Beratung zur Zertifizierung ISO 22301: Business Continuity Management (BMC)

1. Was ist die ISO 22301 und wofür steht sie?

Die ISO 22301 ist eine international anerkannte Norm für Business Continuity Management Systeme (BCMS). Sie legt Anforderungen fest, mit denen eine Organisation ihre Prozesse so gestalten kann, dass sie auf unerwartete Störungen vorbereitet ist, die Auswirkungen reduziert, schnell reagieren und den Geschäftsbetrieb wiederherstellen kann. Die Norm richtet sich an Organisationen jeder Größe und Branche und unterstützt systematisch Planung, Umsetzung, Überwachung und Verbesserung eines dokumentierten Systems zur Aufrechterhaltung der Geschäftskontinuität.

2. Welchen Nutzen bringt eine ISO 22301-Zertifizierung für mein Unternehmen?

Eine Zertifizierung nach ISO 22301 demonstriert extern, dass das Unternehmen ein verlässliches BCMS betreibt. Der Nutzen ist vielfältig: Höhere Betriebssicherheit und Resilienz bei Störungen, Schutz von Reputation und Einnahmen, verbesserte Risikosteuerung, erhöhte Kunden- und Partnervertrauen sowie Wettbewerbsvorteile – etwa wenn Ausschreibungen oder Lieferantenverträge eine Nachweislösung verlangen. Außerdem kann eine solche Zertifizierung helfen, regulatorische oder branchenspezifische Anforderungen zu erfüllen.

3. Ist eine Zertifizierung nach ISO 22301 gesetzlich vorgeschrieben oder freiwillig?

Die Zertifizierung nach ISO 22301 ist im Regelfall freiwillig. Allerdings können bestimmte Branchen oder öffentliche Aufträge verlangen, dass Geschäftspartner ein wirksames BCMS nachweisen. In solchen Fällen wird die Zertifizierung faktisch zur Voraussetzung. Zudem erleichtert die Norm die Einhaltung gesetzlicher oder regulatorischer Vorgaben zur Geschäftskontinuität, weshalb sie für viele Organisationen sinnvoll ist.

4. Für welche Unternehmen oder Branchen ist ISO 22301 besonders relevant?

Die Norm ist grundsätzlich branchenübergreifend anwendbar – vom kleinen Dienstleister bis zum multinationalen Konzern. Besonders relevant ist ISO 22301 aber für Unternehmen, bei denen Unterbrechungen erhebliche Folgen haben können – beispielsweise im Gesundheitswesen, in der Energie- und Versorgungswirtschaft, bei IT- und Telekommunikationsdiensten, in der Logistik oder bei kritischen Infrastrukturleistungen. Grundsätzlich gilt: Wer auf Continuity-Fähigkeit angewiesen ist oder Partnern/Behörden gegenüber Nachweise erbringen muss, profitiert besonders.

5. Was unterscheidet ISO 22301 von anderen Managementsystemnormen wie ISO 9001 oder ISO 27001?

Während Normen wie ISO 9001 den Schwerpunkt auf Qualitätsmanagement und ISO 27001 auf Informationssicherheit legen, fokussiert ISO 22301 auf Geschäftskontinuität und die Fähigkeit, wesentliche Geschäftsprozesse auch bei Störungen aufrechtzuerhalten. Sie deckt Risiko- und Ausfall-Szenarien, Wiederanlaufprozesse und die Wiederherstellung von Betrieb ab. Sie kann aber durchaus integriert mit anderen Managementsystemen betrieben werden, um Synergien zu nutzen.

