Welchen Standard bildet das BCM-Modul ab?

Avalon bildet den vollständigen Lebenszyklus nach BSI-Standard 200-4 ab – von der Voranalyse über die Business-Impact-Analyse und die BCM-Risikoanalyse bis zu Business-Continuity-Strategien, Notfallplänen und einem konsolidierten Notfallhandbuch. Das Scoping orientiert sich an BSI 200-1 / 200-2, die Risikobehandlung an den vier ISO-22301-Strategien. Damit liefert das Modul die Business-Continuity- und Notfalldokumentation, die für die NIS-2-Pflichten von KRITIS- und regulierten Betreibern relevant ist; die Bewertung der NIS-2-Konformität verbleibt bei Ihrer Organisation.

Wie grenzt sich das BCM-Modul vom Krisenmanagement ab?

BCM & Notfallmanagement deckt die methodische Vorsorge ab: Geltungsbereich, zeitkritische Prozesse, Risikoanalyse, Kontinuitätsstrategien, Notfallpläne und das konsolidierte Notfallhandbuch. Die operative Krisenbewältigung im Ernstfall – Stab-Aktivierung, Lagebild, Eskalation und Krisenkommunikation – leistet das eigenständige Modul Krisenmanagement. Beide greifen nahtlos ineinander: Krisenstab, Eskalations- und Trigger-Matrizen werden im Notfallhandbuch zusammengeführt und bilden den Übergang.

Warum muss ich Kritikalität nicht mehrfach erfassen?

Die Zeitkritikalität wird einmal in der Business-Impact-Analyse über die maximal tolerierbare Ausfalldauer (MTPD) bestimmt. Diese Bewertung steuert anschließend, welche Prozesse risikoanalyse- und strategiepflichtig sind, und die Eckwerte MTPD/RTO sowie die gewählte Strategie ziehen sich automatisch in Notfallpläne und Handbuch. Sie bewerten einmal und nutzen das Ergebnis modulübergreifend – ohne Doppelerfassung und ohne widersprüchliche Annahmen.

Wie hilft die KI – und behalte ich die Kontrolle?

Die KI arbeitet als Co-Pilot: Sie schlägt entlang des BCM-Lebenszyklus Vorbefüllungen vor – etwa für Risikobewertungen, Notfallplan-Inhalte und Handbuch-Begleittexte – jeweils mit Konfidenzangabe und Begründung. Übernommen wird nichts automatisch: Jeder Vorschlag wird geprüft, editiert oder verworfen, und Freigabe-, Entscheidungs- sowie Strategiefelder schreibt ausschließlich der Mensch. Die KI läuft On-Premise ohne Datenabfluss, jede Übernahme steht im Audit-Trail, und in regulierten Kontexten greift standardmäßig die strengere Hochrisiko-Variante des EU AI Acts.

BSI 200-4 · BSI 200-1/200-2 · NIS-2-relevant · ISO/IEC 27005 · EU AI Act 2024/1689

Business Continuity nach BSI 200-4 – von der Risikoanalyse bis zur geübten Krisenreaktion.

Avalon BCM & Notfallmanagement bildet den vollständigen Lebenszyklus nach BSI-Standard 200-4 ab: Voranalyse, Business-Impact-Analyse, BCM-Risikoanalyse, Business-Continuity-Strategien, Notfallpläne und ein konsolidiertes Notfallhandbuch greifen methodisch ineinander – statt in verstreuten Excel- und Word-Dateien zu zerfallen. Zeitkritikalität wird einmal in der BIA bestimmt und über alle Folgeschritte konsistent gehalten. So entsteht aus Einzeldokumenten ein zusammenhängendes, versioniertes und prüffähiges Notfallvorsorgekonzept – die Dokumentenlage, die NIS-2-Aufsicht und externe Prüfer erwarten.

Demo vereinbaren Alle Module ansehen

Im Kern

Drei Gründe für Avalon BCM & Notfallmanagement

Lückenloser BSI-200-4-Lebenszyklus in einem System – Voranalyse, BIA, Risikoanalyse, BC-Strategien, Notfallpläne und Notfallhandbuch bauen methodisch aufeinander auf.

Methodische Konsistenz statt stiller Veralterung – Zeitkritikalität, MTPD/RTO und Strategiewahl werden aus der BIA abgeleitet und konsistent gehalten; Brüche werden sichtbar gemacht.

Auditfeste Notfalldokumentation nach BSI 200-4 – ein versioniertes Notfallhandbuch mit Daten-Snapshot zum Erstellungszeitpunkt liefert die Dokumentenlage, die Aufsicht und Prüfer erwarten und die für NIS-2-Pflichten relevant ist.

