Skip to content
Home

2 September 2025 | 4 min

ISO 27031 – Der neue Standard für ICT-Readiness und Business Continuity

Die wachsende Abhängigkeit von Informationstechnologien macht Unternehmen zunehmend anfällig für Störungen, Ausfälle und Cyberangriffe. Ein einziger IT-Ausfall kann heute ganze Geschäftsprozesse lahmlegen, Lieferketten unterbrechen oder Kundenbeziehungen nachhaltig schädigen. Um dem zu begegnen, hat die Internationale Organisation für Normung (ISO) im Mai 2025 die überarbeitete Fassung des Standards ISO/IEC 27031 veröffentlicht. Er bietet einen Leitfaden für die Sicherstellung der ICT-Readiness (Information and Communication Technology Readiness for Business Continuity, IRBC) und verbindet Informationssicherheit mit Business Continuity Management.

Das Wichtigste in Kürze

  • ISO/IEC 27031:2025 wurde im Mai 2025 veröffentlicht
  • Bietet ein Framework für ICT-Readiness zur Unterstützung der Business Continuity
  • Nutzt den PDCA-Zyklus (Plan-Do-Check-Act) als methodisches Fundament
  • Starke Anbindung an ISO/IEC 27001 (Informationssicherheit) und ISO 22301 (Business Continuity Management)
  • Fokus auf Cloud-Dienste, Cyberbedrohungen und moderne IT-Infrastrukturen

Was ist ISO/IEC 27031?

ISO/IEC 27031 ist ein internationaler Leitfaden, der beschreibt, wie Unternehmen ihre Informations- und Kommunikationstechnologien so vorbereiten können, dass diese im Ernstfall zuverlässig zur Aufrechterhaltung des Geschäftsbetriebs beitragen. Der Standard definiert Prinzipien, Prozesse und Maßnahmen, die sicherstellen sollen, dass ICT-Systeme auch im Falle von Störungen schnell wieder funktionsfähig sind.

Er schließt damit die Lücke zwischen klassischem Business Continuity Management und moderner IT-Sicherheit. Während ISO 22301 den allgemeinen Rahmen für Business Continuity setzt, konkretisiert ISO 27031, wie ICT-Systeme vorbereitet, überwacht und wiederhergestellt werden müssen.

Die Kernelemente des Standards

Rahmenwerk für ICT-Readiness

Der Standard beschreibt ein Framework, das Unternehmen hilft, ihre ICT-Umgebungen systematisch auf Ausfälle und Notfälle vorzubereiten.

PDCA-Zyklus

ISO/IEC 27031 basiert auf dem Plan-Do-Check-Act-Ansatz. Unternehmen planen Maßnahmen, setzen diese um, überwachen deren Wirksamkeit und verbessern sie kontinuierlich.

Recovery Objectives

Ein zentraler Bestandteil ist die Definition von Wiederherstellungszielen, wie Recovery Time Objective (RTO) und Recovery Point Objective (RPO). Diese geben an, wie schnell Systeme wiederhergestellt werden müssen und wie viel Datenverlust akzeptabel ist.

Fokus auf aktuelle Technologien

Die 2025er Version legt besonderen Wert auf Cloud-Umgebungen, Virtualisierung und externe Dienstleister. Damit trägt sie den veränderten Infrastrukturen moderner Organisationen Rechnung.

Warum ISO/IEC 27031 für GRC so wichtig ist

Der Standard ist eng mit Governance, Risiko- und Compliance-Management verbunden.

  • Governance: Unternehmen müssen klare Verantwortlichkeiten für ICT-Readiness festlegen und eine Führungsebene etablieren, die Cyber-Resilienz aktiv steuert.
  • Risikomanagement: Die Integration von ICT-Risiken in das Enterprise Risk Management wird gestärkt. Risiken wie Cyberangriffe, Systemausfälle oder Lieferantenausfälle lassen sich präziser bewerten und steuern.
  • Compliance: ISO/IEC 27031 ergänzt bestehende Standards wie ISO/IEC 27001 und ISO 22301, sodass Organisationen ein konsistentes, revisionssicheres und prüfbares Managementsystem aufbauen können.

Praxisnutzen für Unternehmen

  • Schnelle und strukturierte Reaktion auf IT-Ausfälle
  • Bessere Resilienz gegenüber Cyberangriffen und Systemstörungen
  • Klare Schnittstellen zu Informationssicherheits- und Business-Continuity-Programmen
  • Höhere Transparenz und Nachweisbarkeit im Rahmen von Audits
  • Stärkung von Vertrauen bei Kunden, Investoren und Aufsichtsbehörden

Fazit

ISO/IEC 27031:2025 ist ein wichtiger Schritt, um Unternehmen widerstandsfähiger gegen IT-Risiken zu machen. Mit seiner klaren Struktur, der Verbindung zu bestehenden Managementsystemen und dem Fokus auf moderne Technologien bietet er Organisationen einen praxisnahen Rahmen, um ICT-Resilienz in ihre GRC-Strategien zu integrieren. Wer frühzeitig auf den neuen Standard setzt, verbessert nicht nur seine Reaktionsfähigkeit, sondern stärkt langfristig seine Wettbewerbsfähigkeit.

