BCM defi­niert, wel­che Geschäfts­pro­zes­se als kri­tisch ein­ge­stuft wer­den, wie lan­ge sie maxi­mal aus­fal­len dür­fen (Maxi­mum Tole­ra­ble Down­ti­me, MTD) und wel­che finan­zi­el­len, ope­ra­ti­ven und repu­ta­ti­ven Schä­den pro Aus­fall­stun­de ent­ste­hen (Busi­ness Impact Ana­ly­sis, BIA). Aus die­sen Erkennt­nis­sen wer­den Reco­very Time Objec­ti­ves (RTO) und Reco­very Point Objec­ti­ves (RPO) abge­lei­tet und in der tech­ni­schen Back­up- und Reco­very-Archi­tek­tur verankert.

Ein Busi­ness Con­ti­nui­ty Plan (BCP) doku­men­tiert, wie Sys­te­me nach einem Total­aus­fall wie­der­her­ge­stellt wer­den: Aus­lö­se­kri­te­ri­en, Rol­len und Ver­ant­wort­lich­kei­ten, Wie­der­her­stel­lungs­rei­hen­fol­ge, tech­ni­sche Reco­very-Schrit­te je Sys­tem und Kom­mu­ni­ka­ti­ons­plä­ne. Kri­tisch: Der BCP muss off­line ver­füg­bar sein — gedruckt, im Tre­sor. Wenn die IT-Infra­struk­tur kom­pro­mit­tiert ist, ist ein Share­Point-Ord­ner mit dem BCP mög­li­cher­wei­se eben­falls nicht zugänglich.

NIS230 NIS2UmsuCG) und (Art. 11) machen BCM für betrof­fe­ne Orga­ni­sa­tio­nen zur Rechts­pflicht. Das schließt die Doku­men­ta­ti­on von RTOs und RPOs, regel­mä­ßi­ge Reco­very-Tests und einen Kri­sen­ma­nage­ment­plan ein. Die Geschäfts­füh­rung muss nach §38 NIS2UmsuCG BCM-Maß­nah­men geneh­mi­gen und aktiv überwachen.

Fragen und Antworten

BCM ist der übergeordnete organisatorische Rahmen, der alle Aspekte der Geschäftskontinuität umfasst — Prävention, Reaktion, Wiederherstellung und Kommunikation. Disaster Recovery (DR) ist der technische Teilbereich von BCM, der sich auf die Wiederherstellung von IT-Systemen nach einem Ausfall konzentriert. Ein DR-Plan ist ein Bestandteil des BCM-Plans.
Eine BIA analysiert, welche finanziellen, operativen und reputativen Schäden pro Ausfallstunde für jeden kritischen Geschäftsprozess entstehen. Aus der BIA werden die Maximum Tolerable Downtime (MTD) und daraus RTO und RPO abgeleitet. Ohne BIA gibt es keine sachliche Grundlage für die Dimensionierung der Backup-Architektur.