NIS2 Artikel 21(2)(c): Was Backup und Geschäftskontinuität wirklich verlangen

Eine Ransomware-Bande verschlüsselt am Freitagabend die Produktivumgebung eines Kunden. Am Montag will der Kunde zwei Dinge wissen: Wann sind wir wieder online, und können wir der Aufsichtsbehörde nachweisen, dass wir alles richtig gemacht haben? Wenn Ihr Geschäftskontinuitätsplan in einem SharePoint-Ordner liegt, den seit 2023 niemand geöffnet hat, kennen Sie die Antwort auf beide Fragen bereits.

Artikel 21(2)(c) von NIS2 ist die Maßnahme, von der die meisten Organisationen glauben, sie im Griff zu haben, und die Prüfer am häufigsten als unzureichend bewerten. "Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement" klingt nach einem Häkchen, das man mit einem bestehenden DR-Handbuch setzt. Das ist es nicht. Die Durchführungsverordnung (EU) 2024/2690 der Kommission hat diese eine Teilbestimmung in mehr als zwanzig spezifische, nachweispflichtige Anforderungen verwandelt — und ab dem Prüfzyklus im Juni 2026 ist diese Verordnung der Maßstab, zu dem Prüfer zuerst greifen.

Das müssen Ihre Kunden tatsächlich vorlegen, und hier liegen meist die Lücken.

Die Durchführungsverordnung ist der Maßstab, an dem Prüfer messen

NIS2 selbst ist bewusst vage. Es listet zehn Maßnahmen in Artikel 21(2) auf und überlässt die Details den Mitgliedstaaten und der Kommission. Für eine definierte Gruppe von Einrichtungen — DNS-Anbieter, TLD-Registries, Cloud- und Rechenzentrumsanbieter, Managed Service Provider und andere digitale Infrastruktur — hat die Kommission diese Details direkt mit CIR 2024/2690 ausgefüllt, die seit dem 18. Oktober 2024 gilt.

Für alle anderen ist die Verordnung rechtlich nicht bindend. Aber sie ist die konkreteste Auslegung von Artikel 21, die existiert, nationale Behörden richten ihre Prüf-Checklisten danach aus, und ENISA hat technische Umsetzungsleitlinien auf derselben Struktur veröffentlicht. Behandeln Sie sie als faktischen Maßstab. Erfüllt ein Kunde CIR 2024/2690 im Bereich Geschäftskontinuität, wird kein Prüfer in der EU behaupten, er habe Artikel 21(2)(c) verfehlt.

Die Verordnung zerlegt die Maßnahme in drei Dinge, die unabhängig voneinander vorhanden sein müssen: einen Plan für Geschäftskontinuität und Notfallwiederherstellung, Backup-Management und Krisenmanagement. Die meisten Organisationen haben eines von dreien und gehen davon aus, dass es die anderen abdeckt. Das tut es nicht.

Artikel 21 — 10 NIS2 Cybersicherheitsmaßnahmen
🛡️
Artikel 21
10 Cybersicherheitsmaßnahmen
📊
Governance & Strategie
1Risikoanalyse & Informationssicherheitsrichtlinien
6Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
🚨
Vorfälle & Kontinuität
2Vorfallsbehandlung & Meldung
3Geschäftskontinuität & Notfallwiederherstellung
🔗
Lieferkette & Systeme
4Sicherheit der Lieferkette
5Sicherheit bei der Entwicklung von Netz- und Informationssystemen
🔐
Technische Kontrollen
8Kryptografie & Verschlüsselung
10Multi-Faktor-Authentifizierung & sichere Kommunikation
👥
Personal & Ressourcen
7Cyber-Hygiene & Schulung
9Personalsicherheit & Zugangskontrolle

Ein Kontinuitätsplan ohne Business-Impact-Analyse ist geraten

Die erste Anforderung ist ein dokumentierter BC- und DR-Plan — aber der Plan muss aus einer Business-Impact-Analyse (BIA) abgeleitet sein, nicht aus dem Bauchgefühl des IT-Teams, was wichtig ist.

In der BIA identifizieren Sie die kritischen Dienste und die dahinterstehenden Systeme und weisen jedem eine maximal tolerierbare Ausfallzeit zu. Daraus legen Sie ein Recovery Time Objective (wie schnell Sie wiederherstellen) und ein Recovery Point Objective (wie viele Daten Sie verlieren dürfen) fest. Diese beiden Werte steuern jede nachgelagerte Entscheidung: wie oft Sie sichern, wo Sie Backups speichern, wie Sie Failover gestalten.

