NIS2 Business Continuity: Notfallplanung, die im Ernstfall funktioniert
NIS2 Business Continuity: Notfallplanung, die im Ernstfall funktioniert
Bettina Stearn
ISO/IEC 27001 Auditorin & QM-Fachexpertin (ISO 9001)
21 Mar 2026
8 min
Bettina Stearn ist zertifizierte ISO/IEC 27001 Auditorin und Beraterin für Datenschutz und Informationssicherheit. Mit mehr als 15 Jahren Erfahrung in Informationssicherheit, Qualitätsmanagement und Datenschutz begleitet sie Organisationen bei der Einführung und Zertifizierung von Managementsystemen nach internationalen Standards. Neben ihrer Spezialisierung auf ISO 27001 und TISAX® verfügt sie über umfangreiche Erfahrung in der Implementierung und Auditierung von Managementsystemen nach ISO 9001 sowie eine Ausbildung zur QM-Fachexpertin (TÜV SÜD). Ihr Fokus liegt auf der sicheren und effizienten Umsetzung regulatorischer Anforderungen – von NIS2 über TISAX® bis hin zur KI-Compliance nach EU-Vorgaben. Dabei verbindet sie technisches Know-how mit strategischem Blick für nachhaltige Sicherheitsstrukturen.
Key Takeaways
§30 Abs. 2 Nr. 3 NIS2UmsuCG verpflichtet betroffene Unternehmen zu Business Continuity Management, einschließlich Backup, Wiederherstellung und Krisenmanagement.
Ohne Business Impact Analyse fehlt die Grundlage: Nur wer seine kritischen Prozesse kennt, kann sinnvolle Wiederherstellungsziele (RPO/RTO) festlegen.
Der Notfallplan muss nach NIS2UmsVO Annex 4.1 sieben Pflichtbestandteile enthalten und regelmäßig getestet werden.
Tabletop-Übungen decken in zwei Stunden Lücken auf, die im Alltag nicht auffallen. Wer sein ISMS auf einer Plattform pflegt, dokumentiert die Ergebnisse automatisch.
Ein Ransomware-Angriff legt die Produktion lahm. Der zentrale Cloud-Dienst fällt aus. Ein Rechenzentrum wird durch einen Wasserschaden unbrauchbar. In jedem dieser Szenarien entscheidet nicht die Technik allein darüber, wie schnell ein Unternehmen wieder arbeitsfähig ist. Es entscheidet der Notfallplan, und ob ihn jemand kennt.
Das NIS2UmsuCG macht Business Continuity Management (BCM) zur gesetzlichen Pflicht. §30 Abs. 2 Nr. 3 BSIG verlangt von betroffenen Unternehmen Maßnahmen zur "Aufrechterhaltung des Betriebs", konkret: Backup-Management, Wiederherstellung nach einem Notfall und Krisenmanagement. Dieser Artikel zeigt, wie Unternehmen diese Anforderung von der Pflicht zur funktionierenden Praxis bringen.
Was verlangt das NIS2UmsuCG für Business Continuity?
§30 Abs. 2 Nr. 3 BSIG nennt drei Säulen der Betriebskontinuität: Backup-Management, Wiederherstellung nach einem Notfall und Krisenmanagement. Die NIS2UmsVO konkretisiert diese Anforderung in Annex 4.1 mit einem detaillierten Anforderungskatalog für Notfallpläne.
In der Praxis heißt das: Ein Unternehmen muss nicht nur Backups erstellen, sondern einen durchdachten Plan haben, der beschreibt, was bei einem Vorfall passiert, wer welche Entscheidungen trifft und wie der Betrieb wiederhergestellt wird. Die Geschäftsleitung trägt persönliche Verantwortung dafür, dass dieser Plan existiert und funktioniert.
Die vollständige Liste der zehn Maßnahmenbereiche nach §30 behandeln wir im Überblick zu den NIS2-Anforderungen. Dieser Artikel konzentriert sich auf den BCM-Baustein und wie er praktisch umgesetzt wird.
Business Impact Analyse: Welche Prozesse sind kritisch?
Bevor ein Notfallplan geschrieben wird, muss eine Frage beantwortet sein: Welche Geschäftsprozesse dürfen auf keinen Fall ausfallen? Die Business Impact Analyse (BIA) liefert diese Antwort. Sie bewertet jeden Prozess danach, welchen Schaden ein Ausfall nach einer Stunde, nach vier Stunden, nach einem Tag verursacht.
