare Governance, einfache Methodik, verbindliche Nachweise und regelmässige Überprüfung.

Ein BCMS ist besonders sinnvoll, wenn eine Organisation:

• Business Continuity Management dauerhaft verankern möchte
• BCM nicht nur projektbezogen, sondern systematisch steuern will
• interne oder externe Nachweise benötigt
• ISO-22301-orientierte Anforderungen erfüllen möchte
• kritische Prozesse, Services oder Infrastrukturen betreibt
• Anforderungen von Kunden, Behörden, Eigentümern oder Aufsicht erfüllen muss
• Rollen, Verantwortlichkeiten und Dokumentation vereinheitlichen will
• bestehende BCM-Dokumente professionalisieren möchte
• Audits, Reviews oder Management Reviews vorbereiten muss
• BCM, Krisenmanagement, ITSCM, ISMS, IKS und Risikomanagement besser verzahnen will

Ein Business Continuity Management System steht selten allein. Es hat wichtige Schnittstellen zu anderen Führungs- und Kontrollsystemen.

Risikomanagement
Das Risikomanagement identifiziert und bewertet Risiken. Das BCMS legt fest, wie Ausfallauswirkungen, Kritikalitäten, Kontinuitätsanforderungen und Massnahmen im BCM gesteuert werden.

Krisenmanagement
Das Krisenmanagement führt die Organisation in ausserordentlichen Lagen. Das BCMS stellt sicher, dass Fachbereiche, Pläne, Wiederanlaufanforderungen und Entscheidungsgrundlagen vorbereitet sind.

IT Service Continuity Management
IT Service Continuity Management und Disaster Recovery konkretisieren technische Wiederherstellung, Backup, Restore, Wiederanlauf und Providerleistungen. Das BCMS stellt sicher, dass diese technischen Anforderungen zu den fachlichen Prioritäten passen.

Informationssicherheit und Datenschutz
Informationssicherheit, Datenschutz und Cyber-Resilienz beeinflussen Verfügbarkeit, Integrität, Vertraulichkeit und Wiederherstellung von Daten und Systemen. Das BCMS muss diese Schnittstellen berücksichtigen.

Internes Kontrollsystem und Compliance
IKS und Compliance können Nachweise, Kontrollen, Verantwortlichkeiten und Prüfanforderungen an das BCMS stellen. Ein gut dokumentiertes BCMS erleichtert interne und externe Prüfungen.

Der Aufbau eines BCMS erfolgt schrittweise. Wichtig ist ein Vorgehen, das zur Grösse, Komplexität und Kritikalität der Organisation passt.

Ein bewährtes Vorgehen umfasst:

1. Ausgangslage und Anforderungen klären
2. Geltungsbereich des BCMS definieren
3. BCM Policy und Governance festlegen
4. Rollen, Verantwortlichkeiten und Berichtslinien bestimmen
5. Methodik für BIA, Risikoanalyse, Strategie und Pläne definieren
6. Dokumentations- und Nachweisstruktur aufbauen
7. kritische Prozesse und Abhängigkeiten analysieren
8. Strategien, Pläne und Massnahmen steuern
9. Übungen, Tests und Schulungen planen
10. Audits, Management Review und Verbesserungsprozess etablieren

Dieses Vorgehen kann als vollständiges BCMS-Projekt oder modular in einzelnen Arbeitspaketen umgesetzt werden.