CompliantDesk

NIS2-Risikomanagementpflicht · Buchstabe c)

Aufrechterhaltung des Betriebs (BCM, Backup, Krise)

NIS2Art. 21 Abs. 2 Buchst. c) NIS2-Richtlinie (in Deutschland §30 BSIG)

NIS2 fordert die Aufrechterhaltung des Betriebs: Backup-Management, Wiederherstellung nach Vorfällen und ein Krisenmanagement. Ziel ist, dass Ihre kritischen Dienste auch nach einem Cyberangriff oder Ausfall in vertretbarer Zeit wieder laufen.

Warum diese Pflicht wichtig ist

Ransomware-Angriffe zielen gezielt auf Backups. Nur getestete Wiederherstellung und ein Notfallmanagement schützen vor tagelangem Stillstand und existenzbedrohenden Schäden.

So setzen Sie die Pflicht um

  1. 1Kritische Prozesse und Systeme samt Wiederanlaufzielen (RTO/RPO) bestimmen
  2. 2Backup-Konzept nach der 3-2-1-Regel umsetzen, inkl. Offline-/Immutable-Kopie
  3. 3Wiederherstellung regelmäßig testen, nicht nur sichern
  4. 4Notfall- und Krisenpläne erstellen und Verantwortliche benennen
  5. 5Übungen durchführen und Pläne aktuell halten

Diese Nachweise erwartet die Aufsicht

  • Backup- und Wiederanlaufkonzept mit RTO/RPO
  • Protokolle erfolgreicher Wiederherstellungstests
  • Notfallpläne und Übungsnachweise

Häufige Fehler

Restore nie getestet

Backups laufen, lassen sich im Ernstfall aber nicht zurückspielen.

Backup online erreichbar

Alle Sicherungen hängen im Netz und werden von Ransomware mitverschlüsselt.

Passende ISO-27001-Controls

Wer ISO 27001 umsetzt, erfüllt diese NIS2-Pflicht weitgehend mit. Diese Annex-A-Controls decken den Bereich ab:

A.5.30

IKT-Bereitschaft für Geschäftskontinuität

A.8.13

Sicherung von Informationen (Backup)

A.8.14

Redundanz von informationsverarbeitenden Einrichtungen

Häufig gestellte Fragen

Was bedeutet die 3-2-1-Regel?

Drei Datenkopien auf zwei verschiedenen Medien, davon eine ausgelagert oder offline. So überstehen Daten auch Ransomware und lokale Schäden.

Was sind RTO und RPO?

RTO ist die maximal tolerierbare Wiederanlaufzeit, RPO der maximal tolerierbare Datenverlust. Beide leiten sich aus den Geschäftsanforderungen ab.

Reicht ein Backup als Business Continuity?

Nein. Nötig sind zusätzlich getestete Wiederherstellung, Wiederanlaufpläne und ein Krisenmanagement.

Business Continuity & Backup mit CompliantDesk umsetzen

CompliantDesk deckt diesen Bereich mit folgenden Modulen ab: Notfallmanagement (BCM) · Maßnahmen · Nachweise. Starten Sie mit dem kostenlosen NIS2-Check.

NIS2-Check gratis Demo buchen

Verwandte NIS2-Pflichten

Buchstabe b)

Vorfallbewältigung & Meldepflicht

Buchstabe e)

Beschaffung, Entwicklung & Schwachstellen