Blog

NIS2 Artikel 21.2 c:

Kontinuität ist der Notgenerator, den Sie testen müssen.

Ich habe eine besondere Beziehung zu Notgeneratoren. Nicht, weil sie charmant sind, sondern weil sie verlässlich sind. Sie machen im Alltag keine Umstände. Sie stehen still da. Aber wenn der Strom ausfällt, wollen Sie nicht erst feststellen, dass sie nur auf der Bestellung existieren. Sie wollen sicher sein, dass sie starten. Dass der Treibstoff reicht. Dass jemand sie bedienen kann.

Für mich ist Artikel 21.2 c in NIS2 genau das: Ein Notgenerator für den Betrieb. Es geht um Betriebskontinuität, Datensicherung, Katastrophenwiederherstellung und Krisenmanagement. Also darum, dass wichtige Dienste weiterlaufen oder schnell wiederhergestellt werden, wenn es ernst wird.
Robert Willborg

Mitgründer und Chief Security Officer bei OneMore Secure.

Was bedeutet NIS2 eigentlich?

Artikel 21.1 legt den Rahmen fest. Die Maßnahmen müssen angemessen und verhältnismäßig sein. Sie sollen Risiken in Netzwerken und Informationssystemen bewältigen und die Auswirkungen von Vorfällen minimieren. Innerhalb dieses Rahmens listet Artikel 21.2 zehn Bereiche auf. Punkt c behandelt die Geschäftskontinuität, die ausdrücklich Datensicherung, Katastrophenmanagement und Krisenmanagement umfasst (Europäische Union, 2022).

Deutsche Umsetzung: Das Cybersicherheitsgesetz

In Deutschland trat das Cybersicherheitsgesetz (2025:1506) sowie die Cybersicherheitsverordnung (2025:1507) am 15. Januar 2026 in Kraft. Das bedeutet, dass NIS2 keine Zukunftsdebatte mehr ist, sondern ein tatsächlicher Anforderungspfad in Aufsicht und Kontrolle (Deutscher Bundestag, 2025a; Deutscher Bundestag, 2025b; Bundesregierung, 2026).

Ein wichtiger Punkt: NIS2 fokussiert Cyber, aber Kontinuität ist branchenübergreifend

Hier möchte ich klarstellen: NIS2 ist eine Cyber-Sicherheitsrichtlinie. Es ist kein umfassendes Notfallregelwerk wie CER. Aber Cybervorfälle führen häufig zu Ausfällen, die sich wie jede andere Krise verhalten. Deshalb ist Kontinuität in der Praxis bereichsübergreifend. Fällt ein kritischer Dienst aus, spielt es keine Rolle, ob die Ursache eine Schwachstelle, ein fehlerhaftes Update oder ein ausgefallener Lieferant war. Der Dienst muss wiederhergestellt werden.

Was Artikel 21.2 c in der Praxis bedeutet

Ich verstehe 21.2 c als Erwartung an nachweisbare Wiederherstellung. Nicht Perfektion, sondern einen klaren, umsetzbaren und getesteten Plan. Es geht um vier miteinander verbundene Bereiche, ohne eine eigene Papierflut zu erzeugen.

Zuerst die Betriebskontinuität. Das ist die Methode, mit der Sie bestimmen, welche Dienste weiterlaufen müssen, wie lange ein Ausfall tolerierbar ist und welche manuellen Verfahren in der Zwischenzeit gelten. Dieser Teil zeigt oft, ob die Geschäftsleitung ihr Unternehmen wirklich kennt.

Dann die Datensicherung. Backup ist keine Datei auf einer Festplatte, sondern ein Versprechen zur Wiederherstellung. Dieses Versprechen muss regelmäßig getestet werden. Und Sie müssen wissen, was dazugehört: kritische Daten, kritische Systeme und Abhängigkeiten.

Der dritte Bereich ist die Katastrophenwiederherstellung. Das beschreibt, wie Sie Dienste wiederherstellen, wenn etwas Größeres passiert – von einer Ransomware-Attacke bis zu einem größeren Ausfall. Das erfordert klare Prioritäten, Zugriffsrechte und einen Plan, der auch unter Stress funktioniert.

Der vierte Bereich ist das Krisenmanagement. Dieser Teil wird oft missverstanden. Krisenmanagement ist keine Pressemitteilung, sondern Entscheidungswege, Kontaktpunkte und geübte Kommunikation. Hier trifft NIS2 auf die Realität: Menschen müssen wissen, wer wann was wem sagt.