6. Wie läuft der Zertifizierungsprozess nach ISO 22301 grundsätzlich ab?

Der Prozess startet mit einer Analyse des Ist-Zustands (Gap-Analyse) und der kritischen Geschäftsprozesse. Anschliessend erfolgt die Entwicklung bzw. Anpassung eines BCMS inklusive Dokumentation, Schulung und Implementierung. Danach wird ein internes Audit durchgeführt, gefolgt von der Anmeldung bei einer akkreditierten Zertifizierungsstelle. Dort finden ein grundlegendes Audit (Stufe 1 – Dokumentenprüfung) und ein vertiefendes Audit (Stufe 2 – Umsetzung vor Ort) statt. Bei Erfolg wird das Zertifikat erteilt. Danach folgen Überwachungs- und Rezertifizierungsaudits im laufenden Betrieb.

7. Wie lange dauert es, bis eine ISO 22301-Zertifizierung erreicht ist?

Die Dauer hängt ab von Grösse des Unternehmens, Komplexität der Prozesse, vorhandenen Systemen und Ressourcen. In typischen Fällen kann der Weg zur Erstzertifizierung einige Monate bis etwa ein halbes Jahr in Anspruch nehmen. Bei kleineren Organisationen mit wenig Prozesskomplexität kann die Zeit kürzer sein, bei grösseren oder internationalen Organisationen entsprechend länger.

8. Welche Voraussetzungen müssen erfüllt sein, bevor der Zertifizierungsprozess beginnen kann?

Voraussetzungen sind unter anderem: Festlegung des Geltungsbereichs des BCMS, Identifikation und Bewertung kritischer Geschäftsprozesse und Risiken, Definition einer Business-Continuity-Politik und Zielsetzungen, Erstellung der erforderlichen Dokumente (z. B. Ablauf- und Wiederanlaufpläne), Schulung der Mitarbeitenden sowie Durchführung eines internen Audits und Management-Review zur Nachweisführung der Systemreife.

9. Was passiert beim Audit und wer führt es durch?

Das Audit wird von einer unabhängigen, akkreditierten Zertifizierungsstelle durchgeführt. Es gliedert sich meist in zwei Phasen: In der ersten Phase erfolgt eine Dokumentenprüfung (Stufe 1). In der zweiten Phase erfolgt eine Prüfung vor Ort (Stufe 2) mit Interviews, Einsicht in Prozesse, Tests von Notfall- und Wiederanlaufplänen sowie Nachweisen zur Umsetzung. Nach Abschluss erfolgt ein Abschlussgespräch, in dem festgestellt wird, ob und unter welchen Bedingungen die Zertifizierung erteilt wird.

10. Wie oft muss die ISO 22301-Zertifizierung erneuert werden?

Nach erfolgreicher Erstzertifizierung finden meist jährliche Überwachungsaudits statt, um die fortdauernde Wirksamkeit des Systems zu prüfen. Nach einem definierten Zeitraum von drei Jahren erfolgt ein umfassendes Rezertifizierungsaudit, das vergleichbar mit dem Erstaudit ist und das BCMS neu bewertet wird.

11. Welche Leistungen bietet eine ISO 22301-Beratung konkret an?

Eine Beratung unterstützt von der Analyse des Ist-Zustands über die Erstellung oder Anpassung des BCMS, Prozess- und Dokumentenentwicklung, Schulung von Mitarbeitenden, Moderation interner Audits, Vorbereitung auf das externe Zertifizierungsaudit bis hin zur Begleitung bei Überwachungs- und Rezertifizierungsaudits. Ziel ist, das System effizient zu implementieren und nachhaltig im Unternehmen zu verankern.

12. Wie kann ein externer Berater das interne Team beim Aufbau des Business Continuity Management Systems unterstützen?

Ein externer Berater bringt Fachwissen über die Normanforderungen, Erfahrungen mit Umsetzungen in der Praxis, Methodik und Vorlagen mit. Er kann Lücken im System identifizieren, Mitarbeitende schulen, Workshops moderieren, den Projektplan begleiten und interne Audits moderieren oder coachen. So wird die interne Mannschaft gestärkt, ohne dass die gesamte Umsetzung ausgelagert wird.

