Seit dem 6. Dezember 2025 ist ein nachweislich funktionierender und getesteter Notfallplan für tausende deutsche Unternehmen gesetzlich Pflicht – das NIS2-Umsetzungsgesetz (NIS2UmsuCG) macht Schluss mit unverbindlichen IT-Sicherheitsversprechen. Gleichzeitig verlangen Cyber-Versicherungen im Schadenfall den Nachweis eines dokumentierten, getesteten Wiederherstellungsplans. Wer hier leer ausgeht, riskiert nicht nur Bußgelder, sondern auch Leistungsverweigerung der Versicherung. Diese Anleitung führt dich Schritt für Schritt durch den Aufbau eines vollständigen IT-Notfallhandbuchs nach BSI-Standard 200-4 – vom ersten Stufeneinstieg über die Business-Impact-Analyse bis zur fertigen Alarmierungskette und dem Wiederanlaufplan.

Voraussetzungen

Management-Commitment der Geschäftsführung (NIS2 § 38 BSIG: persönliche Haftung)
Benannter BCM-Beauftragter mit klarer Stellvertretungsregelung
Liste der 5–10 kritischen Geschäftsprozesse für den KMU-Einstieg
Zugänglichkeit der Prozessverantwortlichen für BIA-Interviews (je 1–2 Stunden pro Prozess)
Aktuelle Systemdokumentation: Netzwerkplan, Server-/VM-Inventar, Softwarelizenzen, Zugangsdaten (sicher verwahrt)
BSI-Vorlagenpaket (kostenlos downloadbar, s. Schritt 1)
Backup-Konzept mit 3-2-1-Strategie als technische Grundlage für RPO-Einhaltung
Offline-Druckversion oder verschlüsselter USB-Stick für das Notfallhandbuch (Ransomware-Szenario)
Budget für mindestens jährliche Tabletop-Übung und Restore-Test
Ggf. NIS2-Betroffenheitsprüfung (BSI-Tool oder Branchenverband)

Schritt 1: BSI-Vorlagen herunterladen und Stufenmodell verstehen

Das BSI stellt unter einem zentralen Download-Pfad 14+ Word/Excel/PowerPoint-Vorlagen kostenlos bereit. Lade zunächst die vier Kerndokumente herunter, die du für Aufbau-BCMS (Stufe 2) benötigst:

# BSI-Vorlagen direkt herunterladen (PowerShell)
Invoke-WebRequest -Uri 'https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Standard200_4_BCM/Standard_200-4_Vorlage_Notfallhandbuch.docx?__blob=publicationFile&v=2' -OutFile 'Notfallhandbuch_BSI200-4.docx'

Invoke-WebRequest -Uri 'https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Standard200_4_BCM/Standard_200-4_Vorlage_Wiederanlaufplan.docx?__blob=publicationFile' -OutFile 'Wiederanlaufplan_BSI200-4.docx'

Invoke-WebRequest -Uri 'https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Standard200_4_BCM/Standard_200-4_BIA_Auswertungsbogen_mit_BSP.xlsx?__blob=publicationFile' -OutFile 'BIA_Auswertungsbogen_mit_Beispielen.xlsx'

Invoke-WebRequest -Uri 'https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Standard200_4_BCM/Standard_200-4_Vorlage_Notfallvorsorgekonzept.docx?__blob=publicationFile&v=3' -OutFile 'Notfallvorsorgekonzept_BSI200-4.docx'

Das Stufenmodell des BSI 200-4 im Überblick – wähle deinen Einstieg realistisch:

Stufe	Bezeichnung	Dauer KMU	Inhalt	Zertifizierung
1	Reaktiv-BCMS	Wenige Wochen	Notfallhandbuch, Alarmierungskette, einfache Sofortmaßnahmen	Nein
2	Aufbau-BCMS	3–6 Monate	BIA, RTO/RPO, Wiederanlaufpläne, Notfallorganisation	Nein (NIS2-konform)
3	Standard-BCMS	6–12 Monate	PDCA-Reife, vollständiges BCMS, interne Audits	ISO 22301:2019

Empfehlung für KMU: Starte mit Reaktiv-BCMS, um binnen weniger Wochen handlungsfähig zu sein. Für NIS2-Compliance reicht Aufbau-BCMS (Stufe 2). Standard-BCMS (Stufe 3) ist nur bei geplanter ISO-22301-Zertifizierung notwendig.

