Art. 21(2)(c) NIS 2 + CIR §4

NIS 2 Betriebskontinuität nach Artikel 21(2)(c)

NIS 2 verlangt, dass der Betrieb läuft und Sie sich nach einem Vorfall erholen. Artikel 21(2)(c) ist die Pflicht. CIR (EU) 2024/2690 §4 schreibt den Notfallplan, den Backup-Plan und das Krisenmanagement vor. Deutschland setzt das in §30(2)(3) BSIG um.

Simon OrzelSimon Orzel·

Die Kurzfassung

Betriebskontinuität steht unter Buchstabe (c) der zehn Maßnahmen in Artikel 21(2). Die Richtlinie bündelt drei Dinge in einem Satz: Betrieb aufrechterhalten, Backups und Wiederherstellung managen, Krisen führen. Wer unter NIS 2 fällt, muss alle drei machen.

CIR (EU) 2024/2690 §4 zerlegt dieselbe Pflicht in drei Abschnitte. §4.1 ist der Notfallplan selbst, mit einer Acht-Punkte-Inhaltsliste. §4.2 ist Backup und Redundanz, mit einem Sechs-Punkte-Plan plus Integritätstests. §4.3 ist das Krisenmanagementverfahren, inklusive Kommunikation mit der Behörde. Wer DNS, Cloud, Rechenzentrum, MSP, Vertrauensdienste oder einen anderen im CIR-Anhang genannten Sektor betreibt, ist direkt gebunden.

Deutschland setzt die gleiche Regel über §30(2)(3) BSIG um. Der Wortlaut folgt der Richtlinie. Diese Seite geht Richtlinie, EU-Folgeverordnung und deutsche Umsetzung in dieser Reihenfolge durch.

Die Rechtsquelle
Drei Ebenen. Die Richtlinie (für jeden EU-Mitgliedstaat bindend). Die Durchführungsverordnung (unmittelbar geltendes EU-Recht für die im Anhang genannten Sektoren). Die nationale Umsetzung (in Deutschland: BSIG).

Artikel 21(2)(c) NIS 2 Richtlinie (2022/2555)

Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement.

Buchstabe (c) der zehn Maßnahmen, die jede wesentliche und wichtige Einrichtung umsetzen muss. Eine Zeile, drei Pflichten gebündelt.

CIR (EU) 2024/2690, Anhang §4

Betriebskontinuitäts- und Krisenmanagement (Artikel 21 Absatz 2 Buchstabe c der Richtlinie (EU) 2022/2555).

Weil das eine Verordnung ist und keine Richtlinie, ist sie unmittelbar geltendes EU-Recht. CIR teilt §4 in drei Unterabschnitte: §4.1 Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs, §4.2 Backup-Sicherungs- und Redundanzmanagement, §4.3 Krisenmanagement. Gilt direkt für DNS-Anbieter, TLD-Registrierungsstellen, Cloud- und Rechenzentrums-Anbieter, MSP und die übrigen im Anhang genannten Sektoren.

§30(2)(3) BSIG (Deutschland)

Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement.

Deutschland übernimmt den Richtlinientext. Die BSI-Infopakete führen Betriebskontinuität als eine der zehn Maßnahmen aus Artikel 21(2), die jede wesentliche und wichtige Einrichtung abdecken muss.

Die drei Sachen, die CIR §4 wirklich verlangt
CIR 2024/2690 teilt Betriebskontinuität in drei Teile. Jeder ist ein eigener Unterabschnitt im Anhang. Sie brauchen alle drei.
§4.1

Notfallplan für Betrieb und Wiederherstellung

Ein schriftlicher Plan mit acht Punkten: Zweck und Geltungsbereich, Rollen und Verantwortlichkeiten, Kontaktliste, Aktivierungsbedingungen, Wiederherstellungsreihenfolge, Wiederherstellungsplan je kritischem Prozess, benötigte Ressourcen, Restart und Wiederaufnahme. Nicht drei Sätze in einem Word-Dokument. Ein echtes Dokument, dem Leute folgen können, wenn das Netz unten ist und die Telefone klingeln.

