BusFactor
Anmelden
Zur Standards-Übersicht
ISOISO 22301

ISO 22301 & Wissensmanagement: Was die BCM-Norm wirklich zu Schlüsselpersonen verlangt

ISO 22301:2019 — Sicherheit und Resilienz · Business Continuity Management

Von BusFactor RedaktionVeröffentlicht Aktualisiert

ISO 22301 ist die internationale Norm für Business Continuity Management. Im Audit fragt der Zertifizierer nicht nur nach Notstromaggregaten und Backups, sondern zunehmend nach personellen Single Points of Failure. Wir lesen die relevanten Klauseln 7.1.2, 7.2 und 8.4.4 aus der Bus-Faktor-Perspektive und referenzieren in der Audit-Literatur (DQS, TÜV Süd, DEKRA) wiederkehrend berichtete Schwächen in deutschen Mittelstandsbetrieben.

Relevante Klauseln im Wortlaut

Klausel 7.1.2 — Personen

Die Organisation muss die Personen bestimmen, die für die Funktionsfähigkeit des BCMS notwendig sind, und sicherstellen, dass diese verfügbar bleiben."

Klausel 7.2 — Kompetenz

Die Organisation muss die erforderliche Kompetenz dieser Personen festlegen, sicherstellen, dass sie kompetent sind, und dies mit dokumentierter Information belegen."

Klausel 8.4.4 — Wiederherstellungsverfahren

Verfahren müssen in dokumentierter Form vorliegen, sodass sie auch von Personen ausgeführt werden können, die nicht primär verantwortlich sind."

Typische Audit-Findings

  • Stellvertretungsregeln existieren auf Papier, aber der benannte Stellvertreter wurde nie operativ getestet.
  • Wiederherstellungsverfahren sind nur dem Hauptverantwortlichen erklärbar — unzureichende dokumentierte Information nach 7.5.1.
  • Kompetenznachweise fehlen für kritische BCM-Rollen (Krisenstab, IT-Recovery-Lead).
  • Keine systematische Identifikation von Schlüsselpersonen außerhalb der IT (z. B. Senior-Konstrukteur, Werksleiter, Anwendungs-Spezialist).

Was die Norm tatsächlich zum Bus-Faktor sagt

ISO 22301 nennt das Konzept "Bus-Faktor" nicht beim Namen, adressiert es aber an drei Stellen mit zunehmender Schärfe. Klausel 7.1.2 verlangt explizit die Identifikation der für das BCMS notwendigen Personen. In der ISO-Auslegung 2019 wurde diese Klausel verschärft: Es reicht nicht mehr, eine Liste zu führen — die Organisation muss zeigen, dass sie aktiv Maßnahmen ergreift, um die Verfügbarkeit dieser Personen zu sichern. Die Kommentarliteratur (BSI ISO 22301 Implementation Guide, 2020) interpretiert das so, dass Stellvertretung und Wissenstransfer Pflichtbestandteile sind, nicht optionale Best Practice.

Klausel 7.2 verlangt Kompetenznachweise als dokumentierte Information. Auditoren prüfen hier konsequent, ob die im Notfallplan benannten Stellvertreter tatsächlich die Kompetenz haben, das Verfahren auszuführen — oder ob ihr Name nur formal eingetragen ist.

Klausel 8.4.4 ist die operative Klimax: Wiederherstellungsverfahren müssen so beschrieben sein, dass sie ohne den primär Verantwortlichen ausführbar sind. Genau das ist der praktische Bus-Faktor-Test.

Typische Findings im deutschen Mittelstand

Aus öffentlich zugänglichen Audit-Whitepapers (DQS, TÜV Süd, DEKRA) und der einschlägigen BSI-Standards-Literatur lassen sich vier wiederkehrende Muster ableiten. Erstens: Die "Stellvertreter-Fiktion". In der Notfallorganisation steht ein Name, aber die Person hat den Prozess seit Jahren nicht mehr ausgeführt. Zweitens: Wiederanlaufpläne, die nur der Autor versteht — sie referenzieren Tools, Pfade oder Tickets, deren Kontext nirgends erklärt ist. Drittens: Kritische operative Rollen außerhalb der IT bleiben unerwähnt. Werksleiter, Senior-Konstrukteure und langjährige Anwendungs-Spezialisten halten oft mehr Verfahrenswissen als die nominell BCM-relevanten Rollen. Viertens: Kompetenzmatrizen werden alle drei Jahre für das Audit aktualisiert, nicht laufend.