Schritt 2: Notfallorganisation und Rollen definieren

Bevor du die BIA beginnst, musst du die BCM-Kernrollen nach BSI 200-4 besetzen. Ohne klare Verantwortlichkeiten ist kein Notfallplan im Ernstfall handlungsfähig:

BCM-Beauftragter: Koordiniert das gesamte BCMS, berichtet an die Geschäftsführung, pflegt das Notfallhandbuch. Muss eine benannte Stellvertretung haben.
Lenkungsausschuss BCM: Strategie und Budget – besetzt mit Geschäftsführung und Bereichsleitungen.
Krisenstab: Operative Krisenleitung im Notfall. Pflichtmitglieder: Krisenstabsleitung, IT-Notfallkoordinator, Kommunikationsverantwortlicher.
Prozessverantwortliche: Liefern die BIA-Daten und sind erste Ansprechpartner bei prozessbezogenen Notfällen.

Die vier Eskalationsstufen nach BSI 200-4 musst du im Notfallhandbuch explizit dokumentieren:

Stufe	Ereignis	Zuständig	Reaktionszeit
1	Lokale IT-Störung	Fachbereichsleitung / First-Level-Support	Innerhalb der Arbeitszeit
2	Kritisches Ereignis	BCM-Beauftragter	< 2 Stunden
3	Notfall / Systemausfall	Krisenstab	< 1 Stunde (24/7)
4	Unternehmensweite Krise	Geschäftsführung	Sofort

Schritt 3: Business-Impact-Analyse (BIA) durchführen

Die BIA ist das Herzstück des BSI 200-4. Sie startet bei Geschäftsprozessen – nicht bei IT-Systemen. Der häufigste Fehler: KMU listen ihre Server auf, statt ihre Prozesse zu analysieren. Nutze den BSI-BIA-Auswertungsbogen (Standard_200-4_BIA_Auswertungsbogen_mit_BSP.xlsx) und fülle ihn pro Prozess in 1–2-stündigen Interviews mit den Prozessverantwortlichen aus.

Die Pflichtfelder des BIA-Auswertungsbogens und Beispielwerte für ein produzierendes KMU:

# BIA-Tabelle: Pflichtfelder im Auswertungsbogen (BSI Standard 200-4)
Prozessname          | Prozessverant- | Kritikalität | RTO   | RPO   | MTPD  | Abh. IT-Systeme   | Mindest-  | Notfallstrategie
                     | wortlicher     | (1-4)        | (Std) | (Std) | (Std) |                   | Personal  |
---------------------|----------------|--------------|-------|-------|-------|-------------------|-----------|------------------------
ERP/Auftragserfassung| Max Mustermann | 1 (kritisch) |   8   |   4   |  24   | ERP-Server, AD    | 2 MA Vertrieb | Manuelle Erfassung + Cloud-Backup
Produktion/MES       | Anna Schmidt   | 1 (kritisch) |   4   |   1   |  16   | MES-Server, SPS   | 3 MA Produktion | Failover-VM, Papierprotokoll
E-Mail/Kommunikation | IT-Abteilung   | 2 (wichtig)  |   4   |   1   |  24   | Exchange, DNS     | 1 MA IT   | Exchange Online Fallback
Lagerverwaltung      | Karl Weber     | 2 (wichtig)  |  24   |  12   |  48   | WMS-Server        | 1 MA Lager | Manuelle Papierliste
Fakturierung         | Maria Braun    | 2 (wichtig)  |  48   |  24   |  72   | ERP, Drucker      | 1 MA Buchhalt. | Manuelle Rechnung per PDF
HR-Systeme           | HR-Leitung     | 3 (normal)   | 120   |  24   | 240   | HR-Server         | 1 MA HR   | Excel-Notfalllösung

Wichtige Begriffe, die du in der BIA klar trennen musst:

RTO (Recovery Time Objective): Wie lange darf ein Prozess maximal ausfallen? Die RTO muss kleiner als die MTPD sein.
RPO (Recovery Point Objective): Wie viele Stunden Datenverlust kann der Prozess verkraften? Bestimmt deine Backup-Frequenz.
MTPD (Maximum Tolerable Period of Disruption): Ab wann wird der Schaden existenzbedrohend? Bildet die harte Obergrenze für die RTO-Festlegung.

Schritt 4: Alarmierungskette im Notfallhandbuch dokumentieren

Die Alarmierungskette muss im Notfallhandbuch als ausfüllbare Kontaktliste vorliegen – und zwar offline. Bei einem Ransomware-Angriff sind alle digitalen Systeme verschlüsselt. Drucke die Alarmierungskette aus und hinterlege sie an einem sicheren, für alle Schlüsselpersonen zugänglichen Ort.