§4.2

Backup-Sicherungs- und Redundanzmanagement

Ein Sechs-Punkte-Backup-Plan: Zielwiederherstellungszeiten, Vollständigkeit der Backups, Lagerung außerhalb des Standorts, physische und logische Zugriffskontrollen, Wiederherstellungsverfahren, Aufbewahrungsfristen. Dazu regelmäßige Integritätstests, damit Sie vor dem Vorfall wissen, ob die Backups tatsächlich zurückspielen. Dazu Redundanz (N+1) für Anlagen, Personal und Kommunikationskanäle.

§4.3

Krisenmanagementverfahren

Ein schriftliches Verfahren mit benannten Rollen, einem Kommunikationskanal zur zuständigen Behörde, einem Weg, die Sicherheit während der Krise aufrechtzuerhalten, und der Liste der Pflichtmeldungen einschließlich der Vorfallmeldungen nach Artikel 23. Krisenmanagement ist nicht 'wir gehen in eine Telefonkonferenz'. Es ist, wer in der Konferenz ist, was er entscheidet und wen er informiert.

Zwei Regeln, die alles andere prägen
Zwei Dinge trennen einen Notfallplan, der im Audit besteht, von einem, der das nicht tut. Kein freundlicher Rat. Die Punkte, die Prüfer als erstes prüfen.

Backup ist Governance, nicht nur IT

Der §4.2-Backup-Plan ist prüffähige Dokumentation, kein Häkchen im Backup-Tool. Aufbewahrungsfristen werden gezeichnet. Der Lagerort außerhalb des Standorts wird dokumentiert. Wiederherstellungszeiten werden am Geschäft ausgerichtet, nicht an dem, was das Tool kann. Wenn Ihre Backup-Geschichte komplett im IT-Team lebt, fehlt die Governance-Ebene, die CIR verlangt.

Testen mit fester Frequenz, nicht 'wenn wir Zeit haben'

§4.1 erwartet, dass der Notfallplan regelmäßig getestet wird. §4.2 erwartet Backup-Integritätstests mit fester Frequenz. Ein ungetesteter Notfallplan ist Papier. Ein ungetestetes Backup ist eine Hoffnung. Einmal im Jahr Tabletop-Übung für den Notfallplan, häufiger für Restore-Tests. Test dokumentieren, Lücken dokumentieren, Behebung dokumentieren.

Wie nationale Behörden das wirklich umsetzen
Die EU setzt die Regel. Jedes Land setzt sie um. Der Inhalt ist gleich. Die lokalen Abläufe unterscheiden sich.
Deutschland

BSI / IT-Grundschutz DER.4

Die BSI-Infopakete führen Betriebskontinuität als eine der zehn Maßnahmen aus Artikel 21(2) (siehe §30(2)(3) BSIG) und verweisen auf den IT-Grundschutz-Baustein DER.4 'Notfallmanagement' als praktischen Weg. DER.4 deckt den vollen Zyklus ab: BIA, Notfallplan, Wiederanlaufpläne, Tests, Freigabe. Wer DER.4 sauber durchgeht, liegt deutlich über der CIR-§4-Untergrenze.

EU-weit

ENISA Technical Implementation Guidance

Die ENISA-TIG übersetzt CIR §4 in konkrete Schritte und mappt das auf ISO/IEC 27001:2022 (Bereich A.5.29, A.5.30, A.8.13, A.8.14) und NIST CSF 2.0 (Funktion Recover). Wer ISO 27001 oder NIST CSF bereits betreibt, sieht in der TIG, was wiederverwendbar ist und wo Lücken bleiben.

Andere Mitgliedstaaten

Nationale Umsetzungsgesetze

Jeder Mitgliedstaat hat sein eigenes Umsetzungsgesetz (Niederlande: Cyberbeveiligingswet, Österreich: NISG, Belgien: NIS2-Wet). Die Kontinuitätspflicht ist gleich, weil die Richtlinie einen EU-weiten Standard setzt. Unterschiedlich: welche Behörde Sie in der Krise informieren und über welchen Kanal.

