Notfallplan

Ein Notfallplan ist eine schriftliche, geübte Handlungsanleitung für den Ernstfall. Er beschreibt, wer was wann tut, wenn ein Schadenereignis eintritt — vom Brand über den IT-Ausfall bis zur Pandemie. Ziel ist nicht, jedes Risiko zu vermeiden, sondern Schäden zu begrenzen, kritische Prozesse aufrechtzuerhalten und Mitarbeitende, Kunden und Lieferanten sicher zu führen. Im Mittelstand entscheidet die Existenz eines durchdachten Notfallplans oft über Bestand oder Insolvenz nach einem größeren Vorfall.

Definition und Einordnung

Maßgeblich sind die DIN ISO 22301 (Business Continuity Management Systeme) und der BSI-Standard 200-4 (Business Continuity Management) für die Methodik, ergänzt durch die DIN ISO 22361 (Krisenmanagement) für die Führung im Ernstfall. Brandschutz wird durch die Brandschutzordnung nach DIN 14096 geregelt, IT-Notfallmanagement durch ISO/IEC 27031. Daneben verlangen Branchenregelungen wie MaRisk (Banken) oder die NIS2-Richtlinie der EU für KRITIS-Betreiber detaillierte Notfallpläne.

Bestandteile eines Notfallplans Risikoanalysewelche Szenariendecken wir ab? RollenKrisenstab,Vertretungen SofortmaßnahmenSchadensbegrenzung,Schutz WiederanlaufRTO und RPO,Reihenfolge KommunikationMitarbeitende,Behörden, Medien Kontaktlistenaktuell,offline verfügbar Übung & Testjährlich PflegeReview nach jedem Vorfall
Acht Bestandteile, die in jeden Notfallplan gehören.

Typische Szenarien

  • Brand: Räumung, Sammelplatz, Brandschutzordnung Teil A, B, C nach DIN 14096.
  • Stromausfall: USV für IT, Notbeleuchtung, Notfall-Arbeitsplätze außerhalb des Standorts.
  • IT-Ausfall / Cyberangriff: Trennung vom Netz, Backup-Wiederherstellung, Meldung nach DSGVO Artikel 33 binnen 72 Stunden.
  • Lieferantenausfall: Zweitlieferant aktivieren, Bestände prüfen, Kundeninformation.
  • Pandemie: Hygiene, Homeoffice, gestaffelte Anwesenheit, kritische Funktionen sichern.
  • Schlüsselpersonen-Ausfall: Vertretungsregeln, Wissensweitergabe, Notfall-Vollmachten.

RTO und RPO

Zwei Kennzahlen prägen jeden Notfallplan. Die Recovery Time Objective (RTO) beschreibt, wie schnell ein Prozess nach einem Ausfall wieder laufen muss. Die Recovery Point Objective (RPO) gibt an, wie viel Datenverlust akzeptabel ist. Ein Online-Shop hat häufig RTO im Stundenbereich und RPO im Minutenbereich, eine HR-Anwendung kommt mit RTO 24 Stunden und RPO 24 Stunden aus. Aus diesen Werten ergeben sich Anforderungen an Backups, Hochverfügbarkeit und Notfall-Arbeitsplätze.

Erfolgsfaktoren

  • Schlank: kein 200-Seiten-Werk, sondern handhabbare Pläne, die im Stress lesbar sind.
  • Aktuell: Kontakte und Verantwortlichkeiten regelmäßig prüfen.
  • Offline verfügbar: Plan auch dann zugänglich, wenn IT ausgefallen ist (Druck, USB, Cloud-Spiegel).
  • Geübt: mindestens jährlich, Tabletop oder Vollübung.
  • Abgestimmt: mit Versicherungen, Behörden, Lieferanten und Dienstleistern.
  • Verbindlich: Geschäftsführung sichtbar dahinter, nicht delegiert ans Sekretariat.

IT und Cyber-Notfallpläne

Ein wachsender Anteil aller Notfälle entsteht in der IT, etwa durch Ransomware, Phishing oder Cloud-Ausfälle. IT-Notfallpläne nach BSI-Standard 200-4 und ISO/IEC 27031 enthalten Themen wie Detection, Containment, Recovery, Forensik und Meldewege. Die NIS2-Richtlinie der EU verschärft Pflichten für viele Unternehmen ab 2024. IT-Dienstleistungen für den Mittelstand begleiten Aufbau, Erprobung und 24/7-Begleitung im Ernstfall einschließlich Recovery-Tests.

Räume und Infrastruktur

Ein Notfallplan braucht Räume, die im Ernstfall sofort genutzt werden können: ein Krisenraum mit Bildschirmen für Lagebild, ausreichend Stromanschlüssen und stabilem Internetzugang, Rückzugsräume für vertrauliche Gespräche und idealerweise einen alternativen Standort, falls das Hauptgebäude nicht zur Verfügung steht. Eine durchdachte Büroplanung mit flexibler Möblierung erleichtert das Improvisieren im Ernstfall.

Synonyme

Notfallhandbuch, Business Continuity Plan (BCP), Krisenhandbuch, Disaster Recovery Plan (DRP, IT-Schwerpunkt). BCP fokussiert auf Aufrechterhaltung der Geschäftstätigkeit, DRP auf technische Wiederherstellung.

Abgrenzung zu

  • Brandschutzordnung: regelt Verhalten im Brandfall, Teilbereich.
  • Geschäftsfortführungsmanagement (BCM): umfassendes System, der Plan ist eines seiner Ergebnisse.
  • Risikomanagement: identifiziert und bewertet Risiken im Vorfeld.
  • Krisenkommunikation: Sprachregelung im Ernstfall, ergänzt den Plan.

Siehe auch

Literaturhinweise

  • DIN ISO 22301: Business Continuity Management Systeme.
  • BSI-Standard 200-4: Business Continuity Management.
  • DIN 14096: Brandschutzordnung.
  • ISO/IEC 27031: ICT Readiness for Business Continuity.
  • NIS2-Richtlinie 2022/2555.
Passende Begriffe
« Alle Begriffe im Unternehmenslexikon anzeigen