ISO 22300 Business Continuity Management

• Business Continuity : laut ISO 22300 ist dies „die Fähigkeit einer Organisation, die Lieferung von Produkten und Dienstleistungen innerhalb akzeptabler Zeitrahmen bei vorab definierten Kapazitäten während einer Störung fortzusetzen“. Der Fokus liegt auf der Aufrechterhaltung definierter Mindestleistungen trotz Störungen.

• Business Continuity Management System (BCMS) : als „holistischer Managementprozess“ identifiziert das BCMS potenzielle Bedrohungen und deren Auswirkungen und schafft einen Rahmen für organisatorische Resilienz, der die Interessen von Stakeholdern, Reputation, Marke und wertschöpfenden Aktivitäten schützt. ISO 22301 präzisiert, dass das BCMS Kompetenzen, dokumentierte Informationen, Management‑Reviews, kontinuierliche Verbesserung und die Umsetzung des PDCA‑Zyklus umfasst.

• Resilienz : ISO 22300 definiert Resilienz als die Fähigkeit einer Organisation, sich an eine komplexe, sich verändernde Umgebung anzupassen. Ein erweitertes Verständnis schließt die Fähigkeit ein, nach Störungen in einen gewünschten Zustand zurückzukehren. Resiliente Organisationen bleiben wachsam, schützen und bereiten ihre Ressourcen vor und können sich schnell erholen. Für Facility‑Managerinnen und ‑Manager bedeutet dies, dass die langfristige Infrastruktur‑ und Betriebsstabilität eine strategische Führungsaufgabe ist.

Ein zentrales Instrument des BCM ist die Business‑Impact‑Analyse. Sie identifiziert kritische Aktivitäten, Bewertet deren Abhängigkeiten und quantifiziert die Auswirkungen von Ausfällen. Die BIA dient dazu, Wiederanlaufziele (Recovery Time Objective – RTO) und Datenwiederherstellungsziele (Recovery Point Objective – RPO) festzulegen.

• Inventarisierung: Erfassung aller Anlagen, Systeme, Menschen und Dienstleister sowie deren Verortung und vertraglichen SLA. Entscheidend ist die Unterscheidung zwischen kritischen und nichtkritischen Assets.

• Bestimmung von RTO und RPO: Die akzeptable Ausfallzeit für jede kritische Funktion sowie das maximale Datenverlustintervall müssen definiert werden. Diese Ziele schlagen sich in Service‑Level‑Agreements nieder und bilden für Gebäudemanagementsysteme und Versorgungsinfrastruktur (HVAC, Elektrik, IT) verbindliche Wiederherstellungsfristen.

• Business Continuity Objectives und MTPD: ISO 22301 verlangt, dass Organisationen ihre Business‑Continuity‑Ziele, die Minimalniveaus für Produkte und Dienstleistungen sowie die „Maximum Tolerable Period of Disruption“ definieren. Für Facility‑Manager bedeutet dies, klare Schwellenwerte festzulegen, ab denen ein Gebäude, Rechenzentrum oder Versorgungsnetz nicht länger betriebsfähig ist.

Die BIA bildet somit die Grundlage für die Entwicklung von Strategien, die Redundanz, Notstromversorgung und bauliche Verstärkung einschließen, um die fortlaufende Nutzbarkeit von Gebäuden, Versorgungsnetzwerken und sicherheitsrelevanten Einrichtungen zu garantieren.

Facility Management spielt eine zentrale Rolle im Business‑Continuity‑Kontext. Einer aktuellen Analyse zufolge steht Facility Management an der Schnittstelle zwischen operativer Resilienz und Risiko­management. Seine Aufgabe beschränkt sich nicht auf die Instandhaltung von Gebäuden; vielmehr koordiniert es physische Räume, technische Infrastruktur und Ressourcen, um den Geschäftsbetrieb auch in turbulenten Phasen aufrechtzuerhalten.

• Risikobewertung und ‑minderung: Eine ganzheitliche Risikobewertung identifiziert Naturgefahren, technische Ausfälle, Cyberbedrohungen und andere unvorhergesehene Ereignisse. Auf dieser Grundlage entwickeln Facility‑Manager Strategien wie physische Sicherheitsmaßnahmen, Notstromsysteme und redundante Infrastruktur. Dieser proaktive Ansatz reduziert Störungen und steigert die organisatorische Resilienz.

• Integration von IT‑, Lieferketten‑ und Personalsicherheit: Wirksames Facility Management vernetzt sich mit IT‑Abteilungen, Supply‑Chain‑Management und Personalabteilungen, um umfassende Kontinuitätspläne zu entwickeln. Diese kollaborative Strategie fördert die ganzheitliche Betrachtung von physischen Ressourcen, Menschen und Technologien und stärkt Reputation sowie finanzielle Stabilität.

