ISO 22301: Anforderungen, Zertifizierung und Abgrenzung
Was ist ISO 22301?
ISO 22301 ist der internationale Standard für Business-Continuity-Managementsysteme (BCMS). Er definiert die Anforderungen, mit denen eine Organisation ihre Fähigkeit aufbaut, bei Störungen – etwa Cyberangriffen, Ausfällen oder Naturereignissen – kritische Leistungen aufrechtzuerhalten oder schnell wiederherzustellen. ISO 22301 folgt der einheitlichen High-Level-Structure der ISO-Managementsystemnormen und dem PDCA-Prinzip (Plan–Do–Check–Act). Das macht ihn gut kombinierbar mit ISO/IEC 27001 für Informationssicherheit. Als einziger BCM-Standard ist ISO 22301 akkreditiert zertifizierbar – ein Zertifikat ist damit ein anerkannter Nachweis gegenüber Kunden, Partnern und Aufsicht.
Was fordert ISO 22301?
Die Anforderungen verteilen sich über die Kapitel 4 bis 10 der Norm:
| Bereich | Kernanforderung |
|---|---|
| Kontext & Führung (Kap. 4–5) | Geltungsbereich des BCMS, Verpflichtung der Leitung, BCM-Leitlinie und Rollen. |
| Planung (Kap. 6) | Ziele des BCMS, Umgang mit Risiken und Chancen. |
| Betrieb (Kap. 8) | BIA und Risikobewertung, Continuity-Strategie, Notfallpläne sowie ein Übungs- und Testprogramm. |
| Bewertung & Verbesserung (Kap. 9–10) | Überwachung, internes Audit, Management-Review und kontinuierliche Verbesserung. |
Das Herzstück liegt in Kapitel 8: Aus der Business Impact Analyse und der Risikobewertung werden Strategie und Notfallpläne abgeleitet – und diese müssen nachweislich geübt werden.
Wie läuft eine ISO-22301-Zertifizierung ab?
- BCMS aufbauen: Managementsystem nach den Anforderungen etablieren und dokumentieren.
- Internes Audit & Management-Review: Wirksamkeit intern prüfen.
- Stufe-1-Audit: Dokumentenprüfung durch die Zertifizierungsstelle.
- Stufe-2-Audit: Vor-Ort-Prüfung der gelebten Umsetzung.
- Zertifikat & Überwachung: Ausstellung (i. d. R. 3 Jahre gültig) mit jährlichen Überwachungsaudits und Rezertifizierung.
ISO 22301 oder BSI-Standard 200-4?
In Deutschland stehen zwei Rahmenwerke nebeneinander. Sie widersprechen sich nicht, setzen aber unterschiedliche Schwerpunkte:
| Dimension | ISO 22301 | BSI-Standard 200-4 |
|---|---|---|
| Herkunft | Internationaler ISO-Standard | Nationaler Standard des BSI |
| Charakter | Normativer Anforderungskatalog (zertifizierbar) | Praxisleitfaden mit Stufenmodell |
| Zertifizierung | Akkreditierte Zertifizierung möglich | Keine eigene Zertifizierung vorgesehen |
| Zielgruppe | International, alle Branchen | Vor allem DACH, IT-Grundschutz-Umfeld |
Der BSI-Standard 200-4 eignet sich hervorragend als praxisnaher Einstieg; ISO 22301 liefert das zertifizierbare Ziel. Viele Organisationen bauen ihr BCM nach 200-4 auf und lassen es später gegen ISO 22301 zertifizieren.
ISO 22301 und Übungen
Ein zentrales Prüfkriterium ist der Nachweis der Wirksamkeit: ISO 22301 verlangt ein Übungs- und Testprogramm. Eine Tabletop-Übung erfüllt das effizient – sie erprobt die Notfallpläne, deckt Lücken auf und erzeugt einen auditierbaren Report, den Sie dem Zertifizierungsauditor vorlegen können.
ISO 22301 und ISO 27001 im Zusammenspiel
Weil ISO 22301 und ISO/IEC 27001 dieselbe High-Level-Structure teilen, lassen sie sich zu einem integrierten Managementsystem verbinden: gemeinsame Leitlinie, Rollen, internes Audit und Management-Review. Wer bereits ein ISMS nach ISO 27001 betreibt, kann große Teile davon – Kontext, Führung, Betrieb und Verbesserung – für das BCMS wiederverwenden. Das senkt den Aufwand und stellt sicher, dass Informationssicherheit und Geschäftsfortführung nicht aneinander vorbei geplant werden, sondern im Krisenfall zusammenwirken. ISO 27001 sichert die Informationen, ISO 22301 hält die Prozesse am Laufen.
Häufige Fragen
Was ist ISO 22301?
ISO 22301 ist der internationale Standard für Business-Continuity-Managementsysteme (BCMS). Er legt die Anforderungen fest, um kritische Leistungen bei Störungen aufrechtzuerhalten oder schnell wiederherzustellen – und ist als einziger BCM-Standard akkreditiert zertifizierbar.
Was ist der Unterschied zwischen ISO 22301 und BSI-Standard 200-4?
ISO 22301 ist ein international zertifizierbarer Anforderungskatalog. Der BSI-Standard 200-4 ist ein detaillierter, stufenweiser Praxisleitfaden für den Aufbau eines BCM, der sich besonders im DACH- und IT-Grundschutz-Umfeld etabliert hat, aber keine eigene Zertifizierung vorsieht.
Verlangt ISO 22301 Übungen?
Ja. ISO 22301 fordert ein Übungs- und Testprogramm, mit dem die Wirksamkeit der Business-Continuity-Pläne regelmäßig nachgewiesen wird. Tabletop-Übungen sind dafür ein anerkanntes und effizientes Mittel.
Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.