NIS2 in der Praxis – Teil 4: NIS2 Business Continuity &; Krisenmanagement – Was passiert, wenn es brennt?

NIS2 Business Continuity beantwortet die Kernfrage: Was passiert, wenn es wirklich „brennt“ und zentrale Systeme ausfallen? Nach Security-Policy (Teil 1), Risikomanagementrichtlinie (Teil 2) und Incident Management (Teil 3) geht es in diesem Teil darum, wie Ihr Unternehmen unter NIS2 handlungsfähig bleibt und wie Notfallplanung, Backups und Krisenmanagement zusammenspielen.

Die NIS2-Umsetzungsverordnung (NIS2UmsVO) widmet diesem Themenblock ein eigenes Kapitel: „4. Betriebskontinuitäts- und Krisenmanagement“ mit den Unterpunkten:

• 4.1 Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs,
• 4.2 Backup-Sicherungs- und Redundanzmanagement,
• 4.3 Krisenmanagement.

Auf nis2-umsetzung.com sind diese Anforderungen bereits ausführlich aufbereitet – inklusive vereinfachter Erklärungen, Fragenkatalogen und Praxis-Hilfen:

👉 Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs

👉 Backup-Sicherungs- und Redundanzmanagement

👉 Krisenmanagement

Der ENISA Technical Implementation Guidance zur NIS2-Richtlinie unterstreicht dieselbe Stoßrichtung: Kontinuitätsplanung, Backup-Strategien und Krisenorganisation sind zentrale Bausteine eines wirksamen NIS2-Risikomanagements – und damit von NIS2 Business Continuity.

In diesem Beitrag zeigen wir, wie Sie diese Anforderungen in ein praxisnahes Business Continuity & Krisenmanagement übersetzen.

1. NIS2 Business Continuity & Annex 4: Was Business Continuity leisten muss

Die NIS2UmsVO verlangt von betroffenen Einrichtungen, dass sie:

• einen Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs festlegen,
• ein strukturiertes Backup- und Redundanzkonzept umsetzen,
• und ein Krisenmanagementverfahren etablieren, das Rollen, Kommunikationswege und Zusammenarbeit mit Behörden regelt.

Business Continuity Management (BCM) soll – in der Sprache des BSI – dafür sorgen, dass eine Organisation auch in Ausnahmesituationen handlungsfähig bleibt und schnell, koordiniert und effektiv reagieren kann.

Kurz gesagt bedeutet NIS2 Business Continuity:

• Wir wissen, welche Prozesse kritisch sind (Business-Impact-Analyse / BIA),
• wir haben Notfall- und Wiederanlaufpläne,
• wir haben passende Backups und Redundanzen,
• und wir wissen, wie wir im Krisenfall führen und kommunizieren.

2. Baustein 1: Notfallplan & Business-Impact-Analyse (BIA)

Die NIS2UmsVO schreibt vor, dass betroffene Einrichtungen einen Notfallplan erstellen, der festlegt, wie Betriebsabläufe bei Sicherheitsvorfällen aufrechterhalten und wiederhergestellt werden. Der Plan muss u. a. Zweck, Umfang, Rollen, Kommunikationskanäle, Aktivierungskriterien, Reihenfolge der Wiederherstellung und benötigte Ressourcen enthalten.

Außerdem ist eine Analyse der betrieblichen Auswirkungen (BIA) gefordert:

• Welche Prozesse sind kritisch?
• Welche Ausfallzeiten sind tolerierbar (RTO)?
• Welcher Datenverlust ist akzeptabel (RPO)?

Auf Ihrer Website ist das bereits strukturiert mit Verweis auf den BSI-Standard 200-4 und passende Hilfsmittel wie BIA-Auswertungsbögen und Beispiel-Notfallhandbuch aufbereitet – ein idealer Ausgangspunkt für NIS2 Business Continuity.

Praktischer Ansatz für Unternehmen

Prozesslandkarte & Kritikalität

• Identifizieren Sie NIS2-relevante Dienste und die dahinterliegenden Geschäftsprozesse.
• Ordnen Sie Kritikalität (hoch/mittel/niedrig) und maximale tolerierbare Ausfallzeit zu.

BIA-Workshop

• Führen Sie mit Fachbereichen strukturierte BIA-Workshops durch (z. B. basierend auf Ihren BIA-Vorlagen).
• Dokumentieren Sie RTO/RPO und benötigte Ressourcen je Prozess.

Notfallplan strukturieren

• Nutzen Sie die Struktur aus Annex 4.1 Notfallplan (Zweck, Rollen, Kontakte, Aktivierung/Deaktivierung, Wiederanlaufreihenfolge, Ressourcen).
• Ziel: ein schlanker, aber belastbarer Notfallplan, der sich konkret auf die BIA stützt – kein abstraktes Word-Dokument „für den Auditor“.

3. Baustein 2: Backup-, Sicherungs- und Redundanzmanagement

NIS2 geht beim Thema Backups deutlich weiter als „wir haben irgendwo ein Band“ – ein zentrales Element von NIS2 Business Continuity:

• regelmäßige Sicherungskopien der Daten,
• ausreichende Ressourcen und Redundanzen (Systeme, Standorte, Personal),
• Sicherungspläne mit Vorgaben zu Wiederherstellungszeiten, Vollständigkeit, Offsite-Speicherung, Zugangskontrollen, Wiederherstellungsprozessen und Aufbewahrungsfristen,
• regelmäßige Integritätsprüfungen und Tests der Wiederherstellung.

Im Beitrag 👉 „Backup-Sicherungs- und Redundanzmanagement“ sind diese Anforderungen bereits in einfacher Sprache und mit Fragenkatalog aufbereitet.