# Alarmierungskette: Stufe-3-Notfall (Systemausfall) – Reihenfolge einhalten
1. IT-Notfallkoordinator:       [Name] | Mobil: [+49...]  | Signal/Teams: [ID]
2. BCM-Beauftragter:            [Name] | Mobil: [+49...]  | E-Mail: [Adresse]
3. Geschäftsführung:            [Name] | Mobil: [+49...]  | Stellvertretung: [Name+Tel]
4. Datenschutzbeauftragter:     [Name] | Mobil: [+49...]  | (bei Datenpanne Pflicht!)
5. Externer IT-Dienstleister:   [Firma] | 24/7-Hotline: [Tel] | Vertragsnummer: [Nr]
6. Cyber-Versicherung:          [Versicherung] | Schadennummer: [Nr] | Notfall-Hotline: [Tel]
7. BSI CERT-Bund (NIS2/KRITIS): 0800 274 1000 (kostenfrei, 24/7)

Hinweis: Stelle sicher, dass jede Position eine benannte Stellvertretung hat. Fällt der BCM-Beauftragte aus (Urlaub, Krankheit), muss die Stellvertretung sofort handlungsfähig sein. BSI 200-4 fordert Vertretungsregelungen für alle Schlüsselpositionen ausdrücklich.

Schritt 5: Wiederanlaufplan (WAP) mit Prioritätenliste erstellen

Der Wiederanlaufplan beschreibt die geordnete Rückkehr zum Normalbetrieb. Nutze die BSI-Vorlage Standard_200-4_Vorlage_Wiederanlaufplan.docx (Kapitel 4) und leite die Prioritäten direkt aus deinen BIA-RTO-Werten ab:

# Wiederanlaufreihenfolge: Prioritätsliste (aus BIA-RTO abgeleitet)
Priorität 1 (RTO <= 4h):   Active Directory / DNS, VPN-Gateway, Produktionssteuerung (MES)
Priorität 2 (RTO <= 8h):   ERP-System, E-Mail-Server, Backup-Server
Priorität 3 (RTO <= 24h):  Lagerverwaltung, CRM, Netzwerkdrucker
Priorität 4 (RTO <= 48h):  Fakturierung, Dateiablage (Sekundär), Webseite
Priorität 5 (RTO <= 5 AT): HR-Systeme, Archiv, Reportingsysteme

Für jeden Prioritätsblock dokumentierst du im WAP: Wiederherstellungsschritte (technisch, step-by-step), verantwortliche Person, Zeitschätzung, erforderliche Ressourcen (Zugangsdaten, Hardware, externe Hilfe) und einen Testnachweis mit Datum.

Schritt 6: Backup-Strategie auf RPO ausrichten (3-2-1-Regel)

Die technische Grundlage für die Einhaltung deiner RPO-Werte ist die Backup-Strategie. BSI 200-4 (Notfallvorsorgekonzept, Kapitel 5) empfiehlt die 3-2-1-Regel:

# 3-2-1-Backup-Strategie (BSI-Empfehlung, Notfallvorsorgekonzept Kap. 5)
3 Kopien der Daten
2 verschiedene Medien (z.B. lokale NAS + Cloud-Speicher)
1 Kopie off-site / air-gapped (physisch getrennt oder unveränderlicher Cloud-Storage)

# Veeam Backup Job: Zeitplan für RPO 4 Stunden (ERP/Auftragserfassung)
Inkrementelles Backup:   alle 4 Stunden (Arbeitstage 06:00–22:00 Uhr)
Tägliches Vollbackup:    22:00 Uhr
Wöchentlicher Restore-Test: Freitag 06:00 Uhr (automatisierter Integritätstest, Sure Backup)
Retention lokal:         30 Tage
Retention Cloud:         90 Tage

Wichtig: Teste deine Backups regelmäßig mit echten Restore-Tests. Ein Backup ohne verifizierten Restore ist für RPO-Zwecke wertlos. Tools wie Veeam Sure Backup oder Acronis Cyber Protect bieten automatisierte Backup-Verifizierung.

