In einem Satz. Der BSI-Standard 200-4 (veröffentlicht 2023, löst den alten Standard 100-4 ab) ist das aktuelle deutsche Rahmenwerk für Business Continuity Management Systems (BCMS) — von Business Impact Analyse (BIA) über Wiederanlaufpläne, Notfallorganisation und Krisenstab bis zu regelmäßigen Übungen.
200-4 ist methodisch ISO 22301-kompatibel, aber konkreter und mit Stufenmodell (Reaktiv-, Aufbau-, Standard-BCMS). Für DSGVO-Verfügbarkeit (Art. 32 Abs. 1 lit. b und c) sowie NIS2-Resilienz ist 200-4 der Referenz-Standard. Siehe Business Continuity Plan DSGVO BSI und NIS2 Deutschland.
Wichtige Punkte
- BSI 200-4 ersetzte 2023 den Standard 100-4 (Notfallmanagement) und ist erweitert.
- Drei BCMS-Stufen: Reaktiv-BCMS, Aufbau-BCMS, Standard-BCMS.
- BIA mit Bestimmung von MTPD, RTO, RPO, MBCO pro Geschäftsprozess.
- Notfallhandbuch und Wiederanlaufpläne als zentrale Artefakte.
- Pflicht-Übungen mindestens jährlich (Tabletop, Funktional, Voll).
1. Vom 100-4 zum 200-4: Was ist neu?
Der Standard 100-4 stammte aus 2008. 200-4 (2023) ergänzt:
- Stufenmodell für KMU
- Engere Integration mit BSI 200-1 (ISMS)
- Erweitertes Krisenmanagement
- Lessons-Learned und kontinuierliche Verbesserung
2. Drei BCMS-Stufen
| Stufe | Reifegrad | Anwender |
|---|---|---|
| Reaktiv-BCMS | Minimum, Soforthilfe | Kleinunternehmen, Pilotphase |
| Aufbau-BCMS | Mittel, dokumentiert | Mittelstand |
| Standard-BCMS | Vollständig, auditfähig | KRITIS, Großunternehmen |
Wahl orientiert sich an Größe, Komplexität, regulatorischen Anforderungen.
3. Business Impact Analyse (BIA)
Kern jeder BCMS-Implementierung. Pro Geschäftsprozess werden bestimmt:
| Kennzahl | Bedeutung |
|---|---|
| MTPD | Maximum Tolerable Period of Disruption — absolute Ausfallgrenze |
| RTO | Recovery Time Objective — angestrebte Wiederanlaufzeit |
| RPO | Recovery Point Objective — maximaler Datenverlust |
| MBCO | Minimum Business Continuity Objective — Mindestleistung im Notbetrieb |
Beispiel Onlineshop: MTPD 24h, RTO 4h, RPO 15min, MBCO 50% Bestellkapazität.
4. Risiko- und Bedrohungsanalyse
Analyse möglicher Notfallszenarien:
- Naturkatastrophen (Hochwasser, Sturm)
- Technische Ausfälle (RZ-Brand, Stromausfall)
- Cyberangriffe (Ransomware, DDoS)
- Personalausfall (Pandemie, Streik)
- Lieferanten-/Dienstleisterausfall
Verknüpfung mit Risikoanalyse nach BSI 200-3.
5. Notfallvorsorge-Konzept
Maßnahmen zur Vermeidung und Begrenzung:
- Redundante RZ, georedundante Backups
- USV, Notstromaggregate
- Lieferantenredundanz
- Mitarbeiter-Cross-Training
- Cyberversicherung
6. Notfallhandbuch
Zentrales Dokument mit:
- Alarmierungs- und Eskalationsschema
- Rollen und Verantwortungen (Krisenstab, BCM-Beauftragter, Notfallteams)
- Wiederanlaufpläne pro Geschäftsprozess
- Kommunikationsvorlagen (intern, extern, Behörden, Presse)
- Checklisten für die ersten 60/120/240 Minuten
7. Notfallorganisation und Krisenstab
Klare Strukturen:
- BCM-Beauftragter — operative Verantwortung
- Krisenstab — strategische Entscheidungen, Geschäftsleitung
- Notfallteams — fachliche Wiederherstellung (IT, HR, Kommunikation)
- Beobachter/Protokoll — Dokumentation und Lessons Learned
8. Übungen und Tests
Pflicht für Standard-BCMS, mindestens jährlich:
| Übungstyp | Aufwand | Erkenntnistiefe |
|---|---|---|
| Tabletop | gering | Konzeptprüfung |
| Funktional | mittel | Einzelne Wiederanlaufpläne |
| Voll | hoch | Gesamtszenario |
Nach jeder Übung: Protokoll, Verbesserungsmaßnahmen, Nachverfolgung.
9. 200-4 und DSGVO Artikel 32
Artikel 32 fordert “Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen”. 200-4 ist der direkte technisch-organisatorische Nachweis dieser Anforderung — insbesondere die Wiederanlaufpläne und Übungsprotokolle.
10. 200-4 und NIS2
NIS2 verlangt explizit Business-Continuity-Management. 200-4 erfüllt diese Anforderung für die deutschen NIS2-betreiber (KRITIS, wesentliche und wichtige Einrichtungen). Audit-Nachweis erfolgt im Rahmen der BSI-Prüfungen.
11. Tool-Unterstützung
Legiscope bildet BIA-Kennzahlen, Wiederanlaufpläne und Übungsprotokolle als auditfähige Artefakte ab — verknüpft mit DSGVO-TOMs und NIS2-Pflichten.
Fazit
200-4 hebt deutsches Notfallmanagement auf ISO-22301-Niveau und macht es zugleich KMU-tauglich. Wer beim nächsten Ransomware-Vorfall keine BIA-Tabelle vorlegen kann, hat ein Erklärungsproblem — gegenüber Aufsichtsbehörde, Kunden und Versicherung.
FAQ
Ist BSI 200-4 verpflichtend?
Für KRITIS-Betreiber faktisch ja, für andere ein anerkannter Standard. NIS2 erhöht den Druck deutlich.
Wie unterscheidet sich 200-4 von ISO 22301?
200-4 ist konkreter (Stufenmodell, BSI-Methodik), ISO 22301 international zertifizierbar. Häufig parallel implementiert.
Was kostet ein BCMS-Aufbau nach 200-4?
Standard-BCMS für Mittelstand: 60-150k Euro externe Kosten, 1-2 Personenjahre intern, je nach Komplexität.
Wie oft sind Übungen Pflicht?
Standard-BCMS: mindestens jährlich, kritische Prozesse häufiger. Empfehlung: gemischter Mix aus Tabletop und Funktionalübungen.
Wer ist im Krisenstab?
Geschäftsführung, BCM-Beauftragter, IT-Leitung, Kommunikation, HR, Rechtsabteilung. Bei Großunternehmen plus Werkschutz, Compliance.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial