Emergency Response

Notfallmanagement nach BSI-Standard 200–4 umfasst die systematische Planung, Umsetzung und Ueberpruefung von Massnahmen zur Bewaeltigung von Notfaellen und Krisen. Der BSI-Standard 200–4 ersetzte

2023 den Vorgaenger BSI 100–4 und fuehrt drei Ausbaustufen ein: Reaktiv-BCM (4–8 Wochen), Aufbau-BCM (3–6 Monate) und Standard-BCM (6–12 Monate). Kernelemente sind die Business Impact Analyse (BIA), Notfallplanung, Notfallhandbuch und regelmaessige Notfalluebungen.

Fuer Notfallmanagement in Deutschland sind drei zentrale Regelwerke relevant: Der BSI-Standard 200–4 als nationale Richtlinie fuer Business Continuity Management, die ISO

22301 als internationaler Standard fuer BCMS-Zertifizierung und die MaRisk AT 7.3 mit spezifischen Anforderungen an das Notfallkonzept fuer Banken und Finanzdienstleister. Seit Dezember

2025 verlangt auch NIS-2 (Paragraph

30 BSIG) ausdruecklich Massnahmen zur Aufrechterhaltung des Betriebs einschliesslich Krisenmanagement.

Ein Notfallkonzept nach BSI 200–4 muss folgende Elemente enthalten: Business Impact Analyse (BIA) mit definierten RTO- und RPO-Werten, Risikoanalyse der identifizierten kritischen Prozesse, Notfallvorsorgekonzept mit praeventiven Massnahmen, Notfallhandbuch mit Sofortmassnahmen und Eskalationswegen, Alarmierungs- und Kommunikationsplaene, Wiederanlauf- und Wiederherstellungsplaene sowie ein Uebungskonzept mit regelmaessigen Tests.

Notfallmanagement und Krisenmanagement unterscheiden sich in Zeitrahmen, Eskalationsstufe und Verantwortung. Notfallmanagement reagiert auf spezifische Stoerungen oder Ausfaelle (z.B. IT-Systemausfall, Standortausfall) und wird vom Notfallteam mit technischem Fokus gesteuert — typisch Stunden bis wenige Tage. Krisenmanagement wird aktiviert, wenn ein Notfall die Handlungsfaehigkeit der Organisation insgesamt gefaehrdet, und liegt bei der Geschaeftsfuehrung mit strategischer Entscheidungskompetenz. Der BSI-Standard 200–4 definiert klare Uebergabepunkte zwischen beiden Disziplinen.

MaRisk AT 7.3 verlangt von Banken und Finanzdienstleistern ein Notfallkonzept, das auf Basis einer Auswirkungsanalyse erstellt wird. Gefordert sind: Vorsorgeregelungen fuer den Notbetrieb, Wiederanlaufplaene fuer zeitkritische Aktivitaeten und Prozesse, Kommunikationsregeln fuer interne und externe Beteiligte sowie regelmaessige Notfalltests mit Berichterstattung an die Geschaeftsleitung. Die Wirksamkeit und Angemessenheit des Notfallkonzepts muss durch Tests nachgewiesen werden. Die MaRisk 7.0 (2025) verstaerkt zudem die Anforderungen an IT-Notfallmanagement im Kontext von DORA.

Die Business Impact Analyse ist der Kern des Notfallmanagements nach BSI 200‑4. Sie erfolgt in vier Schritten: Erstens die Identifikation aller Geschaeftsprozesse und deren Abhaengigkeiten. Zweitens die Bewertung der Auswirkungen bei Ausfall (finanziell, rechtlich, reputationsbezogen). Drittens die Festlegung von Wiederanlaufzeiten — insbesondere MTPD (Maximum Tolerable Period of Disruption), RTO (Recovery Time Objective) und RPO (Recovery Point Objective). Viertens die Priorisierung kritischer Prozesse als Grundlage fuer Notfallplaene und Ressourcenplanung.

ADVISORI begleitet Sie beim Aufbau eines BSI‑200‑4-konformen Notfallmanagements: von der Bestandsaufnahme und Gap-Analyse ueber die Business Impact Analyse und Risikoanalyse bis zur Erstellung des Notfallhandbuchs und Durchfuehrung von Notfalluebungen. Unsere Berater haben Erfahrung mit Finanzinstituten (MaRisk, BAIT, DORA), KRITIS-Betreibern und NIS-2-pflichtigen Unternehmen. Wir integrieren das Notfallmanagement in Ihr bestehendes ISMS und sorgen fuer die Einhaltung aller regulatorischen Anforderungen.