Field notes

Das BC/DR-Richtlinienvorlage, die in SharePoint nicht stirbt

Kostenloser Download. Aus echten Projekten entwickelt. Kein weiteres ISO-Copy-paste.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 Min. Lesezeit
The BC/DR Policy Template That Doesn't Die in SharePoint

Sie kennen dieses Template bereits.

Das, das beginnt mit "The purpose of this policy is to establish requirements for business continuity in accordance with applicable legal, regulatory, and contractual obligations..."

Fourteen pages. No one reads it. It lives in a folder called "Compliance Docs" that gets opened twice a year, once for the audit, once when someone accidentally clicks on it.

Dann passiert der Vorfall.

Ransomware. Cloud-Ausfall. Lieferkettenversagen. Feueralarm um 2 Uhr morgens.

Und der Business-Continuity-Plan? Der, der Sie retten sollte?

Niemand findet ihn. Und selbst wenn, wurde er für einen Auditor geschrieben, nicht für einen Menschen unter Stress.

Genau dieses Problem lösen wir heute.

Warum die meisten BC/DR-Richtlinien scheitern

Nicht weil der Inhalt falsch ist. Die meisten Templates decken die richtigen Klauseln, die richtige Struktur, das richtige Vokabular ab.

Sie scheitern, weil:

  • They're written for auditors, not for people. If the first sentence includes "in accordance with applicable legal requirements," you've already lost the reader.
  • They don't name names. "Top management shall ensure..." doesn't mean anything if no one specific is accountable.
  • Sie wurden nie getestet. Ein Plan, der nicht geübt wurde, ist eine Vermutung. Und Organisationen überleben keine Vermutungen.
  • Sie sind isoliert. BC liegt in einem Ordner, DR in einem anderen, Krisenkomm­unikation steckt im Kopf von jemandem.
  • Sie veralten. Einmal geschrieben, einmal genehmigt, vergessen bis zum nächsten Zertifizierungszyklus.

Kommt Ihnen das bekannt vor?

Was ich entwickelt habe und warum

Ich habe das Template, das ich in echten Beratungsprojekten und ISO 22301-Implementierungen einsetze, genommen und daraus eine kostenlose, herunterladbare BC/DR-Richtlinie gemacht.

Aber ich habe nicht einfach ein Dokument veröffentlicht. Ich habe die Regeln neu geschrieben, wie sich ein Richtlinien-Template anfühlen sollte.

Das macht dieses hier anders:

1. Es ist für Menschen geschrieben

Short sentences. Active verbs. "We" and "you", not "the organisation" and "the user."

Jeder Abschnitt ist so verfasst, dass eine Abteilungsleitung am ersten Arbeitstag ihre Rolle bei einer Betriebsunterbrechung versteht.

Aus dem Template:

"Plans are useless if no one can find them during a crisis. Ours are: practical, accessible, specific, and tested."

Das ist kein ISO-Jargon. Das ist operative Realität.

2. Es hat eine eigene Stimme

Im gesamten Template finden Sie Kommentar-Sidebars: direkte, praxisnahe Hinweise von Cyber Academy am Rand.

Zum Beispiel:

"Most BIAs fail because they're done by IT in isolation. A BIA is a business exercise. If the CFO, Head of Ops, and Head of Sales haven't been in the room, your BIA is incomplete."

"If your exercises always go perfectly, they're not challenging enough. A good exercise should make people uncomfortable. That's the point."

"Logging a nonconformity without root cause analysis is paperwork. Doing root cause analysis without follow-up is theatre. Do both."

Diese Sidebars sind der Unterschied zwischen einem generischen Template und einem Framework, das von Menschen gebaut wurde, die das tatsächlich getan haben.

3. Es orientiert sich an dem, was 2026 zählt

Nicht nur ISO 22301. Dieses Template referenziert:

Standard / RegulierungWarumISO 22301Das Fundament. BCMS-Anforderungen.ISO 27001BC und Informationssicherheit sind zwei Seiten derselben Medaille. Annex-A-Controls A.5.29 und A.5.30 sind hier verankert.NIS2Artikel 21 verlangt BC, Backup-Management und DR für wesentliche und wichtige Einrichtungen. Artikel 20 macht die Geschäftsleitung persönlich haftbar.DORAArtikel 11–12 verlangen IKT-BC und DR-Tests für Finanzunternehmen.

