Business Continuity Plan (BCP)
Business Continuity Plan (BCP)
Ein Business Continuity Plan (BCP) ist die dokumentierte Vorsorge eines Unternehmens für den Fall, dass kritische Prozesse durch ein disruptives Ereignis ausfallen. Sie regeln darin Wiederanlaufzeiten, Verantwortlichkeiten und Mindestbetriebsniveaus. Im Einkauf adressiert der BCP vor allem den Ausfall strategisch wichtiger Lieferanten und die Verfügbarkeit alternativer Bezugsquellen.
Detaillierte Erklärung
Der Begriff Business Continuity Plan ist seit der Veröffentlichung der Norm ISO 22301:2019 international standardisiert. Die Norm verlangt ein Business Continuity Management System (BCMS) mit dokumentierter Politik, Business Impact Analyse, Strategie und geübten Plänen. Sie ist als zertifizierungsfähige Managementsystem-Norm konzipiert, der Zertifizierungszyklus folgt dem üblichen Drei-Jahres-Rhythmus mit jährlichen Überwachungsaudits und einer Rezertifizierung im dritten Jahr. In Deutschland überführt das Bundesamt für Sicherheit in der Informationstechnik die Anforderungen seit 2023 im BSI-Standard 200-4, der den älteren Standard 100-4 ablöst und das Standard-BCMS so ausgestaltet, dass eine Zertifizierung nach ISO 22301 daran anschließen kann.
Inhaltlich basiert jeder BCP auf zwei Kernkennzahlen. Das Recovery Time Objective (RTO) definiert, wie lange ein Prozess ausfallen darf, bevor wirtschaftlicher Schaden inakzeptabel wird. Typische RTOs für produktionsnahe Beschaffungsprozesse liegen zwischen 24 und 72 Stunden, bei A-Teilen mit Single-Source-Lieferanten teils unter acht Stunden. Das Recovery Point Objective (RPO) beschreibt den maximal tolerablen Datenverlust, etwa bei Bestell- und Bestandsdaten in einem ERP-System. Der BCP legt die Eskalationsstufen, das Krisenstabsmandat und die Kommunikationswege gegenüber Kunden, Behörden und Lieferanten fest. Verbände wie der BME und der VDI empfehlen, den BCP mindestens jährlich zu üben, etwa als Walking-Through-Workshop oder als Stabsrahmenübung mit eingespielten Lieferantenausfällen.
Praxisbeispiel (konkretes Einkaufsszenario)
Ein Maschinenbauer mit 600 Mitarbeitenden in Baden-Württemberg führt 2025 einen BCP nach ISO 22301:2019 ein. Die Business Impact Analyse identifiziert 14 kritische Beschaffungsprozesse, davon vier mit RTO unter 48 Stunden. Für den Bezug von Servomotoren, der zuvor zu 92 Prozent über einen einzigen italienischen Lieferanten lief, wird ein Zweitlieferant in Tschechien qualifiziert. Die Qualifizierung dauert sieben Monate und kostet 180.000 Euro für Erstmuster, Audits und Werkzeugkopien. Im Plan hinterlegt der Einkauf einen Sicherheitsbestand von 35 Tagen sowie einen Rahmenvertrag über 1.200 Stück pro Jahr beim Zweitlieferanten. Ein simulierter Ausfall des Hauptlieferanten in der zweiten Jahreshälfte zeigt, dass die Umstellung in 41 Stunden gelingt, deutlich unter dem definierten RTO von 72 Stunden. Die Auditkosten der externen Zertifizierungsstelle betragen rund 24.000 Euro pro Zyklus.
Typische Fehler & Verhandlungskontext
Häufigster Fehler ist ein BCP, der nur auf IT-Ausfälle abstellt und Lieferanten-Themen ausspart. Das widerspricht der Logik der Norm, die explizit externe Abhängigkeiten verlangt. Ebenfalls kritisch: Pläne, die nie getestet werden. Ein Plan ohne Übung hat im Ernstfall einen Praxiswert nahe null. In Verhandlungen mit Schlüssellieferanten ist der eigene BCP ein starkes Argument, um Auskunftsrechte über deren BCP, Mehrstandort-Strategien und Notfalllager vertraglich abzusichern. Vorsicht bei reinen Selbstauskünften ohne Beleg, hier hilft eine Vor-Ort-Auditklausel im Rahmenvertrag.
Verwandte Begriffe
Der BCP greift in mehrere Einkaufsdisziplinen, etwa in den [[notfallplan-lieferant]] als operative Detailebene, in das [[lieferantenrisikomanagement]] für die Risikobewertung und in das [[supply-chain-resilience]]-Konzept als übergeordnete Strategie. Auch [[klumpenrisiko-einkauf]] und [[single-source-risiko]] sind eng verzahnt, weil sie die Auslöser für viele BCP-Szenarien beschreiben.