ISO 22301 erklärt: Wie Unternehmen in unsicheren Zeiten ihre Stabilität sichern
Benedict Breitenbach
Sun Aug 03 2025
Ob Cyberangriff, Stromausfall oder Pandemie – unerwartete Krisen können den Betrieb von Unternehmen innerhalb weniger Minuten lahmlegen. Gerade in einer zunehmend vernetzten und digitalisierten Welt ist es wichtiger denn je, auf solche Szenarien vorbereitet zu sein. Doch wie gelingt das?
Die internationale Norm ISO 22301 bietet Unternehmen einen klaren Rahmen, um sich systematisch auf Betriebsstörungen vorzubereiten, Risiken zu analysieren und Notfallpläne zu etablieren. Sie hilft dabei, nicht nur schneller zu reagieren, sondern auch das Vertrauen von Kunden, Partnern und Mitarbeitenden nachhaltig zu stärken.
In diesem Beitrag werfen wir einen praxisnahen Blick auf die ISO 22301, erklären ihre Struktur, Anforderungen und Vorteile – und zeigen auf, warum sich der Einstieg ins Business Continuity Management nicht nur für Grosskonzerne lohnt.
Grundlegendes zur ISO 22301
Was ist die ISO 22301 genau?
Die ISO 22301:2019 ist die weltweit anerkannte Norm für ein Business Continuity Management System (BCMS). Sie wurde von der International Organization for Standardization (ISO) entwickelt und stellt sicher, dass Unternehmen vorbereitet sind, um kritische Geschäftsprozesse auch in Krisenzeiten aufrechtzuerhalten oder schnellstmöglich wiederherzustellen.
Die Norm orientiert sich an der sogenannten High-Level Structure (HLS) – einer einheitlichen Struktur, die auch andere ISO-Normen wie ISO 9001 (Qualitätsmanagement) oder ISO 27001 (Informationssicherheit) verwenden. Das macht sie besonders gut kompatibel mit bestehenden Managementsystemen.
Für wen ist die Norm relevant?
Die ISO 22301 richtet sich an alle Organisationen, unabhängig von:
Grösse (Start-up, KMU, Konzern),
Branche (IT, Logistik, Gesundheitswesen, öffentlicher Sektor etc.),
Art der Dienstleistung oder Produktion.
Besonders relevant ist die Norm für Unternehmen:
mit kritischen Dienstleistungen oder Lieferketten,
die gesetzlichen oder vertraglichen Anforderungen an Geschäftskontinuität erfüllen müssen,
die Kundenvertrauen durch Verlässlichkeit stärken möchten.
Warum ist Business Continuity Management (BCM) so wichtig?
In einer Welt voller Unsicherheiten – von Naturkatastrophen über Cyberangriffe bis hin zu geopolitischen Krisen – kann es jederzeit zu unerwarteten Unterbrechungen kommen. Ohne vorausschauende Planung führt das schnell zu:
Produktionsausfällen,
finanziellen Verlusten,
Reputationsschäden,
regulatorischen Konsequenzen.
Um herauszufinden, welche Ursachen Unternehmen selbst als besonders wahrscheinlich für einen Betriebsstillstand einstufen, führt die Allianz jährlich eine entsprechende Umfrage durch. Die teilnehmenden Unternehmen können dabei aus zahlreichen Risikobereichen drei auswählen, die sie als am wahrscheinlichsten für eine Betriebsunterbrechung ansehen.
Auch die folgenden Zahlen verdeutlichen, was ein Betriebsstillstand finanziell bedeutet:
Abgrenzung zu anderen Normen
Zwar überschneidet sich ISO 22301 thematisch mit anderen Standards (z. B. ISO 27001, ISO 31000), aber sie fokussiert sich ausschliesslich auf die Geschäftskontinuität – also darauf, wie Organisationen auf Notfälle und Ausfälle reagieren. Besonders in Kombination mit IT-Sicherheitsstandards kann sie ein schlagkräftiges Resilienzsystem bilden.
Quelle: ISO.org
Aufbau der ISO 22301
Die Struktur im Überblick
Die ISO 22301 folgt – wie viele moderne ISO-Normen – der sogenannten High-Level Structure (HLS). Das bedeutet: Sie ist nach einem einheitlichen Kapitelaufbau gegliedert, der eine einfache Integration in andere Managementsysteme ermöglicht (z. B. ISO 9001 oder ISO 27001).
Der Aufbau umfasst insgesamt 10 Hauptkapitel, wobei insbesondere Kapitel 4 bis 10 zertifizierungsrelevant sind:
| Kapitel | Inhalt |
|---|---|
| 1 | Anwendungsbereich |
| 2 | Normative Verweise |
| 3 | Begriffe und Definitionen |
| 4 | Kontext der Organisation |
| 5 | Führung (Leadership) |
| 6 | Planung |
| 7 | Unterstützung (z. B. Ressourcen, Kompetenzen) |
| 8 | Betrieb (inkl. BIA, Notfallstrategien) |
| 9 | Bewertung der Leistung (Monitoring, Audit, Review) |
| 10 | Verbesserung (Korrekturmassnahmen, kontinuierlicher Fortschritt) |
Erworben werden kann die ISO 22301 Stand 2019 hier
Kontext der Organisation (Kapitel 4)
Ziel: Verstehen des betrieblichen Umfelds, relevanter Anforderungen und interner wie externer Risiken.