FAQ

Was ist der Unterschied zwischen ISO 27031 und ISO 22301?
ISO 22301 definiert den allgemeinen Rahmen für Business Continuity Management. ISO 27031 konkretisiert, wie ICT-Systeme darin eingebunden werden.

Ist ISO/IEC 27031 zertifizierbar?
Nein, der Standard ist ein Leitfaden. Er ergänzt Zertifizierungen wie ISO 27001 und ISO 22301, die für Audits und externe Nachweise genutzt werden können.

Welche Unternehmen sollten ISO 27031 umsetzen?
Alle Organisationen, die stark von IT und digitalen Prozessen abhängig sind. Besonders relevant ist er für Finanzdienstleister, Industrie, Energie, Gesundheitswesen und öffentliche Verwaltung.

Was ist ICT-Readiness?
ICT-Readiness bezeichnet die Fähigkeit von Informations- und Kommunikationstechnologien, im Krisenfall die Kontinuität des Geschäftsbetriebs sicherzustellen.

Welche Vorteile bringt die Anwendung?
Bessere Resilienz, klare Prozesse im Krisenfall, höhere Compliance-Sicherheit und Stärkung des Vertrauens bei Stakeholdern.

Share

Related posts

Unternehmenskultur als Fundament wirksamer Governance: Warum Regeln allein nicht reichen
08 Juli 2025 | 5 min

Unternehmenskultur als Fundament wirksamer Governance: Warum Regeln allein nicht reichen

 In vielen Organisationen ist Governance eng mit formalen Regelwerken, Kontrollen und Richtlinien verknüpft. Doch immer häufiger zeigt sich: Effektive Governance braucht mehr als Strukturen – sie braucht Haltung. Die gelebte Unternehmenskultur entscheidet, ob Richtlinien wirken, Risiken aktiv gesteuert und Werte tatsächlich gelebt werden. Dieser Artikel zeigt, warum Unternehmenskultur das Fundament guter Governance bildet – nicht<a href="https://zazoon.com/de/unternehmenskultur-als-fundament-wirksamer-governance-warum-regeln-allein-nicht-reichen/">Continue reading <span class="sr-only">"Unternehmenskultur als Fundament wirksamer Governance: Warum Regeln allein nicht reichen"</span></a>
Read more
Zusammensetzung des Unternehmensvorstands und seine Rolle
17 März 2022 | 5 min

Zusammensetzung des Unternehmensvorstands und seine Rolle

 Das Whitepaper betont die Bedeutung des Verwaltungsrats und seiner Zusammensetzung in der Unternehmensführung. Obwohl das Konzept der Unternehmensführung in den verschiedenen Rechtsräumen unterschiedlich ist, besteht Einigkeit darüber, dass der Verwaltungsrat eine entscheidende Rolle bei der Wertschöpfung für das Unternehmen spielt. Die Organisationsstruktur und der rechtliche Rahmen der Unternehmensführung unterscheiden sich von Land zu Land. In<a href="https://zazoon.com/de/zusammensetzung/">Continue reading <span class="sr-only">"Zusammensetzung des Unternehmensvorstands und seine Rolle"</span></a>
Read more
Third-Party- und Lieferkettenrisiken als GRC-Fokus: Wie Unternehmen Abhängigkeiten beherrschen
07 Oktober 2025 | 5 min

Third-Party- und Lieferkettenrisiken als GRC-Fokus: Wie Unternehmen Abhängigkeiten beherrschen

 Die globale Wirtschaft ist heute stärker vernetzt als je zuvor. Unternehmen sind auf ein weit verzweigtes Netz aus Lieferanten, Dienstleistern und Technologiepartnern angewiesen. Diese Abhängigkeiten schaffen Effizienz – aber sie bringen auch erhebliche Risiken mit sich. Cyberangriffe auf Zulieferer, Menschenrechtsverletzungen in der Lieferkette oder plötzliche Insolvenzen kritischer Dienstleister können unmittelbare Auswirkungen auf das eigene Unternehmen<a href="https://zazoon.com/de/third-party-und-lieferkettenrisiken-als-grc-fokus-wie-unternehmen-abhaengigkeiten-beherrschen/">Continue reading <span class="sr-only">"Third-Party- und Lieferkettenrisiken als GRC-Fokus: Wie Unternehmen Abhängigkeiten beherrschen"</span></a>
Read more