Drei Fallen, die wir ständig sehen
Drei Annahmen, die in fast jedem BCP-Review auftauchen. Alle drei reißen Lücken, die ein Prüfer findet.

  • Wir haben Backups auf Band, alles gut.

    Backups allein reichen nicht. CIR §4.2 will den vollen Sechs-Punkte-Plan dokumentiert: Zielwiederherstellungszeiten, Vollständigkeit, Lagerung außerhalb des Standorts, Zugriffskontrollen, Wiederherstellungsverfahren, Aufbewahrungsfristen. Plus regelmäßige Integritätstests. Eine Bandrotation ohne den schriftlichen Plan ist die halbe Anforderung.

  • Notfallplanung ist eine IT-Sache.

    Ist sie nicht. §4.3 deckt das Krisenmanagement der Geschäftsleitung ausdrücklich mit ab: Kommunikationskanäle zur zuständigen Behörde, die Pflichtmeldungen nach Artikel 23, Entscheidungen, welche Dienste laufen und welche pausieren. Das ist Leitungsaufgabe, nicht IT-Aufgabe.

  • Wir improvisieren das in der Krise.

    Werden Sie nicht. §4.3 verlangt ein schriftliches Krisenverfahren mit benannten Rollen und vordefinierten Kommunikationskanälen. Sinn der Vorabdokumentation: Sie erfinden das nicht um drei Uhr morgens am Sonntag. Der Prüfer fragt nach dem Dokument. 'Wir haben gute Leute' ist nicht das Dokument.

Wie echte Mittelständler das wirklich machen

Was wir in der Praxis sehen: Die meisten Mittelständler haben Backups. Band, Cloud, zweiter Standort, irgendetwas. Was sie fast nie haben, ist der dokumentierte §4.2-Plan um diese Backups herum: Wiederherstellungszeiten am Geschäft ausgerichtet, Aufbewahrungsfristen gezeichnet, Lagerort außerhalb des Standorts benannt, Integritätstests im Kalender. Die Backups existieren. Die Governance nicht.

Zwei Schritte, die die Aufgabe erledigen: erstens, den §4.1-Notfallplan schreiben. Die Acht-Punkte-Liste aus dem CIR ist Ihr Inhaltsverzeichnis. Zweitens, einmal im Jahr testen. Eine Tabletop-Übung, in der die Leitung den Plan für ein echtes Szenario durchspielt, schlägt sechs Monate Dokumentpoliertur. Der Test produziert den Auditnachweis.

Wie wir das auf der Plattform abbilden

Wir haben CIR §4 als Modul in die Plattform gebaut. Das Notfallplan-Formular erfasst die acht Inhaltsfelder aus §4.1. Das Backup-Formular erfasst die sechs Punkte aus §4.2 plus den Testplan. Das Krisenverfahrens-Formular erfasst Rollen, Kanäle und die Artikel-23-Kommunikationswege aus §4.3. Die Freigabe liegt neben jedem Artefakt.

Die Testfrequenz liegt auch auf der Plattform. Sie planen den jährlichen Tabletop und die quartalsweisen Restore-Tests, die Plattform erinnert den Verantwortlichen, der Verantwortliche dokumentiert das Ergebnis, und der Audit-Trail zeigt, wann der Test lief und was passierte. Kein separater Kalender, kein separater Dokumentenspeicher.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), Artikel 21(2)(c) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Durchführungsverordnung (EU) 2024/2690 (CIR), Anhang §4 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • BSI-Gesetz (BSIG), §30(2)(3) in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes
  • BSI IT-Grundschutz Baustein DER.4 'Notfallmanagement' — bsi.bund.de/grundschutz
  • ENISA Technical Implementation Guidance zur CIR (EU) 2024/2690 (Stand Mai 2026)
Betriebskontinuität ohne Aktenordner voll Papier
Notfallplan, Backup-Plan, Krisenverfahren, Testplan und Freigabe auf einer Plattform. Kostenlos, Open Source, kein Lock-in.
Kostenlose Plattform öffnen