13. Wie läuft eine typische Beratung von der Analyse bis zur Zertifizierung ab?

Typischer Ablauf: Erstgespräch zur Zieldefinition, Analyse des Ist-Zustands und der Risiken, Erstellung eines Projektplans, Aufbau oder Anpassung des BCMS, Dokumentation und Schulung, Durchführung interner Audits, Umsetzung von Verbesserungen, Begleitung durch das externe Zertifizierungsaudit und anschliessende Unterstützung bei Systempflege und Auditzyklen.

14. Wie wird sichergestellt, dass das Business Continuity Management individuell auf mein Unternehmen zugeschnitten ist?

Ein qualifizierter Berater führt eine detaillierte Analyse der Unternehmensprozesse, Struktur, Risiken, Lieferketten und Stakeholder durch und entwickelt auf dieser Basis eine massgeschneiderte Lösung. Es wird keine Standard-Vorlage einfach übernommen, sondern das System wird so gestaltet, dass es im Alltag praktikabel ist und nicht nur dem Audit dient.

15. Welche Qualifikationen oder Erfahrungen sollte ein ISO 22301-Berater haben?

Ein qualifizierter Berater sollte über eine solide Ausbildung im Bereich der Managementsysteme verfügen, idealerweise aus den Arbeitswissenschaften. Weiter sollte ein kompetenter Berater über praktische Projekterfahrung mit BCMS und ISO 22301-Zertifizierungen verfügen, die Normanforderungen, Audit-Methodiken, Risiko- und Prozessanalyse, Stakeholder-Einbindung kennt sowie über Schulungskompetenz verfügen. Ideal sind nachweisbare Referenzen in der Branche und Kenntnisse in verwandten Managementsystemen. Zudem sollte der Berater Erfahrung in der Branche des Unternehmens haben.

16. Mit welchen Kosten ist für Beratung und Zertifizierung nach ISO 22301 zu rechnen?

Die Kosten variieren stark und hängen von der Unternehmensgrösse, der Anzahl Standorte und der Komplexität der Geschäftsprozesse ab. 

17. Wie hoch ist der interne Aufwand an Zeit, Personal und Dokumentation?

Der interne Aufwand umfasst Mitarbeitendenzeit für Prozess- und Risikoanalyse, Schulung, Dokumentation, interne Audits und Umsetzung von Verbesserungen. Bei kleinen Organisationen kann der Aufwand einige Wochen betragen; bei grösseren, komplexeren Strukturen ist mit mehreren Monaten Aufwand und Beteiligung verschiedener Fachbereiche zu rechnen.

18. Welche Faktoren beeinflussen den Gesamtaufwand und die Kosten (z. B. Unternehmensgröße, Anzahl der Standorte, Prozesskomplexität)?

Zu den zentralen Einflussfaktoren gehören die Anzahl der Standorte, die Vielfalt und Komplexität der Geschäftsprozesse, die Anzahl kritischer Prozesse, die internationale Ausrichtung, die Komplexität der Liefer- und Dienstleistungskette, der vorhandene Reifegrad eines Managementsystems und der Umfang der Beratung.

19. Wie bleibt das Business Continuity Management System nach der Zertifizierung aktuell und wirksam?

Nach der Zertifizierung beginnt der kontinuierliche Verbesserungsprozess: interne Audits, Management-Review, Kennzahlenanalyse, Tests von Notfall- und Wiederanlaufplänen, Feedback von Stakeholdern und Anpassung an neue Risiken. Das System muss im Tagesgeschäft gelebt, dokumentiert und gepflegt werden, nicht lediglich für den Audit-Moment.

20. Wie kann ich die ISO 22301-Zertifizierung als Wettbewerbsvorteil nutzen?

Die Zertifizierung kann extern zur Kommunikation verwendet werden – etwa in Angeboten, Ausschreibungen oder gegenüber Kunden und Partnern. Sie signalisiert Resilienz, Verlässlichkeit und professionelles Risikomanagement. Intern hilft sie Prozesse zu optimieren und Kosten bei Störungen zu reduzieren – was sich positiv auf Wettbewerbsfähigkeit und Marktposition auswirken kann.