Wiederanlauf-Faden

Ein MTPD-Wert steuert die ganze Notfallvorsorge

Maximal tolerierbare Ausfalldauer und Wiederanlaufzeit werden genau einmal in der BIA bestimmt – und tragen ohne Doppelerfassung durch den vollständigen BSI-200-4-Lebenszyklus bis zum auditfesten Notfallhandbuch.

Vorzustand

Lose Dateien kollabieren in den Faden.

BSI-200-4-Lebenszyklus

Voranalyse
Business-Impact-Analyse (BIA)Einzige Erfassung
MTPD = 00:00 h / RTO = 02:00 h
BCM-Risikoanalyse
MTPD 04:00 h · RTO 02:00 habgeleitet aus BIA
Business-Continuity-Strategie
MTPD 04:00 h · RTO 02:00 habgeleitet aus BIA
Warm-StandbyAusweichstandortManueller WorkaroundAuslagerungs-Fallback
Notfallplan
MTPD 04:00 h · RTO 02:00 habgeleitet aus BIA
Versioniertes Notfallhandbuch
v3 · 2026-06-12Daten-Snapshot · byte-identisch
Integritätsnachweis je Version

Abhängigkeit

Die Zeitkritikalität wird in der BIA gesetzt. Risikoanalyse, Strategiewahl und Notfallplan lesen sie als Echo – kein zweites Eingabefeld, kein Widerspruch.

Trace-Linie zurück zur BIA

Beispieldaten · Illustration

Belegt: BSI 200-4 (Geltungsbereich/Voranalyse Kap. 4.2, BCM-Risikoanalyse Kap. 6, BC-Strategien Kap. 7, Notfallhandbuch Kap. 10). Die vier Risiko-Behandlungsstrategien (Reduzieren/Akzeptieren/Transferieren/Vermeiden) nach ISO/IEC 27005 bzw. BSI 200-3 werden in der Risikoanalyse festgelegt; die Business-Continuity-Strategien sind methodisch an ISO 22301 angelehnt; relevant für DORA Art. 11. Avalon unterstützt die Umsetzung; die Verantwortung verbleibt beim Kunden.

Funktionsumfang

Was das BCM-Modul im Detail leistet

Voranalyse & Business-Impact-Analyse (BIA)
Die Voranalyse legt den Geltungsbereich Ihres Business Continuity Managements fest (Scoping nach BSI 200-1 / 200-2). Die BIA bestimmt anschließend je Geschäftsprozess die maximal tolerierbare Ausfalldauer (MTPD) und damit die Zeitkritikalität. Diese eine Entscheidung steuert, welche Prozesse überhaupt risikoanalyse- und strategiepflichtig sind – einmal bewertet, in allen Folgeschritten genutzt, ohne Doppelerfassung und ohne widersprüchliche Kritikalitätsannahmen.
BCM-Risikoanalyse nach BSI 200-4
Für zeitkritische Prozesse werden die relevanten Bedrohungen (Strom-, Standort-, IT-, Personal-, Lieferantenausfall, Cyberangriff, Naturereignis und weitere) identifiziert und nach Eintrittswahrscheinlichkeit und Schadensauswirkung bewertet. Die Methodik ist entlang des BSI-Stufenmodells (Reaktiv, Aufbau, Standard) konfigurierbar. Pro Risiko wird eine der vier ISO-22301-Strategien festgelegt – Reduzieren, Akzeptieren, Transferieren, Vermeiden – klar getrennt von der Asset-Risikoanalyse nach BSI 200-3.
Business-Continuity-Strategien
Je Risiko werden konkrete Kontinuitätsoptionen – Hot-, Warm- oder Cold-Standby, Auslagerungs-Fallback, alternativer Standort, manueller Workaround oder Versicherungstransfer – entlang von Wirksamkeit, Kosten, Umsetzungszeit und Abhängigkeiten bewertet. Die begründete Auswahl wird formell freigegeben und steuert Tiefe und Form der Notfallpläne; mehrere sich ergänzende Optionen sind möglich.
Business-Continuity-Pläne (BCP)
Pro zeitkritischem Prozess entsteht ein Wiederanlaufplan mit Maßnahmen-Sequenz, Kontakten und Eskalationswegen. Die Eckwerte – MTPD/RTO und die gewählte Kontinuitätsstrategie – ziehen sich aus den vorgelagerten Schritten, ohne erneute Erfassung. Jeder Plan ist als prozessbezogene Notfallunterlage als PDF oder Docx exportierbar – auch offline für den Ernstfall.
Konsolidiertes Notfallhandbuch
Ein versioniertes Gesamtdokument bündelt die Pflichtinhalte nach BSI 200-4 Kapitel 10: BCMS-Politik und Geltungsbereich, Krisenstab, Eskalationsmatrix, BC-Strategien, alle Notfallpläne, Kontaktlisten und den Test- und Übungsplan. Jede Generierung speichert einen byte-identischen Daten-Snapshot – auditfest und auf Wunsch mit Sign-Off durch CISO und Vorstand.
Tests, Übungen & Übergang ins Krisenmanagement
Geplante Tests und Übungen sowie deren Ergebnisse fließen in den Test- und Übungsplan des Handbuchs ein. Krisenstabsaufstellung, Eskalations- und Trigger-Matrizen werden im Notfallhandbuch zusammengeführt und bilden den nahtlosen Übergang in die operative Krisenbewältigung – die im eigenständigen Modul Krisenmanagement (Stäbe, Aktivierung, Lagebild, Kommunikation) ausgeführt wird.
Durchgängige Konsistenz & Aktualität
Ändert sich eine BIA oder eine Risikoanalyse, werden abhängige Strategien, Pläne und Handbücher als überprüfungsbedürftig markiert. Veraltete Annahmen werden als Konsistenzhinweise sichtbar – statt stiller Veralterung entsteht ein lebender Vorsorgestand, dessen Brüche nachvollziehbar bleiben und bewusst entschieden werden.
Versionierung, Archiv & revisionssichere Auditspur
Jedes Assessment folgt einem einheitlichen Archiv-Muster: Bei einer Neuanlage wird die vorige Version mit Zeitstempel archiviert und über eine Historie mit Gültigkeitszeitraum abrufbar. Jede Bewertung, Freigabe und Handbuch-Generierung wird im Audit-Trail protokolliert – die Grundlage für den Nachweis gegenüber Aufsicht und Prüfern.