Umsetzung: Analyse externer Einflüsse (z. B. Gesetzeslage, Märkte) und interner Rahmenbedingungen, Ermittlung der interessierten Parteien und deren Erwartungen an die Geschäftskontinuität.
Führung (Kapitel 5)
Ziel: Verankerung des BCM auf Leitungsebene und klare Zuweisung von Verantwortlichkeiten.
Umsetzung: Benennung eines BCM-Verantwortlichen, Einbindung der Geschäftsleitung, Definition von Rollen, Kommunikationswegen und Führungsgrundsätzen im Krisenfall.
Planung (Kapitel 6)
Ziel: Identifikation, Bewertung und Behandlung geschäftskritischer Risiken und Auswirkungen.
Umsetzung: Durchführung einer Risikobewertung sowie einer Business Impact Analysis (BIA) zur Priorisierung von Prozessen, Festlegung von Recovery-Zielen (RTO/RPO), Ableitung geeigneter Massnahmen.
Unterstützung (Kapitel 7)
Ziel: Bereitstellung aller notwendigen Ressourcen zur Umsetzung des BCM.
Umsetzung: Schulung der Mitarbeitenden, Aufbau von Kompetenzen, strukturierte Kommunikation, sowie Pflege der Dokumentation und Nachvollziehbarkeit der Prozesse.
Betrieb (Kapitel 8)
Ziel: Reaktion auf und Bewältigung von Störungen zur Sicherung der Betriebsfähigkeit.
Umsetzung: Erstellung und Pflege von Notfall- und Wiederanlaufplänen, Entwicklung von Strategien zur Aufrechterhaltung der Kernprozesse, regelmässige Tests und Notfallübungen.
Bewertung der Leistung (Kapitel 9)
Ziel: Überprüfung der Wirksamkeit des BCM-Systems.
Umsetzung: Durchführung interner Audits, Überwachung der Prozesse, Management-Reviews, Analyse von Störfällen und Ableitung von Verbesserungen.
Verbesserung (Kapitel 10)
Ziel: Fortlaufende Weiterentwicklung des BCM.
Umsetzung: Korrektur- und Vorbeugungsmassnahmen bei Schwachstellen, Lessons Learned aus Übungen und tatsächlichen Vorfällen, systematischer Review und Anpassung des Systems.
Zertifizierung nach ISO 22301
Eine Zertifizierung nach ISO 22301 ist nicht verpflichtend – aber sie bietet Unternehmen zahlreiche strategische, betriebliche und kommunikative Vorteile. Sie dient als objektiver Nachweis, dass ein wirksames Business Continuity Management System (BCMS) implementiert wurde und regelmässig geprüft wird.
Vorteile einer Zertifizierung
Vertrauensaufbau: Signal an Kunden, Geschäftspartner und Behörden, dass das Unternehmen auch in Krisen zuverlässig agiert.
Wettbewerbsvorteil: Differenzierung im Markt, insbesondere bei Ausschreibungen oder bei regulatorischen Anforderungen.
Risikominimierung: Systematische Identifikation und Absicherung kritischer Geschäftsprozesse.
Rechts- und Auditfähigkeit: Unterstützung bei der Erfüllung gesetzlicher oder branchenspezifischer Anforderungen (z. B. KRITIS, Datenschutz, Cloud-Dienstleistungen).
Der Weg zur Zertifizierung – Schritt für Schritt
Initiale GAP-Analyse
Bewertung des Ist-Zustands im Vergleich zur Norm – optional durch internes Audit oder externe Beratung.
Aufbau oder Anpassung des BCMS
Implementierung aller normkonformen Prozesse, Dokumentation, Rollen, Übungen und Verbesserungsmechanismen.
Schulung & Sensibilisierung
Vorbereitung der Mitarbeitenden, insbesondere Schlüsselpersonen (z. B. BCM-Manager, Krisenteam).
Internes Audit
Überprüfung der Wirksamkeit vor dem offiziellen Audit. Identifikation und Korrektur möglicher Schwachstellen.
Zertifizierungsaudit (durch akkreditierte Stelle)
Besteht aus zwei Stufen:
Stufe 1: Dokumentationsprüfung
Stufe 2: Prüfung der Umsetzung in der Praxis (z. B. Interviews, Begehungen)
Ausstellung des Zertifikats
Gültigkeit: 3 Jahre mit jährlichen Überwachungsaudits.
Aufwand & typische Herausforderungen
Ressourcenbindung: Aufbau und Pflege des Systems erfordern Zeit, personelle und organisatorische Kapazitäten.
Datenbasis & Zuständigkeiten: Fehlende BIA-Daten oder unklare Rollenverteilung verzögern oft den Zertifizierungsprozess.
Dokumentation & Nachweise: Die Anforderungen an Nachvollziehbarkeit, Tests und Änderungsmanagement sind hoch.
Top-Management-Einbindung: Ohne aktives Commitment der Unternehmensleitung scheitert BCM meist an der Umsetzung.
Unternehmen berichten, dass BCM weniger an Technik, sondern oft an fehlender Klarheit bei Zuständigkeiten und Dokumentation scheitert. Übungen schaffen Akzeptanz, digitale Strukturen erleichtern Audits. Erfolgreiche Umsetzungen starten pragmatisch – mit Fokus auf das Wesentliche.
ISO 22301 stärkt gezielt die Krisenfestigkeit. Wer kritische Prozesse kennt, vorbereitet ist und regelmässig testet, gewinnt nicht nur Sicherheit, sondern auch Vertrauen – intern wie extern.
