Notfalldokumentation erstellen

Eine Notfalldokumentation nach BSI-Standard 200–4 umfasst alle Dokumente, die fuer das Business Continuity Management (BCM) erforderlich sind. Dazu gehoeren das Notfallhandbuch mit Alarmierungs- und Eskalationsplaenen, die Business Impact Analyse (BIA) mit RTO- und RPO-Definitionen, Geschaeftsfortfuehrungsplaene, Wiederanlaufplaene und ein Notfallvorsorgekonzept. Der BSI-Standard 200–4 definiert drei Ausbaustufen (Reaktiv, Aufbau, Standard), die jeweils unterschiedliche Dokumentationsanforderungen stellen.

Ein Notfallhandbuch nach BSI 200–4 enthaelt: Alarmierungsplaene mit Eskalationsstufen und Kontaktlisten, die Definition der Besonderen Aufbauorganisation (BAO), Sofortmassnahmen fuer verschiedene Notfallszenarien, Kommunikationsplaene fuer interne und externe Stakeholder, Wiederanlaufplaene fuer kritische Geschaeftsprozesse und IT-Systeme sowie Verweise auf RTO/RPO aus der Business Impact Analyse. Das BSI stellt eine kostenlose Word-Vorlage als Hilfsmittel bereit.

Ja. Seit Dezember

2025 ist Business Continuity Management nach §

30 Abs.

2 Nr.

3 BSIG (NIS-2-Umsetzungsgesetz) Pflicht für betroffene Unternehmen. Das Gesetz verlangt explizit Aufrechterhaltung des Betriebs, Backup-Management und Krisenmanagement. Eine BSI‑200‑4-konforme Notfalldokumentation erfüllt diese Anforderung nachweisbar. Auch ISO 27001 Annex A fordert in Kontrolle A.5.29 und A.5.30 dokumentierte BCM-Verfahren.

Die BIA ist das Fundament der Notfalldokumentation nach BSI 200‑4. In vier Schritten: 1) Kritische Geschäftsprozesse identifizieren und priorisieren, 2) Schadensanalyse durchführen (finanziell, reputativ, regulatorisch), 3) Zeitparameter festlegen – MTPD (maximal tolerierbare Ausfallzeit), RTO (Recovery Time Objective) und RPO (Recovery Point Objective), 4) Ressourcenabhängigkeiten identifizieren (IT-Systeme, Personal, Dienstleister, Räumlichkeiten). Die BIA-Ergebnisse bestimmen die Prioritäten in allen Notfall- und Wiederanlaufplänen.

BSI-Standard 200–4 ist die deutsche Umsetzungshilfe fuer BCM und orientiert sich an ISO 22301, bietet aber drei Einstiegsstufen (Reaktiv, Aufbau, Standard) statt eines einheitlichen Anforderungsniveaus. BSI 200–4 liefert konkrete Vorlagen (Notfallhandbuch, BIA, Notfallvorsorgekonzept) und ist enger mit dem IT-Grundschutz verzahnt. ISO

22301 ist der internationale Zertifizierungsstandard und verlangt ein vollstaendiges BCMS mit dokumentiertem PDCA-Zyklus. Fuer deutsche Unternehmen empfiehlt sich der Einstieg ueber BSI 200–4 mit spaeterer ISO‑22301-Zertifizierung.

BSI 200–4 verlangt mindestens jaehrliche Ueberpruefung und Aktualisierung der gesamten Notfalldokumentation. Zusaetzlich muessen Notfallplaene nach jedem relevanten organisatorischen oder technischen Change geprueft werden. Tests und Uebungen (Planspiele, Simulationen, Volltest) sollten mindestens einmal pro Jahr stattfinden. Die Ergebnisse sind zu dokumentieren und als Lessons Learned in die Notfalldokumentation zurueckzufuehren. Bei NIS-2-pflichtigen Unternehmen pruefen Auditoren die Aktualitaet der Dokumentation und die Uebungsnachweise.

ADVISORI begleitet den gesamten BCM-Dokumentationsprozess: Von der initialen Business Impact Analyse ueber die Erstellung von Notfallhandbuch, Alarmierungsplaenen und Wiederanlaufplaenen bis zur Uebungsplanung und -durchfuehrung. Wir arbeiten nach BSI 200–4 und ISO

22301 und liefern auditfeste Dokumentation, die auch NIS-2-Anforderungen erfuellt. Unsere Erfahrung aus Finanzdienstleistung, KRITIS und Industrie sorgt dafuer, dass Ihre Notfalldokumentation nicht nur compliant, sondern im Ernstfall praxistauglich ist.