Mit BusFactor zur Klausel-Compliance

BusFactor adressiert genau die drei Klauseln auf Datenebene: rollenbezogene Wissensaufnahme erzeugt die "dokumentierte Information" für 7.2 und 8.4.4, ohne dass jemand parallel ein Audit-Dossier pflegen muss. Die rollenbasierte Stellvertreter-Logik macht 7.1.2 prüfbar — inklusive Gap-Reports, die zeigen, welche Stellvertreter ihre Rolle technisch noch nie aktiviert haben. Wichtig: Die Plattform erfasst keine Verhaltens- oder Leistungsdaten der Mitarbeiter. Das ist nicht nur DSGVO-relevant, sondern auch ein Audit-Vorteil — ISO-22301-Auditoren erwarten heute, dass Wissenssicherung mitbestimmungs- und datenschutzkonform implementiert wird.

Umsetzungs-Checklisten

Schlüsselpersonen-Inventur (Klausel 7.1.2)

  • Liste aller Rollen, deren Ausfall den Wiederanlauf eines kritischen Geschäftsprozesses verzögern würde
  • Pro Rolle dokumentiert: Hauptverantwortlich, primärer Stellvertreter, sekundärer Stellvertreter
  • Stellvertretungs-Test mindestens einmal jährlich (z. B. „Schattenwoche“ mit Übergabe der täglichen Arbeit)

Kompetenz nachweisen (Klausel 7.2)

  • Pro kritischer Rolle: definierte Mindestkompetenzen mit dokumentierter Bewertung
  • Lückenanalyse: Welche Kompetenz hat aktuell nur die Hauptperson?
  • Maßnahmenplan: Schulung, Coaching, oder strukturierte Wissensaufnahme

Verfahren ausführbar machen (Klausel 8.4.4)

  • Wiederanlaufverfahren so dokumentieren, dass eine Person mit Grundkompetenz, aber ohne tiefes Erfahrungswissen, sie ausführen kann
  • Mindestens jährlicher Tabletop-Test mit Stellvertretern (nicht mit Hauptverantwortlichen)
  • Lessons Learned ins Verfahren zurückspielen — keine Schattendokumentation in persönlichen Notizen

Häufige Fragen

Ist ISO 22301 Pflicht für mein Unternehmen?

Pflicht für KRITIS-Betreiber und meist vertraglich verlangt von OEM-Lieferketten. Für andere Mittelständler freiwillig — aber zunehmend von Großkunden im Lieferantenfragebogen abgefragt.

Wie unterscheidet sich 22301 von ISO 27001 zur Wissenssicherung?

ISO 27001 fokussiert auf Informationssicherheit; 22301 auf operative Kontinuität. Beide verlangen Personalkompetenz und Stellvertretung, aber 22301 ist deutlich expliziter zur Ausführbarkeit von Verfahren ohne den Hauptverantwortlichen.

Müssen wir vor dem Audit alle Schlüsselpersonen-Verfahren neu schreiben?

Nicht zwingend. Sinnvoller ist die rollenbezogene Wissensaufnahme bei den 5–10 kritischsten Rollen — gezielte Tiefe schlägt flächige Oberflächlichkeit. Auditoren erkennen letzteres sofort.

Quellen & weiterführend

Weiterlesen

Standard · ISO
ISO 9001 Klausel 7.1.6 & 7.2: Wissen der Organisation und Personalkompetenz im Audit
Branche · Industrie/Fertigung
Onboarding in der Fertigung: Schichtleiter- und Werkserfahrung vor der Rentenwelle sichern
Blog · Grundlagen
Bus-Faktor erklärt: Warum die Frage „Was, wenn morgen niemand mehr da ist?“ über die Zukunft Ihres Unternehmens entscheidet

ISO 22301-konform mit BusFactor

Wir liefern eine Mapping-Tabelle, die Auditoren direkt nutzen können — und unterstützen bei der Datenschutz-Folgenabschätzung sowie Betriebsvereinbarung.

Compliance-Beratung anfragen