Das Ergebnis ist eine Priorisierungsliste. Nicht jeder Prozess braucht die gleiche Schutzklasse. Der Onlineshop eines E-Commerce-Unternehmens hat andere Anforderungen als das interne Wiki. Wer versucht, alles gleichzeitig abzusichern, sichert am Ende nichts richtig ab.
Drei Schritte machen die BIA handhabbar: Erstens die 5 bis 10 Prozesse identifizieren, die bei einem Totalausfall den größten finanziellen, rechtlichen oder reputationsbezogenen Schaden verursachen. Zweitens für jeden dieser Prozesse die maximal tolerierbare Ausfallzeit bestimmen. Drittens die Abhängigkeiten klären: Welche IT-Systeme, Dienstleister und Datenquellen braucht dieser Prozess?
RPO und RTO: Wiederherstellungsziele festlegen
Aus der BIA ergeben sich zwei Kennzahlen, die das Rückgrat jedes Notfallplans bilden. Das Recovery Point Objective (RPO) definiert den maximal akzeptablen Datenverlust. Ein RPO von 4 Stunden bedeutet: Im schlimmsten Fall gehen die Daten der letzten 4 Stunden verloren. Das Recovery Time Objective (RTO) definiert die maximale Ausfallzeit. Ein RTO von 8 Stunden bedeutet: Der Prozess muss innerhalb von 8 Stunden wieder laufen.
Diese Kennzahlen bestimmen die technische Strategie. Ein RPO von 15 Minuten erfordert synchrone Replikation oder sehr häufige Backups. Ein RPO von 24 Stunden kann mit täglichen Backups erreicht werden. Die technischen Details der Backup-Strategie nach NIS2 behandelt der verlinkte Artikel.
RPO und RTO definieren die maximalen Grenzen für Datenverlust und Ausfallzeit
Prozess (Beispiel)
RPO
RTO
Backup-Strategie
ERP-System (Auftragsabwicklung)
1 Stunde
4 Stunden
Synchrone Replikation + Hot Standby
E-Mail-System
4 Stunden
8 Stunden
Stündliche Snapshots + Cloud-Failover
Internes Wiki / Dokumentation
24 Stunden
48 Stunden
Tägliches Backup
Produktionssteuerung (OT)
15 Minuten
2 Stunden
Echtzeit-Replikation + Redundanzsysteme
Der Notfallplan: Aufbau und Pflichtinhalte
Die NIS2UmsVO schreibt in Annex 4.1 konkret vor, was ein Notfallplan enthalten muss. Sieben Bestandteile sind Pflicht:
1
Zweck, Umfang und Zielgruppe
Für welche Szenarien gilt der Plan? Wer ist die Zielgruppe (IT-Team, Geschäftsleitung, Kommunikation)?
2
Rollen und Verantwortlichkeiten
Wer leitet den Krisenstab? Wer entscheidet über Eskalationen? Wer kommuniziert nach außen? Stellvertreterregelungen gehören dazu.
3
Kontakte und Kommunikationskanäle
Interne und externe Kontaktlisten. Wichtig: Diese müssen auch offline verfügbar sein, wenn die IT ausgefallen ist.
4
Aktivierungs- und Deaktivierungsbedingungen
Ab welchem Schweregrad wird der Notfallplan aktiviert? Wann gilt der Normalbetrieb als wiederhergestellt?
5
Priorisierung und Wiederherstellungsreihenfolge
Welche Systeme werden zuerst wiederhergestellt? Die Reihenfolge ergibt sich aus der BIA und den festgelegten RTOs.
6
Erforderliche Ressourcen
Welche Sicherungen, Redundanzen und alternativen Systeme stehen zur Verfügung? Wo befinden sich die Backup-Medien physisch?
7
Maßnahmen zur Wiederaufnahme des Normalbetriebs
Wie wird von der Notlösung zurück zum regulären Betrieb gewechselt? Dieser Schritt wird häufig vergessen, obwohl er zu neuen Risiken führen kann.