Schritt 7: Notfallhandbuch finalisieren und testen

Das fertige Notfallhandbuch nach BSI-Vorlage enthält diese Pflichtbestandteile laut NIS2UmsVO Annex 4.1:

Krisenteam mit Rollen und Vertretungen
Eskalationskette (vierstufig, s. Schritt 2)
Reaktionsprozeduren pro Notfallszenario (Ransomware, Hardwareausfall, Stromausfall usw.)
Wiederanlaufplan mit Prioritätsliste (s. Schritt 5)
Kommunikationsplan (intern und extern, inkl. Behörden)
Alarmierungskette mit Kontakten (s. Schritt 4)
Testprotokoll mit Datum, Teilnehmern und Feststellungen

Der Test ist keine Option, sondern Pflicht: NIS2 fordert mindestens jährliche Tests. Nach wesentlichen Vorfällen oder Systemveränderungen sind zusätzliche Tests erforderlich. Anerkannte Formate:

Testformat	Aufwand	NIS2-anerkannt	Versicherung
Tabletop-Übung	ca. 2 Stunden	Ja	Ja (mit Protokoll)
Technischer Restore-Test	halber Tag	Ja	Ja (mit Protokoll)
Volltest (Failover)	1–2 Tage	Ja	Ja (stärkster Nachweis)

Dokumentiere jeden Test mit: Datum, Teilnehmern, Szenario, Feststellungen und Verbesserungsmaßnahmen. Dieses Protokoll ist dein Nachweis gegenüber Auditor und Versicherung. Einen konkreten Ransomware-Notfallplan für die ersten 60 Minuten findest du in der Anleitung Ransomware-Notfallplan: Die ersten 60 Minuten.

Troubleshooting / Typische Fehler

RTO für alle Systeme = 1 Stunde gesetzt, ohne BIA: Technisch nicht umsetzbar und von Versicherung/Auditor nicht akzeptiert. Fix: BIA-Interviews mit Prozessverantwortlichen durchführen, MTPD als harte Obergrenze für RTO nutzen.
Notfallplan nur als PDF, nie getestet: Nach NIS2 und für Cyber-Versicherungen nicht ausreichend. Fix: Tabletop-Übung dokumentieren (Datum, Teilnehmer, Feststellungen) – reicht in der Regel als Nachweis.
Alarmierungskette nur digital gespeichert: Bei Ransomware sind alle Systeme verschlüsselt. Fix: Ausgedruckte Version an sicherem Ort hinterlegen, ggf. auf verschlüsseltem USB-Stick offline vorhalten.
BCM-Beauftragter ohne Stellvertretung: Bei Ausfall (Urlaub, Krankheit) keine handlungsfähige Notfallorganisation. Fix: BSI 200-4 fordert explizit Vertretungsregelungen für alle Schlüsselpositionen – sofort nachrüsten.
BIA analysiert nur IT-Systeme, nicht Geschäftsprozesse: Verfehlt den BSI-200-4-Ansatz. Fix: BIA muss bei Geschäftsprozessen beginnen und dann auf IT-Abhängigkeiten schließen – nie umgekehrt.
BSI-Vorlage unverändert übernommen: Ein Notfallhandbuch ohne unternehmensspezifische Kontakte, IP-Adressen und Prozesse ist im Ernstfall wertlos. Fix: Alle Platzhalter mit echten Unternehmensdaten befüllen.
Notfallhandbuch nach Systemmigrationen nicht aktualisiert: BSI 200-4 fordert mindestens jährliche Aktualisierung plus Update nach wesentlichen Änderungen. Fix: Aktualisierung als Kalendereintrag festlegen, Versionshistorie im Dokument führen.
Supply-Chain-Risiken ignoriert: Kritische Dienstleister (Cloud-Anbieter, Lohnrechenzentren, Logistikpartner) müssen im Wiederanlaufplan berücksichtigt sein. Fix: BSI-Vorlage Standard_200-4_Grundanforderungskatalog_fuer_Outsourcing_und_Lieferketten.docx verwenden.

Häufige Fragen

Welche BSI-200-4-Stufe ist für ein KMU mit 50 Mitarbeitern nach NIS2 Pflicht?

NIS2 (§ 30 BSIG) schreibt kein spezifisches Stufenniveau vor, sondern einen nachweislich funktionierenden und getesteten Plan. In der Praxis reicht Aufbau-BCMS (Stufe 2) mit dokumentierter BIA, Wiederanlaufplan und jährlichem Test für die meisten wesentlichen Einrichtungen aus. Standard-BCMS (Stufe 3) ist nur bei geplanter ISO-22301-Zertifizierung sinnvoll.