Praktische Schritte für NIS2 Business Continuity

Backup-Policy & -Design prüfen

• Gibt es definierte RPO/RTO für kritische Systeme (abgeleitet aus der BIA)?
• Werden auch Konfigurationsdaten, Logs und Cloud-Daten gesichert?

Offsite & Offline berücksichtigen

• NIS2 betont sichere, vom Primärsystem getrennte Speicherorte, um z. B. Ransomware-Risiken zu minimieren.

Tests & Dokumentation

• Planen Sie regelmäßige Restore-Tests und dokumentieren Sie Ergebnisse und Korrekturmaßnahmen – ein wichtiger Prüfpunkt bei NIS2-Audits.

Redundanzen planen

• Nicht nur Technik, sondern auch Personal und Kommunikationskanäle müssen im Notfall redundant verfügbar sein.

4. Baustein 3: Krisenmanagement – wer führt, wenn es ernst wird?

Während der Notfallplan vor allem auf Wiederanlauf und Betriebsfortführung zielt, geht es beim Krisenmanagement um die Führungsstruktur in der Ausnahmesituation – ein weiterer zentraler Bestandteil von NIS2 Business Continuity:

• Dokumentiertes Verfahren für das Krisenmanagement,
• klare Rollen und Verantwortlichkeiten (inkl. Dienstleister),
• geeignete Kommunikationskanäle zu Behörden (z. B. BSI, CSIRTs) und weiteren Stakeholdern,
• Maßnahmen zur Aufrechterhaltung der Sicherheit von Netz- und Informationssystemen in der Krise,
• Nutzung von Informationen aus Warnungen/Advisories der Behörden.

All dies ist auf Ihrer Seite detailliert beschrieben:

👉 NIS2-Anforderungen: Krisenmanagement

Inhalt eines Krisenmanagementverfahrens

• Auslösekriterien: ab wann wird von „Incident“ auf „Krise“ umgeschaltet?
• Krisenstab: Zusammensetzung, Rollen, Entscheidungsbefugnisse.
• Kommunikation: Templates und Prozesse für interne/externe Kommunikation, Behördenmeldungen, Medienanfragen.
• Zusammenspiel mit Incident Management: Übergabe vom Incident-Response-Team an den Krisenstab, Rückkopplung von Entscheidungen.
• Tests & Übungen: regelmäßige Krisenstabsübungen, Lessons Learned und Aktualisierung des Plans.

ENISA verweist in diesem Kontext auf „Best Practices for Cyber Crisis Management“ und die Notwendigkeit, Krisenmanagementpläne regelmäßig zu testen und an Bedrohungslage und Organisationsstruktur anzupassen.

5. Zusammenspiel mit Risikomanagement & Incident Management

NIS2 Business Continuity steht nicht isoliert, sondern ist eng mit Risikomanagement und Incident Management verzahnt:

• Die BIA und der Notfallplan basieren auf der Risikobewertung (Annex-Nr. 2.1).
• Das Incident Management (Teil 3) liefert Trigger für Notfall- und Krisenfälle und stellt sicher, dass Informationen an CSIRTs/Behörden fließen.
• Lessons Learned aus Vorfällen fließen zurück in BIA, Notfall- und Krisenplanung.

Für Leser:innen, die hier weiterarbeiten wollen, sind insbesondere diese Seiten hilfreich:

👉 4. Betriebskontinuitäts- und Krisenmanagement – Kategorieübersicht

👉 NIS2-Anforderungen – Überblick über alle 13 Maßnahmenbereiche

👉 NIS2-Checkliste: Leitfaden für eine erfolgreiche Umsetzung – inkl. Abschnitt zu Business Continuity & Backups.

6. Praxisfahrplan: In 5 Schritten zu NIS2-fähigem BCM

Zum Abschluss ein kompakter Fahrplan, den Sie auch als Checkliste im Blog hervorheben können – als praktischer Einstieg in NIS2 Business Continuity:

1. Scope klären & BIA starten

• NIS2-relevante Dienste identifizieren,
• BIA-Workshops durchführen,
• RTO/RPO definieren.

2. Notfallplan strukturieren

• Inhalte gemäß Annex 4.1 abbilden (Zweck, Rollen, Kontakte, Aktivierung, Wiederanlaufplan, Ressourcen).

3. Backup- & Redundanzkonzept auf NIS2 trimmen

• Offsite-/Offline-Backups, Wiederherstellungstests, Integritätsprüfungen und Redundanzen nach Annex 4.2 sicherstellen.

4. Krisenmanagementverfahren definieren & testen

• Krisenstab, Kommunikationswege, Umgang mit Behördeninfos und Tests gemäß Annex 4.3 festlegen.

5. Verzahnung mit Incident Management & Risikomanagement

• Schnittstellen zu den Prozessen aus Teil 2 und 3 definieren (Eskalationskaskade, Rückkopplung von Lessons Learned).

7. Frage an Sie

Könnten Sie heute auf einer Seite skizzieren, was bei einem schwerwiegenden NIS2-Sicherheitsvorfall in den ersten 60 Minuten passiert – wer führt, was priorisiert wird und wie lange es dauert, bis Ihre wichtigsten Dienste wieder laufen?

Wenn die Antwort eher „nein“ oder „kommt drauf an“ ist, ist jetzt ein guter Zeitpunkt, Ihren Notfallplan, Ihr Backup-Konzept und Ihr Krisenmanagement entlang der Anforderungen an NIS2 Business Continuity zu schärfen. So erfüllen Sie nicht nur Annex 4 der NIS2UmsVO, sondern erhöhen ganz konkret die Resilienz Ihres Unternehmens.