NIS 2 Backup-Strategie nach Artikel 21(2)(c)
NIS 2 verlangt, dass der Betrieb durch einen Vorfall und danach weiterläuft. Artikel 21(2)(c) nennt Backup-Management, Wiederherstellung nach einem Notfall und Krisenmanagement. CIR (EU) 2024/2690 §4.2 macht daraus einen dokumentierten Backup-Plan, regelmäßige Wiederherstellungstests und Redundanz.
Die Kurzfassung
Backup im Sinne von NIS 2 ist nicht die Frage, ob es nächtliche Sicherungen gibt. Jeder Mittelstands-IT-Betrieb hat Tape- oder Snapshot-Jobs. Die Richtlinie und die CIR fragen etwas anderes: gibt es einen dokumentierten Plan mit Wiederherstellungszeiten, externer Speicherung, Zugriffskontrollen, Aufbewahrungsfristen und einer getesteten Fähigkeit, die Systeme tatsächlich zurückzuholen.
CIR §4.2 hat sechs Bausteine. Ein Backup-Plan mit sechs benannten Punkten. Regelmäßige Integritätstests. Redundanz von Netzwerk, Werten, Personal und Kommunikationskanälen. Ressourcenüberwachung. Und regelmäßige Wiederherstellungstests mit dokumentierten Ergebnissen. Alle sechs stehen im selben Anhangabschnitt. Keiner davon ist optional.
Deutschland überführt dieselbe Pflicht in nationales Recht über §30 Absatz 2 Nummer 3 BSIG. Der Wortlaut übernimmt Artikel 21(2)(c) fast unverändert. Diese Seite geht die Richtlinie, die EU-Folgeverordnung und die deutsche Umsetzung in dieser Reihenfolge durch.
Artikel 21(2)(c) NIS 2 Richtlinie (2022/2555)
Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement.
Das ist Buchstabe (c) der zehn Cybersicherheitsmaßnahmen, die jede wesentliche und wichtige Einrichtung umsetzen muss. Backup-Management steht direkt im Richtlinientext, nicht erst in einer Durchführungsverordnung.
CIR (EU) 2024/2690, Anhang §4.2
Backup-Sicherungs- und Redundanzmanagement. Für die Zwecke des Artikels 21(2)(c) der Richtlinie (EU) 2022/2555 erstellen die relevanten Einrichtungen Backups und stellen ausreichende Ressourcen bereit, einschließlich Standorten, Netz- und Informationssystemen sowie Personal, um ein angemessenes Maß an Redundanz zu gewährleisten.
Weil es eine Verordnung ist (keine Richtlinie), gilt sie unmittelbar als EU-Recht. Keine nationale Umsetzung notwendig. §4.2 hat sechs nummerierte Unterabschnitte zu Backup-Plan, Integritätstests, Redundanz, Ressourcenüberwachung und Wiederherstellungstests. Sie bindet DNS-Anbieter, Cloud-Anbieter, Rechenzentren, MSPs, Vertrauensdienste und die übrigen im CIR-Anhang genannten Sektoren.
§30 Absatz 2 Nummer 3 BSIG (Deutschland)
Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement.
Deutschland übernimmt den EU-Text wörtlich. Als praktischen Umsetzungsweg verweist die deutsche Aufsicht auf die IT-Grundschutz-Bausteine CON.3 (Datensicherungskonzept) und DER.2.3 (Notfallwiederherstellung der IT).
Den Sechs-Punkte-Backup-Plan schreiben
Auf Grundlage der Risikoanalyse und des BCP schriftlich festhalten: (a) Wiederherstellungszeiten, (b) wie sichergestellt wird, dass Backups vollständig und korrekt sind, einschließlich Konfigurationsdaten und Cloud-gespeicherter Daten, (c) wo Backups liegen (online oder offline), an einem oder mehreren sicheren Standorten, nicht im selben Netz wie das Primärsystem, ausreichend weit entfernt, sodass ein Vorfall am Primärstandort sie nicht miterfasst, (d) physische und logische Zugriffskontrollen passend zur Klassifikation des Wertes, (e) wie die Wiederherstellung aus dem Backup tatsächlich abläuft, (f) Aufbewahrungsfristen nach geschäftlichen und regulatorischen Anforderungen.