Hier liegt die Lücke, die Prüfer ständig finden. Der Kunde hat RTO- und RPO-Werte notiert — vier Stunden, fünfzehn Minuten, was auch immer — aber der Backup-Zeitplan und das DR-Design liefern sie nicht. Ein RPO von fünfzehn Minuten mit nächtlichen Backups ist kein Ziel, sondern Fiktion. Die Verordnung erwartet, dass Ziele und Architektur übereinstimmen, und erwartet, dass Sie diese Übereinstimmung mit einem Testergebnis nachweisen, nicht mit einer Behauptung.

Für Berater ist die BIA zudem die hebelstärkste Arbeit, die Sie verkaufen können. Sie ist framework-unabhängig, sie speist ISO 27001 und DORA gleichzeitig, und fast kein KMU-Kunde hat eine ordentlich durchgeführt.

Backups müssen isoliert, unveränderbar und nachweislich wiederherstellbar sein

Backup-Management unter CIR 2024/2690 ist der Punkt, an dem die Realität von Ransomware auf Compliance trifft. Drei Dinge sind nicht verhandelbar.

Backups müssen von der Produktion getrennt sein. Ein Backup auf derselben Domäne, erreichbar mit denselben Anmeldedaten, wird mit allem anderen verschlüsselt. Die Verordnung erwartet eine logische und idealerweise physische Trennung.

Backups müssen vor Veränderung geschützt sein — Unveränderbarkeit oder gleichwertige Kontrollen, sodass ein Angreifer mit Admin-Rechten keine Wiederherstellungspunkte löschen oder überschreiben kann. Dies ist die größte Architekturänderung, die die meisten Kunden noch vornehmen müssen.

Und Backups müssen getestet werden, indem man sie tatsächlich wiederherstellt. Ein Backup-Job, der jede Nacht "erfolgreich" meldet, sagt Ihnen, dass der Schreibvorgang funktioniert hat. Er sagt nichts darüber aus, ob die Daten innerhalb Ihres RTO in ein funktionierendes System zurückgespielt werden. Anhang 4.3 der Verordnung verlangt ausdrücklich Wiederherstellungstests mit dokumentierten Ergebnissen und Korrekturmaßnahmen.

Der CTA schreibt sich für jeden MSP von selbst: Die Backup-Lage Ihrer Kunden ist der am schnellsten zu bewertende Teil von NIS2 und der am einfachsten nachweislich zu verbessernde. Unser kostenloser NIS2-Quick-Scan liefert Ihnen eine belastbare Ausgangsbasis für genau dieses Gespräch.

Krisenmanagement ist ein benanntes Team und eine eingeübte Entscheidungskette, keine Telefonliste

Die dritte Säule ist die, die Organisationen vergessen, bis sie sie brauchen. Krisenmanagement unter NIS2 bedeutet eine definierte Führungsstruktur mit klaren Rollen, Entscheidungsbefugnis und Kommunikationsverfahren, die unter Druck funktionieren.

In der Praxis heißt das: ein benanntes Krisenteam, dokumentierte Eskalationsschwellen, vorab erstellte Kommunikationsvorlagen (auch für Behörden und Kunden) und Klarheit darüber, wer was autorisieren kann, wenn Systeme ausfallen und die üblichen Entscheider nicht erreichbar sind. Die Verordnung behandelt Krisenkommunikationsvorlagen als spezifischen Nachweispunkt — Prüfer werden danach fragen.

Dies hängt direkt mit der Meldeuhr von NIS2 zusammen. Der Krisenplan bringt die richtigen Leute schnell genug zusammen, um die Fristen von 24 Stunden (Frühwarnung) und 72 Stunden (Meldung) nach Artikel 23 einzuhalten. Ein Backup, das innerhalb von vier Stunden wiederherstellt, ist wertlos, wenn niemand in den ersten drei Tagen beschlossen hat, einen Vorfall zu melden.

NIS2 Zeitplan für die Vorfallmeldung
24h
⚡
Frühwarnung
Melden Sie den erheblichen Vorfall innerhalb von 24 Stunden nach Bekanntwerden bei der zuständigen Behörde (CSIRT/NCA).
Schritt 1
72h
📋
Vorfallmeldung
Übermitteln Sie innerhalb von 72 Stunden eine detaillierte Meldung mit einer ersten Bewertung von Schwere, Auswirkungen und Kompromittierungsindikatoren.
Schritt 2
1mo
📊
Abschlussbericht
Liefern Sie innerhalb eines Monats einen umfassenden Abschlussbericht mit Ursachenanalyse, ergriffenen Maßnahmen und grenzüberschreitenden Auswirkungen.
Schritt 3
24h
⚡
Frühwarnung
Melden Sie den erheblichen Vorfall innerhalb von 24 Stunden nach Bekanntwerden bei der zuständigen Behörde (CSIRT/NCA).
72h
📋
Vorfallmeldung
Übermitteln Sie innerhalb von 72 Stunden eine detaillierte Meldung mit einer ersten Bewertung von Schwere, Auswirkungen und Kompromittierungsindikatoren.
1mo
📊
Abschlussbericht
Liefern Sie innerhalb eines Monats einen umfassenden Abschlussbericht mit Ursachenanalyse, ergriffenen Maßnahmen und grenzüberschreitenden Auswirkungen.