Regulatorik im Detail

Welche Rahmenwerke das BCM-Modul abbildet

BSI 200-4
BSI 200-1/200-2
NIS-2-relevant
ISO/IEC 27005
EU AI Act 2024/1689

BSI-Standard 200-4 (Business Continuity Management): Avalon bildet den vollständigen BCMS-Lebenszyklus ab: Voranalyse, Business-Impact-Analyse, Risikoanalyse (Kap. 6), Business-Continuity-Strategien (Kap. 7), Notfallpläne und das konsolidierte Notfallhandbuch (Kap. 10). Die Schritte bauen methodisch aufeinander auf, die Bewertungstiefe ist entlang der BSI-Stufenmodelle (Reaktiv, Aufbau, Standard) konfigurierbar.
BSI-Standard 200-1 / 200-2: Die Voranalyse setzt das Scoping des Geltungsbereichs nach BSI 200-1 / 200-2 um und liefert das Scope-Verdikt, auf dem die nachfolgende Zeitkritikalitäts-Bewertung der BIA aufsetzt – sauber getrennt von der Schadens- und MTPD-Bestimmung.
NIS-2 (Relevanz): Das versionierte Notfallhandbuch mit Daten-Snapshot zum Generierungszeitpunkt und die durchgängige Auditspur liefern eine Dokumentationsgrundlage, die für die Business-Continuity- und Notfallmanagement-Erwartungen der NIS-2 an KRITIS- und regulierte Betreiber relevant ist.
EU AI Act 2024/1689: Die KI-Unterstützung der BCM-Stufen ist konformitätsdokumentiert. In KRITIS-, Finanz- und Versicherungskontexten behandelt Avalon die KI-Unterstützung standardmäßig als Hochrisiko nach Annex III und erfüllt die Pflichten nach Art. 9 (Risikomanagement), Art. 10 (Daten-Governance), Art. 12 (Logging), Art. 13 (Transparenz), Art. 14 (menschliche Aufsicht) und Art. 15 (Robustheit). Avalon unterstützt die Erfüllung; die Konformitätsverantwortung verbleibt beim Kunden.

Avalon unterstützt die Umsetzung dieser Rahmenwerke. Die Konformität bleibt in der Verantwortung Ihrer Organisation.

KI-Plattform

KI mit Kontrolle: vorschlagen ja, freigeben nie

Human-in-the-Loop: KI-Vorschläge werden je Schritt geprüft, editiert oder verworfen; Freigabe-, Entscheidungs- und Strategiefelder schreibt ausschließlich der Mensch.
On-Premise & Audit-Trail: die KI läuft auf lokalen Modellen ohne Datenabfluss, jede Übernahme und jeder Aufruf ist nachvollziehbar protokolliert.
EU-AI-Act-konform by Design: in regulierten/KRITIS-Kontexten greift standardmäßig die strengere Hochrisiko-Variante mit Transparenz und menschlicher Aufsicht.