Integrität und Wiederherstellung in einem Rhythmus testen
§4.2.3 fordert regelmäßige Integritätstests der Backups selbst. §4.2.6 geht weiter: regelmäßige Tests des tatsächlichen Wiederherstellungsprozesses. Geprüft wird, ob die Wiederherstellung zuverlässig funktioniert, ob alle Kopien und Verfahren tragen und ob die Personen, die im Ernstfall wiederherstellen, das Wissen dafür noch haben. Ergebnisse dokumentieren. Korrekturmaßnahmen ergreifen, wenn ein Test fehlschlägt.
Redundanz über vier Ressourcen aufbauen
Auf Grundlage der Risikoanalyse und des BCP mindestens teilweise Redundanz sicherstellen für: (a) Netz- und Informationssysteme, (b) Werte einschließlich Standorten, Ausrüstung und Verbrauchsmaterialien, (c) Personal mit erforderlicher Verantwortung, Befugnis und Kompetenz, (d) Kommunikationskanäle. Backup betrifft Daten. Redundanz betrifft alles andere, was für den weiteren Betrieb gebraucht wird.
Backup und Redundanz gehören zusammen
CIR §4.2 nennt beides im Abschnittstitel: 'Backup-Sicherungs- und Redundanzmanagement'. Backups schützen Daten, damit aus einer bekannten Kopie wiederhergestellt werden kann. Redundanz schützt den Betrieb, damit er gar nicht erst stillsteht. Beides gehört in den Plan. Wer Backups hat, aber keine Redundanz, holt zwar die Daten zurück und kann trotzdem nicht arbeiten.
Getestet, nicht nur erstellt
§4.2.6 verlangt ausdrücklich regelmäßige Wiederherstellungstests, nicht nur regelmäßige Backups. Ein Backup, aus dem nie wiederhergestellt wurde, ist keine Wiederherstellungsfähigkeit, sondern eine Hoffnung. Die Prüfstelle wird fragen, wann zuletzt ein vollständiger Restore lief, wer ihn ausgeführt hat, was schiefging und was danach korrigiert wurde. Lautet die Antwort 'beim Setup vor drei Jahren', liegt eine Feststellung vor.
BSI / IT-Grundschutz CON.3 + DER.2.3
Der IT-Grundschutz des BSI hat zwei Bausteine, die unmittelbar auf CIR §4.2 abbilden. CON.3 'Datensicherungskonzept' deckt das Backup-Konzept ab (was wird gesichert, wie oft, wo liegen die Kopien, wie lange). DER.2.3 'Notfallwiederherstellung der IT' deckt die Wiederherstellungsseite ab (Verfahren, Rollen, Restore-Tests). Zusammen ergeben sie das §4.2-Nachweispaket in einer Sprache, die deutsche Prüfstellen jeden Tag lesen.
ENISA Technical Implementation Guidance
Die TIG der ENISA nimmt den abstrakten §4.2-Text und zeigt für jeden Unterabschnitt, wie er praktisch umgesetzt wird. Sie bildet die Anforderung auf ISO/IEC 27001:2022 Annex A.8.13 (Datensicherung) und A.8.14 (Redundanz der Informationsverarbeitung) ab. Wer bereits nach ISO 27001 arbeitet, hat einen Vorlauf bei den §4.2-Nachweisen.
Nationale Umsetzungsgesetze
Jeder Mitgliedstaat überführt Artikel 21(2)(c) in eigenes Recht (Niederlande: Cyberbeveiligingswet, Österreich: NISG, Belgien: NIS2-Wet). Die Pflichten sind gleich, weil die Richtlinie einen EU-weiten Standard setzt. Unterschiedlich ist nur, welche nationale Behörde zuständig ist und wie sie ihre Prüfungen führt.
Wir machen nächtliche Backups, damit sind wir abgedeckt.