Was "Nachweis" in einer Prüfung 2026 bedeutet

Die Verschiebung, die Organisationen in diesem Prüfzyklus überrascht, ist nachweistechnischer Natur. Prüfer geben sich nicht mehr damit zufrieden, dass ein Plan existiert. Sie wollen sehen, dass er getestet wurde, dass der Test Probleme fand und dass die Probleme behoben wurden.

Für jeden Wiederherstellungstest erwartet die Verordnung eine dokumentierte Ausgabe: das Datum und wer teilnahm, das verwendete Szenario, gefundene Probleme mit Schweregraden, Korrekturmaßnahmen mit benannten Verantwortlichen und Fristen, Ergebnisse gemessen an Ihrem festgelegten RTO und RPO sowie eine Freigabe durch das Management. Ein Plan ohne Testprotokoll wird als ein Plan behandelt, der nicht funktioniert.

Bauen Sie den Nachweispfad fortlaufend auf, nicht in der Woche vor der Prüfung. Die Organisationen, die im Juni 2026 in Schwierigkeiten geraten, sind diejenigen, die Dokumentation als Nachgedanken behandeln statt als Nebenprodukt der tatsächlichen Prozessdurchführung.

NIS2-Sanktionseskalation — Jenseits der Geldbuße
!
Auslöser
Non-Compliance erkannt oder Vorfall tritt ein
Eine Aufsichtsbehörde identifiziert eine Compliance-Lücke oder eine Organisation erfüllt die NIS2-Anforderungen nicht
Behörden können verhängen
▼
Nicht-finanzielle Sanktionen
1
Anordnungen mit bindenden Fristen
2
Verpflichtende Sicherheitsaudits auf eigene Kosten
3
Öffentliche Bekanntmachung von Verstößen
4
Bindende Anweisungen zu spezifischen Sicherheitsmaßnahmen
Eskaliert zu
▼
Betriebliche und persönliche Konsequenzen
1
Aussetzung von Zertifizierungen oder Betriebsgenehmigungen
2
Vorübergehendes Verbot von Leitungsfunktionen für Personen
3
Öffentliche Benennung verantwortlicher natürlicher Personen
Auslöser
Nicht-finanziell
Betrieblich / persönlich

Das Bußgeldrisiko spricht für sich. Wesentliche Einrichtungen riskieren Geldbußen von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes, und ein Kontinuitätsversagen, das einen wiederherstellbaren Vorfall in einen langen Ausfall verwandelt, ist genau die Art von Fahrlässigkeit, die Behörden zu verfolgen signalisieren. Aber das stärkere Argument gegenüber Kunden ist operativ, nicht regulatorisch: Eine Organisation, die nachweisen kann, dass sie kritische Dienste innerhalb eines definierten Zeitfensters wiederherstellt, ist schlicht ein besser geführtes Unternehmen.

Wo Sie dieses Quartal mit einem Kunden beginnen

Führen Sie zuerst die Business-Impact-Analyse durch — ohne sie ist jede andere Entscheidung geraten. Prüfen Sie dann drei Dinge in dieser Reihenfolge: Sind Backups isoliert und unveränderbar, hat in den letzten zwölf Monaten ein echter Wiederherstellungstest stattgefunden, und gibt es ein benanntes Krisenteam mit sendebereiten Vorlagen. Diese drei Prüfungen trennen die Kunden, die wirklich bereit sind, von denen, die ein Dokument haben.

Für eine schnelle Einschätzung, wo eine Organisation über alle zehn Artikel-21-Maßnahmen steht, verwandelt der NIS2-Quick-Scan ein vages "Sind wir compliant?" in eine konkrete Lückenliste, mit der Sie arbeiten können.

Artikel 21(2)(c) belohnt die unspektakuläre Arbeit: getestete Backups, festgehaltene Entscheidungen, eingeübte Reaktionen. Das ist auch die Arbeit, die dafür sorgt, dass ein Ransomware-Angriff am Freitagabend ein schlechtes Wochenende ist statt eines geschäftszerstörenden Ereignisses.