Zum Hauptinhalt springen

BCP: Geschäftsfortführungsplan – Definition, Bestandteile & DORA-Pflichten

Ein Geschäftsfortführungsplan (Business Continuity Plan – BCP) ist ein entscheidendes Instrument, um die Kontinuität des Geschäftsbetriebs auch in Krisensituationen sicherzustellen. Der BCP hilft dabei, Unterbrechungen im Geschäftsbetrieb zu minimieren und das Unternehmen in Krisenzeiten handlungsfähig zu halten. Dies umfasst nicht nur die Sicherstellung der Verfügbarkeit von IKT-Systemen und -Diensten, sondern auch die schnelle Wiederherstellung von Prozessen, die für das Unternehmen von kritischer Bedeutung sind.

Der BCP sollte nicht nur von den Führungskräften eines Unternehmens genehmigt, sondern auch dokumentiert und regelmäßig überprüft werden, um sicherzustellen, dass das Unternehmen in der Lage ist, in Notsituationen schnell und effizient zu reagieren und die Resilienzstrategie zu gewährleisten.

BCP: Geschäftsfortführungsplan

Geschäftsfortführungsplan (BCP) – Überblick & Pflichten

BCP-Komponente Erläuterung
Ziel des BCP Minimierung von Betriebsunterbrechungen und schnelle Wiederherstellung kritischer Geschäftsprozesse, IT-Systeme und Services.
Business Impact Analyse (BIA) Identifikation und Priorisierung zeitkritischer Aktivitäten basierend auf den möglichen Auswirkungen von Störungen.
Wiederherstellungsstrategien Definition konkreter Maßnahmen zur Rückkehr in den Normalbetrieb – inklusive technischer und organisatorischer Lösungen.
Tests und Übungen Regelmäßiges Testen des Plans mit realistischen Szenarien, um Schwachstellen aufzudecken und Teams zu schulen.
Kommunikationsplanung Festlegung interner und externer Kommunikationswege für Krisensituationen (z. B. Behörden, Kunden, Lieferanten).
Überwachung & Anpassung Laufende Überprüfung und Aktualisierung des BCP auf Basis neuer Risiken, Vorfälle und Lessons Learned.
BCP unter DORA Pflichtbestandteil zur Einhaltung der digitalen Betriebsresilienz – inklusive Risikobewertung, Szenariotests und klar definierten Notfallmaßnahmen.

Hauptziel des Geschäftsfortführungsplans (BCP)

Das Hauptziel des Geschäftsfortführungsplans ist es, den Schutz und, falls erforderlich, die Wiederherstellung von Vertrauenswürdigkeit, Integrität und Verfügbarkeit der Unternehmensfunktionen, IT-Assets und Unterstützungsprozesse zu gewährleisten. Der BCP sorgt dafür, dass auch im Falle eines unvorhergesehenen Ereignisses das Unternehmen so schnell wie möglich wieder in den Normalbetrieb zurückkehren kann. Dies ist der Kern des Krisenmanagements.

Bedeutung der Zusammenarbeit für den BCP

Die Erstellung und Implementierung eines BCP erfordert eine enge Zusammenarbeit zwischen verschiedenen internen und externen Akteuren. Dies betrifft nicht nur die Führungsebene, sondern auch Abteilungen wie IT, Compliance, Recht, und Sicherheit sowie externe Dienstleister und Partner.

Die 6 wichtigsten Bestandteile eines BCP

1. Identifikation von Risiken

Der erste Schritt bei der Erstellung eines BCP besteht darin, die Risiken zu identifizieren, die das Unternehmen gefährden könnten. Dies umfasst nicht nur technische Risiken wie IT-Ausfälle und Cyberattacken, sondern auch naturbedingte Katastrophen, rechtliche Risiken und wirtschaftliche Risiken (z. B. Marktkrisen).

2. Business Impact Analyse (BIA)

Die Business Impact Analyse (BIA) dient der Bewertung der Auswirkungen von Störungen auf kritische Geschäftsprozesse. Sie hilft dabei, die zeitkritischen Aktivitäten und Prozesse zu identifizieren, deren Ausfall katastrophale Folgen für das Unternehmen haben könnte. Diese Analyse ist die Grundlage für die Priorisierung der Wiederherstellungsmaßnahmen und die Festlegung von RTO (Recovery Time Objective) und RPO (Recovery Point Objective).

3. Wiederherstellungsstrategien

Auf Basis der Ergebnisse der BIA entwickelt das Unternehmen Wiederherstellungsstrategien. Diese Strategien legen fest, wie das Unternehmen nach einer Störung oder Katastrophe schnellstmöglich wieder in den Normalbetrieb zurückkehrt. Dabei werden sowohl technologische Lösungen (z. B. IT-Notfallplan) als auch personelle und organisatorische Maßnahmen definiert.