Wie KI mit Kontrolle bei Avalon funktioniert

Häufige Fragen zum BCM-Modul

Welchen Standard bildet das BCM-Modul ab?: Avalon bildet den vollständigen Lebenszyklus nach BSI-Standard 200-4 ab – von der Voranalyse über die Business-Impact-Analyse und die BCM-Risikoanalyse bis zu Business-Continuity-Strategien, Notfallplänen und einem konsolidierten Notfallhandbuch. Das Scoping orientiert sich an BSI 200-1 / 200-2, die Risikobehandlung an den vier ISO-22301-Strategien. Damit liefert das Modul die Business-Continuity- und Notfalldokumentation, die für die NIS-2-Pflichten von KRITIS- und regulierten Betreibern relevant ist; die Bewertung der NIS-2-Konformität verbleibt bei Ihrer Organisation.
Wie grenzt sich das BCM-Modul vom Krisenmanagement ab?: BCM & Notfallmanagement deckt die methodische Vorsorge ab: Geltungsbereich, zeitkritische Prozesse, Risikoanalyse, Kontinuitätsstrategien, Notfallpläne und das konsolidierte Notfallhandbuch. Die operative Krisenbewältigung im Ernstfall – Stab-Aktivierung, Lagebild, Eskalation und Krisenkommunikation – leistet das eigenständige Modul Krisenmanagement. Beide greifen nahtlos ineinander: Krisenstab, Eskalations- und Trigger-Matrizen werden im Notfallhandbuch zusammengeführt und bilden den Übergang.
Warum muss ich Kritikalität nicht mehrfach erfassen?: Die Zeitkritikalität wird einmal in der Business-Impact-Analyse über die maximal tolerierbare Ausfalldauer (MTPD) bestimmt. Diese Bewertung steuert anschließend, welche Prozesse risikoanalyse- und strategiepflichtig sind, und die Eckwerte MTPD/RTO sowie die gewählte Strategie ziehen sich automatisch in Notfallpläne und Handbuch. Sie bewerten einmal und nutzen das Ergebnis modulübergreifend – ohne Doppelerfassung und ohne widersprüchliche Annahmen.
Wie hilft die KI – und behalte ich die Kontrolle?: Die KI arbeitet als Co-Pilot: Sie schlägt entlang des BCM-Lebenszyklus Vorbefüllungen vor – etwa für Risikobewertungen, Notfallplan-Inhalte und Handbuch-Begleittexte – jeweils mit Konfidenzangabe und Begründung. Übernommen wird nichts automatisch: Jeder Vorschlag wird geprüft, editiert oder verworfen, und Freigabe-, Entscheidungs- sowie Strategiefelder schreibt ausschließlich der Mensch. Die KI läuft On-Premise ohne Datenabfluss, jede Übernahme steht im Audit-Trail, und in regulierten Kontexten greift standardmäßig die strengere Hochrisiko-Variante des EU AI Acts.

Module

Welches Modul passt zu Ihrem nächsten Schritt?

Wir zeigen Ihnen Avalon entlang Ihrer aktuellen Fragestellung – konkret, in Ihrem Kontext, ohne Standard-Sales-Demo.

On-Premise
Human-in-the-Loop
EU-AI-Act-konform by Design

Kostenlosen Demo-Termin vereinbaren Angebot anfragen

On-Premise · Ihre Daten verlassen das Haus nicht

Business Continuity nach BSI 200-4 – von der Risikoanalyse bis zur geübten Krisenreaktion.

Drei Gründe für Avalon BCM & Notfallmanagement

Ein MTPD-Wert steuert die ganze Notfallvorsorge

Was das BCM-Modul im Detail leistet

Voranalyse & Business-Impact-Analyse (BIA)

BCM-Risikoanalyse nach BSI 200-4

Business-Continuity-Strategien

Business-Continuity-Pläne (BCP)

Konsolidiertes Notfallhandbuch

Tests, Übungen & Übergang ins Krisenmanagement

Durchgängige Konsistenz & Aktualität

Versionierung, Archiv & revisionssichere Auditspur

Welche Rahmenwerke das BCM-Modul abbildet

KI mit Kontrolle: vorschlagen ja, freigeben nie

Häufige Fragen zum BCM-Modul

Welches Modul passt zu Ihrem nächsten Schritt?