4. Es benennt Rollen, keine Abstraktionen

Statt "Appropriate personnel shall be assigned responsibilities," enthält der Rollenabschnitt eine Tabelle mit einer Spalte namens: "What They Actually Do."

Because "Top Management" doesn't mean anything until you write: "Show up at management reviews, not just sign them. If leadership ignores BC, so will everyone else."

5. Abschnitte heißen, was sie sind

  • Section 5 isn't "Performance Evaluation." It's "Check It Works."
  • Section 6 isn't "Improvement." It's "Fix What's Broken."

Vollständig auditierbar gegen ISO 22301-Klauseln 4–10. Aber so geschrieben, dass ein Mensch tatsächlich über Seite zwei hinauslesen will.

Inhalt im Überblick

#AbschnittInhalt1ZweckWarum es diese Richtlinie gibt: in drei Sätzen, nicht drei Absätzen2AnwendungsbereichFür wen sie gilt. Spoiler: für alle.3Rollen & VerantwortlichkeitenNamed, specific, with a "What They Actually Do" column4RichtlinieBIA, Risikobewertung, Strategien, Pläne, Incident-Response (3-stufige Tabelle), Kommunikation, Übungen (progressive Tabelle), DR, Schulung5Prüfen, ob es funktioniertMonitoring, internes Audit, Management-Review6Beheben, was kaputt istNichtkonformitäten, Ursachenanalyse, Korrekturmaßnahmen7ComplianceDurchsetzung und Managementverantwortung nach NIS2/DORA8ReferenzenTabelle mit Erläuterung, warum jeder Standard relevant ist

Jeder Platzhalter ist lila kursiv markiert, damit Sie genau wissen, was Sie anpassen müssen.

Für wen dieses Template ist

  • BC-Manager, die ein BCMS von Grund auf aufbauen oder neu aufstellen
  • CISOs und GRC-Verantwortliche, die eine einzige integrierte BC/DR-Richtlinie brauchen, keine getrennten Silos
  • Beraterinnen und Berater, die ISO 22301 für Kunden implementieren und es leid sind, jedes Mal bei null anzufangen
  • Organisationen, die sich auf NIS2 oder DORA vorbereiten und Business-Continuity-Maßnahmen nachweisen müssen
  • Anyone who's been through an audit and thought: "There has to be a better template than this."

👉 BC/DR-Richtlinien-Template herunterladen – kostenlosNutzen Sie es. Passen Sie es an. Machen Sie es zu Ihrem.

Löschen Sie die Kommentar-Sidebars vor der Veröffentlichung oder behalten Sie sie als interne Orientierung für Ihr Team. Ihre Entscheidung.

Möchten Sie das nächste Template als Erste erhalten?

Dieses Template ist das erste Element des offiziellen Cyber Academy-Dokumentationsverzeichnisses, das wir aufbauen.

Coming next: BIA template, exercise programme, documented information register, and more all in the same voice, the same quality, the same "built for humans" philosophy.

📩 Cyber Academy-Liste beitretenWir informieren Sie per E-Mail, sobald die nächste Ressource verfügbar ist.Kein Spam. Keine Sequenzen. Nur Tools.Sie können unsere Kommunikation jederzeit abbestellen.Besuchen Sie unsere Datenschutzerklärung, um mehr über unsere Abmeldekonditionen, unsere Datenschutzrichtlinien und unser Engagement für den Schutz der Privatsphäre zu erfahren.

Möchten Sie tiefer einsteigen?

Ein Template ist ein Startpunkt. Kein Zielpunkt.

Wenn Sie die Methodik, die Fallstudien und die Praxis wollen, um ein BCMS aufzubauen, das Audits und reale Vorfälle übersteht:

Alle Trainings: Zertifiziert oder erstattet.

👉 Gesamtes Programm ansehen

👉 Erstgespräch buchen

Möchten Sie die nächste Feldnotiz in Ihrem Posteingang?

Der GRC Brief Newsletter. Fünf Links und eine kurze Einschätzung, jeden Montag um 8 Uhr MEZ. Drei Minuten Lesezeit.