4. Testen und Üben

Ein BCP muss nicht nur entwickelt, sondern auch regelmäßig getestet und geübt werden. Hierbei kommen Notfallszenarien zum Einsatz, um die Wirksamkeit des Plans zu überprüfen und sicherzustellen, dass alle Beteiligten wissen, was im Ernstfall zu tun ist.

5. Kommunikation

Die Kommunikation im Notfall ist ebenso wichtig wie die technischen Maßnahmen. Der BCP sollte klare Kommunikationskanäle festlegen, um im Krisenfall eine schnelle und koordinierte Reaktion sicherzustellen. Dies betrifft sowohl die interne Kommunikation als auch die externe Kommunikation mit Kunden, Lieferanten und Behörden.

6. Überwachung und Verbesserung

Ein BCP ist ein lebendes Dokument, das regelmäßig überprüft und aktualisiert werden muss. Dies beinhaltet die Überwachung der Risikosituation sowie die Evaluierung der Wirksamkeit der Wiederherstellungsstrategien nach jedem Test oder echten Vorfall. Bei Bedarf wird der Plan angepasst, um mit sich ändernden Rahmenbedingungen Schritt zu halten.

Effizient dokumentieren mit DORA: Checklisten, Vorlagen & Tools für Finanzunternehmen. Jetzt Umsetzung vereinfachen!

BCP & DORA: Die Verbindung zur digitalen Resilienz

Kernanforderung von DORA:

Die DORA-Verordnung (Digital Operational Resilience Act) verpflichtet Unternehmen im Finanzsektor (z.B. Banken, Versicherungen, Zahlungsdienstleister), ihre digitale Betriebsresilienz systematisch und nachweisbar zu gewährleisten. Ein zentrales Element dabei ist die Fähigkeit, bei schwerwiegenden IT-Störungen oder Cybervorfällen die Geschäftsprozesse möglichst ohne Unterbrechung weiterzuführen.

BCP als Pflichtbestandteil:

Unter DORA ist das Vorhalten und regelmäßige Testen eines Geschäftsfortführungsplans verpflichtend. Der BCP muss darlegen, wie kritische Funktionen und Dienstleistungen auch während und nach schwerwiegenden Störungen fortgeführt werden – und dies mit spezifisch auf digitale Risiken zugeschnittenen Maßnahmen.

Konkrete Vorgaben:

DORA schreibt unter anderem vor:

  • Identifikation kritischer Geschäftsprozesse und IT-Systeme,

  • regelmäßige Risikoanalysen und Szenariotests (z.B. Cyberattacken, Systemausfälle),

  • Notfallkommunikationspläne und Meldepflichten gegenüber Behörden,

  • klare Wiederherstellungsziele (RTO, RPO) und Ressourcenplanung,

  • laufende Überarbeitung und Anpassung des BCP an neue Bedrohungslagen.

Fazit

Mit DORA wird der Geschäftsfortführungsplan für Finanzunternehmen zu einer gesetzlichen Vorgabe. Ein effektiver BCP stellt sicher, dass digitale operative Risiken beherrscht werden und der Geschäftsbetrieb auch in Krisensituationen aufrechterhalten werden kann. Er ist damit ein zentrales Instrument zur Erfüllung der digitalen Resilienzpflichten nach DORA.

Häufig gestellte Fragen (FAQ) zum Geschäftsfortführungsplan (BCP)

  • Was ist das Hauptziel eines Geschäftsfortführungsplans (BCP)?

    Das Hauptziel eines Geschäftsfortführungsplans (BCP) ist der Schutz und – falls erforderlich – die Wiederherstellung von Vertrauenswürdigkeit, Integrität und Verfügbarkeit der Unternehmensfunktionen, IT-Assets und Unterstützungsprozesse.

    Ein wirksamer BCP stellt sicher, dass ein Unternehmen nach einem unvorhergesehenen Ereignis (z. B. Cyberangriff, Ausfall eines Rechenzentrums, Naturkatastrophe) möglichst schnell in einen stabilen (Not-)Betrieb und dann in den Normalbetrieb zurückkehren kann.

  • Was versteht man unter einer Business Impact Analyse (BIA) im Rahmen des BCP?

    Die Business Impact Analyse (BIA) ist ein zentraler Baustein des BCP. Sie bewertet die Auswirkungen von Störungen auf kritische Geschäftsprozesse.

    Ziel der BIA ist es:

    • zeitkritische Aktivitäten und Prozesse zu identifizieren,
    • die finanziellen, operativen und regulatorischen Auswirkungen eines Ausfalls zu bewerten,
    • und eine Priorisierung der Wiederherstellungsmaßnahmen zu ermöglichen.