Was ist der Unterschied zwischen Notfallhandbuch, Notfallvorsorgekonzept und Geschäftsfortführungsplan?

Das Notfallvorsorgekonzept (BSI Kap. 5) beschreibt präventive Maßnahmen – was du vorher tust, um Ausfälle zu verhindern. Das Notfallhandbuch (BSI Kap. 6.4) enthält operative Sofortmaßnahmen und Alarmierungswege für den Krisenfall. Der Geschäftsfortführungsplan (GFP) beschreibt, wie der Betrieb während eines Notfalls mit Notlösungen aufrechterhalten wird. Der Wiederanlaufplan (WAP) beschreibt die Rückkehr zum Normalbetrieb. Alle vier sind separate BSI-Vorlagen – lade sie alle herunter.

Wie lege ich RTO und RPO konkret für meine Prozesse fest?

In der BIA wird pro Prozess die MTPD ermittelt (Wann wird der Schaden existenzbedrohend?). Die RTO muss kleiner als die MTPD sein. Der RPO ergibt sich aus der Frage: Wie viele Stunden Datenverlust kann der Prozess verkraften? Diese Werte werden ausschließlich in Interviews mit den Prozessverantwortlichen erhoben – nicht von der IT vorgegeben. Die IT setzt die technischen Voraussetzungen um, aber die Businessseite definiert die Anforderungen.

Genügt ein Notfallplan ohne Testnachweis für die Cyber-Versicherung?

Nein. Die meisten Cyber-Versicherungen fordern im Schadenfall den Nachweis eines getesteten Wiederherstellungsplans. Fehlt dieser, können sie die Leistung ganz oder teilweise verweigern. Dokumentierte Tabletop-Übungen (Protokoll mit Datum, Teilnehmern, Feststellungen) werden in der Regel als Nachweis akzeptiert. Führe daher mindestens einmal jährlich eine dokumentierte Übung durch.

Muss ich als KMU einen externen BCM-Berater beauftragen?

Nein. Die BSI-Vorlagen sind kostenlos und können intern befüllt werden. Für Reaktiv-BCMS kann ein erfahrener IT-Verantwortlicher den Einstieg selbst schaffen (ca. 40–80 Stunden interne Arbeitszeit). Für die BIA empfiehlt sich externe Unterstützung, da Interviewmethodik und Schadensbewertung Erfahrung erfordern. Aufbau-BCMS mit externer Beratung kostet ab ca. 8.000 EUR (Festpreis), Standard-BCMS 30.000–80.000 EUR je nach Unternehmensgröße.

Wie ist BSI 200-4 mit DSGVO und ISO 27001 verknüpft?

BSI 200-4 ergänzt BSI 200-2 (IT-Grundschutz) und lässt sich mit einem bestehenden ISMS nach ISO 27001 kombinieren. Gemeinsame Elemente sind Risikoanalyse und Notfallplanung (ISO 27001 Annex A.17). DSGVO Art. 32 verlangt Maßnahmen zur Verfügbarkeit – deckungsgleich mit BCM-Anforderungen. Eine integrierte Lösung spart erheblichen Doppelaufwand. Wenn du bereits ein ISMS nach ISO 27001 betreibst, baue dein BCMS direkt darauf auf.

Fazit

Ein IT-Notfallhandbuch nach BSI 200-4 ist seit Dezember 2025 keine Kür mehr, sondern gesetzliche Pflicht für NIS2-betroffene Unternehmen – und ein echter Schutz im Ernstfall. Der entscheidende Vorteil des Stufenmodells: Du musst nicht sofort Standard-BCMS (Stufe 3) anstreben. Starte mit Reaktiv-BCMS, um binnen weniger Wochen handlungsfähig zu sein, und baue mit Aufbau-BCMS systematisch aus. Die BSI-Vorlagen sind kostenlos, die Methodik klar strukturiert. Der größte Mehrwert entsteht durch die Business-Impact-Analyse: realistische RTO/RPO-Werte aus Prozessinterviews statt technischer Wunschlisten. Und vergiss den Testnachweis nicht – ohne dokumentierten Test gilt dein Plan weder für NIS2-Audits noch für die Cyber-Versicherung.

Weiterführende Anleitungen und Quellen

Quellen: BSI-Standard 200-4 (offizielle Seite) | BSI 200-4 Hilfsmittel und Vorlagen | BSI NIS-2 BCM Infopaket | NIS2 Business Continuity: RTO/RPO und Testpflichten (secjur.com)