• Notfallvorsorge und Reaktionsplanung: Systematische Notfallplanung umfasst die Vorbereitung auf, Reaktion auf und Wiederherstellung nach Notfällen. Facility‑Manager müssen Risikoanalysen durchführen, spezifische Evakuierungs‑ und Schutzpläne entwickeln und Kommunikationsprotokolle etablieren. Regelmäßige Schulungen und Simulationen stellen sicher, dass alle Mitarbeiter ihre Rollen im Ernstfall kennen. Eine konsequente Notfallvorsorge reduziert Betriebsunterbrechungen, schützt Leben und Vermögenswerte und bildet die Grundlage für die rasche Erholung des Unternehmens.

• Infrastruktur‑ und Systemresilienz: Die Fähigkeit von Gebäuden und technischen Systemen, Störungen standzuhalten und sich schnell zu erholen, ist ein Eckpfeiler des BCM. Facility‑Manager sollten bestehende Infrastruktur evaluieren, Schwachstellen identifizieren und gezielte Maßnahmen wie bauliche Verstärkungen, redundante Energieversorgung und IoT‑gestützte Überwachung implementieren. Echtzeitdaten von IoT‑Geräten ermöglichen proaktives Handeln, bevor Störungen zu Betriebsunterbrechungen führen. Dies stärkt das Vertrauen der Kunden und minimiert finanzielle Verluste.

BCM ist kein isolierter Prozess, sondern integraler Bestandteil des Enterprise Risk Management (ERM). Das britische BS 31100 definiert Business Continuity als „holistisches Management, das potenzielle Bedrohungen und Auswirkungen identifiziert und einen Rahmen zur Entwicklung organisationaler Resilienz mit der Fähigkeit zu einer effektiven Reaktion schafft“. Die Integration von BCM in das ERM ermöglicht die Abstimmung von Kontinuitätsstrategien mit der Risikotoleranz und den strategischen Zielen des Unternehmens. Damit verknüpfen Facility‑Manager BCM‑Pläne mit Investitionsentscheidungen, Beschaffungsstrategien und Lieferkettenmanagement.

Resilienz ist wiederum als Fähigkeit zu verstehen, sich anzupassen und nach Störungen zum gewünschten Zustand zurückzukehren. Die Einbindung von Resilienz in die Unternehmensführung stellt sicher, dass Risiken wie Naturkatastrophen, Unfälle oder vorsätzliche Schäden auf Vorstandsebene berücksichtigt werden. Dadurch werden Anlagenbetreiber befähigt, den Zustand ihrer Systeme besser zu verstehen, wirksame Strategien regelmäßig zu bewerten und kontinuierlich anzupassen.

• Adoption des gemeinsamen Vokabulars: Verwenden Sie die durch ISO 22300 definierten Begriffe konsequent, um missverständliche Kommunikation zu vermeiden und Stakeholder auf allen Ebenen einzubinden.

• Implementierung eines BCMS gemäß ISO 22301: Nutzen Sie die normative Struktur, um ein systematisches BCMS zu etablieren. Der PDCA‑Zyklus stellt sicher, dass Planung, Umsetzung, Überprüfung und Anpassung in einem kontinuierlichen Verbesserungsprozess erfolgen.

• Durchführung von Business‑Impact‑Analysen: Identifizieren Sie kritische Assets, Funktionen und Prozesse; bestimmen Sie RTO‑ und RPO‑Ziele; definieren Sie die maximale tolerierbare Ausfallzeit. Die BIA liefert die Grundlage für Ressourcenzuweisung und Investitionsentscheidungen.

• Entwicklung umfassender Notfall‑ und Wiederanlaufpläne: Verknüpfen Sie physische Sicherheitsmaßnahmen mit IT‑Notfallplanung, Lieferantenmanagement und Personalsicherheit. Üben Sie Szenarien regelmäßig, um die Reaktionsfähigkeit zu testen.

• Berücksichtigung von Lieferketten‑ und Infrastrukturresilienz: Erweitern Sie das BCM über die Grenzen des eigenen Standorts hinaus. ISO 22318 liefert hierfür Leitlinien zur Sicherung von Lieferketten, während ISO 22332 bei der Strategieentwicklung unterstützt.

• Integration in Governance und Compliance: Verankern Sie Business‑Continuity‑Ziele in der Unternehmensstrategie. Regelmäßige Berichterstattung an die Unternehmensleitung und die Einbindung in Audit‑ und Compliance‑Systeme sind notwendig, um gesetzlichen, vertraglichen und stakeholderbezogenen Anforderungen gerecht zu werden.