Die häufigste Falle: Ein zu komplexer Plan

Ich sehe oft Kontinuitätspläne, die zu kompliziert sind. Sie beeindrucken auf dem Papier, scheitern aber im Ernstfall. Eine Faustregel: Wenn der Plan verlangt, dass drei Personen gleichzeitig am selben Ort mit perfektem Gedächtnis zusammenkommen, ist er unrealistisch. Im Vorfall sind Menschen müde, jemand fehlt und der Lieferant antwortet erst "nach dem Mittag". Daher muss der Plan einfach sein – er muss auch einen schlechten Tag aushalten.

Wie 21.2 c mit dem Rest von Artikel 21 zusammenhängt

Kontinuität hängt mit allem zusammen. Risikoanalysen und Richtlinien (21.2 a) bestimmen, was Sie priorisieren. Das Vorfallmanagement (21.2 b) steuert, wie schnell Sie auf Kurs kommen. Die Lieferkette (21.2 d) entscheidet, ob Sie rechtzeitig Einblick und Unterstützung erhalten. Schwachstellenmanagement und sichere Entwicklung (21.2 e) beeinflussen, wie oft Sie in Wiederherstellungsmodus geraten. Und Effizienzkontrollen (21.2 f) zeigen, ob all das funktioniert (Europäische Union, 2022; ENISA, 2025).

Drei einfache, aber harte Empfehlungen

Ich bleibe bei drei Punkten. Sie sind einfach zu sagen, erfordern aber Disziplin und entsprechen genau Artikel 21.2 c.

· Wiederherstellung zeitlich testen.

· Dienste priorisieren, nicht Systeme.

· Krisenmanagement als Alltag üben.

Wiederherstellung zeitlich testen bedeutet, zu messen, wie lange es tatsächlich dauert, die wichtigsten Dienste wiederherzustellen – nicht nur zu hoffen. Dienste priorisieren, nicht Systeme heißt, sich an dem zu orientieren, was das Unternehmen liefert. Das ist entscheidend. Krisenmanagement als Alltag üben heißt, regelmäßig kleine Übungen durchzuführen. Das baut Muskelgedächtnis auf – und Muskelgedächtnis rettet Organisationen, wenn es schnell gehen muss.

Fazit

Artikel 21.2 c verlangt nicht, dass es nie Probleme gibt, sondern dass Sie zurückkommen können. Kontinuität ist der Notgenerator. Er bringt keine Glamour, aber Betriebssicherheit. Und in einer digitalen Welt bedeutet Betrieb oft Vertrauen.

Quellen

ENISA. (2025). Technische Umsetzungsempfehlungen für Maßnahmen zum Management von Cyberrisiken (Version 1.0). Europäische Agentur für Cybersicherheit.

Europäische Union. (2022). Richtlinie (EU) 2022/2555 (NIS2). Amtsblatt der Europäischen Union, L 333.

Bundesregierung. (2026). Cybersicherheit: Das neue Cybersicherheitsgesetz und die Cybersicherheitsverordnung traten am 15. Januar 2026 in Kraft.

Deutscher Bundestag. (2025a). Cybersicherheitsgesetz (2025:1506). Bundesgesetzblatt.

Deutscher Bundestag. (2025b). Cybersicherheitsverordnung (2025:1507). Bundesgesetzblatt.

NIS2 Artikel 20:

Wenn der Kapitän die Brücke nicht verlassen darf.

Zum Artikel

NIS2 Artikel 21.2 a:

Wenn Risikoanalyse Brandschutz wird, nicht nur ein Ordner.

Zum Artikel

NIS2 Artikel 21.2 b:

Vorfallmanagement, das auch bei Sturm funktioniert.

Zum Artikel

NIS2 Artikel 21.2 c:

Kontinuität ist der Notgenerator, den Sie testen müssen.

Zum Artikel

NIS2 Artikel 21.2 d:

Die Lieferkette ist eine Kühlkette, keine Einkaufsliste.

Zum Artikel

NIS2 Artikel 21.2 e:

Sicherheit bei Einkauf und Entwicklung: Das Schloss bauen, bevor man einzieht.

Zum Artikel

NIS2 Artikel 21.2 f:

Der Testknopf am Rauchmelder: Wenn Sicherheit bewiesen und nicht nur angenommen werden muss.

Zum Artikel

NIS2 Artikel 21.2 g:

Grundlegende Cyberhygiene: Küchenhygiene, damit Gäste bedenkenlos essen können.

Zum Artikel

NIS2 Artikel 21.2 h:

Der Schlüsselkasten: Wenn Kryptografie Routine und keine Magie ist.

Zum Artikel

NIS2 Artikel 21.2 i:

Der Schlüsselkarte: Personal, Zugänge und Vermögenswerte.

Zum Artikel

NIS2 Artikel 21.2 j:

Die Haustür: Starke Authentifizierung ohne Passwortstress.

Zum Artikel

NIS2 Artikel 23:

Wenn die Alarmkette funktionieren muss, nicht nur an der Wand.

Zum Artikel
Zurück zur Blogseite