Nächtliche Backups sind notwendig, nicht hinreichend. §4.2.2(c) verlangt eine externe Speicherung, nicht im selben Netz wie das Primärsystem und weit genug entfernt, dass ein einzelner Vorfall nicht beide miterfasst. §4.2.2(f) verlangt dokumentierte Aufbewahrungsfristen, nicht 'wir behalten sie, bis die Platte voll ist'. §4.2.6 verlangt einen regelmäßigen Wiederherstellungstest-Rhythmus mit dokumentierten Ergebnissen. Die Prüfstelle fragt alle drei Punkte ab. 'Wir haben Backups' beantwortet nur einen davon.
Wir haben die Wiederherstellung einmal beim Aufbau getestet.
§4.2.6 fordert regelmäßige Tests, keinen Einmaltest. Ein Test von vor drei Jahren belegt nicht, dass das heutige Backup-Format, das heutige Restore-Verfahren und die heutigen Personen immer noch zusammenpassen. Einen Rhythmus festlegen (quartalsweise oder halbjährlich für kritische Systeme, jährlich für die übrigen), in den Plan schreiben, durchführen, jeden Test dokumentieren.
Wir sichern die Daten; die Konfigurationen bauen wir notfalls neu auf.
Nein. §4.2.2(b) fordert ausdrücklich, dass das Backup vollständig und korrekt ist, 'einschließlich Konfigurationsdaten und in Cloud-Computing-Umgebungen gespeicherter Daten'. Eine Datenbank ohne Anwendungskonfiguration, Firewall-Regeln und Identity-Provider-Einstellungen ist kein wiederherstellbares System, sondern ein Datenhaufen ohne Zugang. Der Plan muss Konfigurationen und Cloud-gespeicherte Daten erfassen, nicht nur die Produktionstabellen.
Was wir in der Praxis sehen: die meisten Mittelständler haben Backups. Die meisten haben nächtliche Jobs auf ein NAS oder in einen Cloud-Bucket. Was meist fehlt, ist der dokumentierte §4.2.2-Plan mit Wiederherstellungszeiten je System, dem benannten externen Speicherort, schriftlich festgelegten physischen und logischen Zugriffskontrollen, Aufbewahrungsfristen je System und Aufsicht sowie dem Wiederherstellungstest-Plan. Der Backup-Job läuft; der Plan drumherum fehlt.
Die Korrektur ist überschaubar. Den §4.2.2-Sechs-Punkte-Plan einmal schreiben, freigeben, und einen Wiederherstellungstest in den Kalender setzen (quartalsweise für kritische Systeme, halbjährlich oder jährlich für die übrigen). Nach dem ersten Testdurchlauf liegt das Nachweispaket vor, das die Verordnung verlangt. Schwierig ist nicht die Technik. Schwierig ist, den Plan auf Papier und den Test im Kalender zu haben.
Das BCP-Modul erfasst den §4.2.2-Sechs-Punkte-Backup-Plan, den Wiederherstellungstest-Plan, das Redundanzregister für Netz, Werte, Personal und Kommunikationskanäle sowie die Testergebnisse mit Freigabe. Ein Modul deckt §4.2.2 bis §4.2.6 ab.
Tests laufen als geplante Aufgaben, nicht als Freitext-Erinnerungen. Bei jedem Wiederherstellungstest werden Ergebnis, Lücken und Korrekturmaßnahmen am selben Datensatz erfasst. Die Frage 'Wann wurde zuletzt getestet, was ist fehlgeschlagen, was wurde behoben' beantwortet das Audit-Trail in einem Klick. Kein separates Test-Logbuch.
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 21(2)(c) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Durchführungsverordnung (EU) 2024/2690 (CIR), Anhang §4.2 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSI-Gesetz (BSIG), §30 Absatz 2 Nummer 3 in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes
- BSI IT-Grundschutz Baustein CON.3 'Datensicherungskonzept' — bsi.bund.de/grundschutz
- BSI IT-Grundschutz Baustein DER.2.3 'Notfallwiederherstellung der IT' — bsi.bund.de/grundschutz
- ENISA Technical Implementation Guidance zu Durchführungsverordnung (EU) 2024/2690 (Stand Mai 2026)