    Die BIA bildet damit die Basis für alle weiteren BCP-Entscheidungen.

  • Welche sind die wichtigsten Bestandteile oder Schritte eines BCP?

    Ein professioneller Geschäftsfortführungsplan umfasst typischerweise folgende Schritte:

    • Risikoidentifikation (Bedrohungen, Schwachstellen, Szenarien)
    • Business Impact Analyse (BIA) für kritische Prozesse
    • Entwicklung von Wiederherstellungsstrategien (z. B. Ersatzstandort, Notfall-IT, Fallback-Prozesse)
    • Dokumentation des BCP inklusive klarer Rollen und Verantwortlichkeiten
    • Testen und Üben (Notfallübungen, Simulationen, Szenariotests)
    • Kommunikationsplanung (intern, extern, Behörden, Kunden)
    • Laufende Überwachung und Verbesserung auf Basis von Tests, Vorfällen und Lessons Learned
  • Welche Akteure sind an der Erstellung und Implementierung eines BCP beteiligt?

    Die Erstellung und Umsetzung eines BCP ist eine interdisziplinäre Aufgabe. Typischerweise sind beteiligt:

    • Geschäftsleitung / Vorstand – Vorgaben, Freigabe, Ressourcen
    • IT & Informationssicherheit – technische Resilienz, Notfall-IT
    • Compliance & Risikomanagement – regulatorische Anforderungen, Risikoanalyse
    • Rechtsabteilung – Haftungsfragen, Meldepflichten, Vertragsaspekte
    • Operative Fachbereiche – Definition kritischer Prozesse und Mindestbetriebsniveau
    • Externe Dienstleister & Partner – Auslagerungen, Cloud- und Service-Provider

    Entscheidend ist eine klare Governance mit Rollen, Verantwortlichkeiten und Eskalationswegen.

  • Wie hängt der Geschäftsfortführungsplan (BCP) mit der DORA-Verordnung zusammen?

    Unter der DORA-Verordnung (Digital Operational Resilience Act) ist ein belastbarer BCP für viele Unternehmen im Finanzsektor verpflichtend.

    DORA verlangt u. a., dass Institute:

    • ihre kritischen und wesentlichen Funktionen identifizieren,
    • digitale Betriebsresilienz sicherstellen (auch bei schweren IT-Störungen),
    • Szenariotests und Resilienztests durchführen,
    • und geeignete Wiederanlauf- und Notfallpläne dokumentieren.

    Der BCP wird damit zum Kernelement der digitalen Betriebsresilienz nach DORA.

  • Wie oft sollte ein BCP überprüft oder getestet werden?

    Ein BCP ist ein „lebendes Dokument“ und darf nicht in der Schublade verschwinden. Er sollte:

    • regelmäßig getestet werden (z. B. jährlich oder häufiger bei hoher Kritikalität),
    • über Notfallübungen, Table-Top-Exercises und technische Tests validiert werden,
    • nach Vorfällen, organisatorischen Änderungen oder neuen Risiken gezielt aktualisiert werden.

    Nur durch regelmäßiges Testen, Üben und laufende Anpassung bleibt der BCP im Ernstfall praxis­tauglich und wirksam.

Jetzt zum Resilience Officer werden: S+P Lehrgang für effektives Krisenmanagement und Unternehmensresilienz

Sichern Sie jetzt die Zukunft Ihres Unternehmens: Melden Sie sich zum S+P Lehrgang „Resilience Officer: Krisenmanagement im S+P Lehrgang“ an und werden Sie zur Schlüsselfigur für Resilienz und Krisenmanagement! Profitieren Sie von praxisnahen Tools, modernem Fachwissen und wertvollen Networking-Möglichkeiten – informieren Sie sich jetzt und sichern Sie Ihren Platz!

Jetzt Platz sichern

Weitere relevante Themen und ergänzende Pläne

Der Geschäftsfortführungsplan (BCP) ist das zentrale Dokument zur Gewährleistung der Geschäftskontinuität. Er ist jedoch eng mit weiteren strategischen und operativen Planwerken des Unternehmens verknüpft. Um eine ganzheitliche Resilienzstrategie sicherzustellen, sind die folgenden ergänzenden Themen relevant:

  1. DORA-Informationsregister: Das DORA-Informationsregister

  2. DORA Insight – BCM-Verzahnung: BCM-Verzahnung zwischen Insourcer und Outsourcer optimieren

  3. Prüfpflichten unter DORA: Prüfpflichten unter DORA

  4. DORA Informationssicherheitsbeauftragter: DORA Informationssicherheitsbeauftragter

  5. Business Impact Analyse (BIA): Was ist eine Business Impact Analyse (BIA)?

Jetzt Platz sichern