PlanB
Kostenlos starten
Ratgeber Stand: 11.06.2026

BSI-Standard 200-4 umsetzen: Business Continuity Schritt für Schritt

Der BCM-Standard des BSI – pragmatisch übersetzt für Unternehmen ohne Stabsstelle.

Der BSI-Standard 200-4 beschreibt, wie Organisationen ein Business Continuity Management System (BCMS) aufbauen. Was nach Konzernwerk klingt, ist bewusst gestuft angelegt – auch kleine und mittlere Unternehmen können konform starten. Dieser Leitfaden erklärt das Stufenmodell und den pragmatischen Einstieg.

Was ist der BSI-Standard 200-4?

Der BSI-Standard 200-4 ist der aktuelle Standard des Bundesamts für Sicherheit in der Informationstechnik für Business Continuity Management. Er löst den älteren Standard 100-4 (Notfallmanagement) ab und beschreibt, wie Organisationen die Fortführung ihrer kritischen Geschäftsprozesse bei Störungen und Krisen sicherstellen – von der Vorsorge über die Bewältigung bis zur kontinuierlichen Verbesserung.

Anders als sein Vorgänger denkt 200-4 vom Geschäftsprozess her, nicht von der IT: Im Zentrum steht die Frage, welche Abläufe das Unternehmen tragen und wie schnell sie nach einer Störung wieder verfügbar sein müssen.

Das Stufenmodell: drei Wege zum BCMS

Die wichtigste Neuerung des 200-4 ist sein Stufenmodell – es erlaubt einen Einstieg passend zur Reife der Organisation:

  • Reaktiv-BCMS: Der Einstieg: grundlegende Strukturen für die Bewältigung – Krisenstab, Notfallhandbuch, Sofortmaßnahmen. Geeignet für Organisationen, die schnell handlungsfähig werden wollen.
  • Aufbau-BCMS: Die Zwischenstufe: ergänzt systematische Vorsorge mit Business-Impact-Analyse, Risikobetrachtung und Notfallplänen für die wichtigsten Prozesse.
  • Standard-BCMS: Der Vollausbau: ein vollständiges Managementsystem mit Leitlinie, Kennzahlen, Übungsprogramm und kontinuierlicher Verbesserung – anschlussfähig an ISO 22301.

Die Kernelemente in der Praxis

Unabhängig von der Stufe stehen vier Bausteine im Zentrum jeder 200-4-Umsetzung:

  • Business-Impact-Analyse (BIA): Welche Geschäftsprozesse sind kritisch, welche Ressourcen brauchen sie, wie schnell müssen sie wieder laufen? Die BIA liefert Prioritäten und Wiederanlaufzeiten.
  • Risikoanalyse: Welche Szenarien bedrohen die kritischen Prozesse – und wo lohnt Vorsorge mehr als Reaktion? Ein gepflegtes Risiko-Register hält das Ergebnis aktuell.
  • Notfallvorsorge und -handbuch: Rollen, Wiederanlaufpläne, Ausweichverfahren und Kommunikation – dokumentiert so, dass sie im Ernstfall tatsächlich nutzbar sind.
  • Üben und Verbessern: Planübungen und Tests prüfen die Vorsorge; Lessons Learned fließen zurück. Ohne Übungsnachweis bleibt jedes BCMS Theorie.

Pragmatisch starten im Mittelstand

Der häufigste Fehler bei 200-4 ist der Versuch, sofort das Standard-BCMS zu bauen – mit monatelanger Dokumentationsarbeit, die nie in den Ernstfall-Modus kommt. Der Standard selbst empfiehlt das Gegenteil: mit dem Reaktiv-BCMS beginnen, also zuerst Krisenstab benennen, Notfallhandbuch aufbauen und die wichtigsten Szenarien vorbereiten.

Von dort wächst das BCMS iterativ: Die Business-Impact-Analyse schärft die Prioritäten, das Risiko-Register systematisiert die Vorsorge, regelmäßige Übungen liefern den Reifegrad. Ein digitales Werkzeug, das diese Bausteine verbindet und jede Änderung nachvollziehbar dokumentiert, nimmt dabei den größten Teil der Verwaltungsarbeit ab.

Verhältnis zu ISO 22301 und NIS2

Der BSI-Standard 200-4 ist methodisch eng an der internationalen Norm ISO 22301 ausgerichtet – wer 200-4 auf Standard-Stufe umsetzt, hat den Großteil des Wegs zu einer ISO-Zertifizierung zurückgelegt. Für die NIS2-Richtlinie ist 200-4 der naheliegende Umsetzungsrahmen: NIS2 fordert ausdrücklich Business Continuity, Backup-Management und Krisenbewältigung – genau die Disziplinen, die der Standard strukturiert.

Häufige Fragen

Ist der BSI-Standard 200-4 verpflichtend?

Für die meisten Unternehmen nicht direkt – er ist ein Standard, kein Gesetz. Verbindlich wird er über Umwege: NIS2 und Branchenregulierung fordern Business Continuity, Behörden und KRITIS-Betreiber orientieren sich am BSI, und Kunden-Audits fragen zunehmend nach BCM-Strukturen nach anerkanntem Standard.

Was ist der Unterschied zwischen BSI 100-4 und 200-4?

Der 200-4 ersetzt den 100-4 und bringt zwei wesentliche Neuerungen: das Stufenmodell (Reaktiv-, Aufbau-, Standard-BCMS) für einen skalierbaren Einstieg und die konsequente Ausrichtung an Geschäftsprozessen statt primär an IT-Systemen.

Wie groß ist der Aufwand für ein Reaktiv-BCMS?

Überschaubar: Krisenstab und Rollen benennen, die wichtigsten Szenarien mit Checklisten vorbereiten und ein Notfallhandbuch mit Kontakten und Wiederanlaufplänen aufbauen. Mit geführter Struktur entsteht eine erste belastbare Version in wenigen Arbeitssitzungen.

Kann man sich nach BSI 200-4 zertifizieren lassen?

Eine eigenständige 200-4-Zertifizierung gibt es nicht; der Standard fließt in IT-Grundschutz-Zertifizierungen ein. Wer ein extern zertifizierbares BCMS anstrebt, wählt ISO 22301 – die 200-4-Umsetzung ist dafür die beste Vorarbeit.

Weiterlesen
Notfallhandbuch für Unternehmen: Inhalte, Aufbau und Pflege
Krisenmanagement im Mittelstand: Phasen, Rollen und Werkzeuge
IT-Notfallplan erstellen: Aufbau, Inhalte und typische Fehler
NIS2-Checkliste: Anforderungen und Umsetzung für Unternehmen

Vom Ratgeber zum eigenen Notfallhandbuch.

PlanB führt Schritt für Schritt durch alle Bausteine – von Rollen und Wiederanlaufplänen bis zu Szenario-Checklisten und Compliance-Nachweisen.

Kostenlos starten Funktionen ansehen info@arento.ai