Die sieben Pflichtbestandteile eines NIS2-konformen Notfallplans nach NIS2UmsVO Annex 4.1
Die häufigste Schwachstelle in der Praxis: Der Plan existiert, aber niemand hat ihn gelesen. Ein 80-seitiges PDF auf dem Fileserver hilft niemandem, wenn das Fileserver gerade der Grund für den Notfall ist. ISMS-Plattformen wie SECJUR Digital Compliance Office lösen dieses Problem, weil der Notfallplan dort zentral gepflegt, versioniert und jederzeit zugreifbar ist, auch wenn Teile der IT-Infrastruktur ausfallen.
Wann ein Sicherheitsvorfall zusätzlich meldepflichtig wird und welche Fristen dann greifen, regelt §32 BSIG. Der Notfallplan sollte eine Schnittstelle zur Meldepflicht enthalten, damit beide Prozesse ineinandergreifen. Wie die Nachweispflicht für BCM-Dokumentation funktioniert, erklären wir im verlinkten Artikel.
"Business Continuity ist kein Dokument, das man einmal erstellt und dann abheftet. Es ist ein Prozess, der regelmäßig getestet und angepasst werden muss. Die Unternehmen, die im Ernstfall am schnellsten wieder arbeitsfähig sind, sind nicht die mit den dicksten Notfallhandbüchern, sondern die, die ihre Pläne einmal im Jahr ernsthaft durchspielen."
Bettina Stearn, ISO/IEC 27001 Auditorin & QM-Fachexpertin bei SECJUR
Tabletop-Übungen: Den Notfallplan unter Stress testen
Ein Notfallplan, der nie getestet wurde, ist eine Hypothese. Die NIS2UmsVO verlangt, dass Notfallpläne "regelmäßig und bei wesentlichen Vorfällen oder Änderungen der Betriebsabläufe" getestet werden. Die effektivste Methode dafür sind Tabletop-Übungen.
Bei einer Tabletop-Übung versammelt sich der Krisenstab an einem Tisch (oder in einem Call) und spielt ein Szenario durch. Kein System wird tatsächlich heruntergefahren, kein Backup wiederhergestellt. Stattdessen geht das Team Schritt für Schritt durch den Notfallplan und beantwortet: Wer wird informiert? Wie lange dauert die Eskalation? Haben wir die Kontaktdaten? Wissen wir, welches System zuerst wiederhergestellt wird?
Solche Übungen decken innerhalb von zwei Stunden Lücken auf, die im Alltag nicht auffallen. Typische Erkenntnisse aus Tabletop-Übungen: Kontaktlisten sind veraltet, Stellvertreterregelungen fehlen, die Wiederherstellungsreihenfolge ist unklar, oder niemand weiß, wo sich die Offline-Kopie des Notfallplans befindet.
Praxisbeispiel
Ein mittelständisches Logistikunternehmen führte seine erste Tabletop-Übung mit dem Szenario "Ransomware verschlüsselt das ERP-System" durch. Das Ergebnis: Der Notfallplan sah vor, dass der IT-Leiter den Krisenstab einberuft. Der IT-Leiter war seit drei Monaten im Sabbatical, und sein Stellvertreter wusste nichts von dieser Rolle. Die Übung dauerte 90 Minuten und verhinderte, dass dieser Fehler im Ernstfall aufgefallen wäre.
Empfehlung: Tabletop-Übungen mindestens einmal jährlich durchführen, zusätzlich nach jeder wesentlichen Änderung der IT-Infrastruktur oder nach einem realen Vorfall. Die Ergebnisse und die daraus abgeleiteten Verbesserungen lassen sich auf einer Plattform wie SECJUR direkt dokumentieren und als Nachweis für das BCM vorhalten.
Bettina Stearn ist zertifizierte ISO/IEC 27001 Auditorin und Beraterin für Datenschutz und Informationssicherheit. Mit mehr als 15 Jahren Erfahrung in Informationssicherheit, Qualitätsmanagement und Datenschutz begleitet sie Organisationen bei der Einführung und Zertifizierung von Managementsystemen nach internationalen Standards. Neben ihrer Spezialisierung auf ISO 27001 und TISAX® verfügt sie über umfangreiche Erfahrung in der Implementierung und Auditierung von Managementsystemen nach ISO 9001 sowie eine Ausbildung zur QM-Fachexpertin (TÜV SÜD). Ihr Fokus liegt auf der sicheren und effizienten Umsetzung regulatorischer Anforderungen – von NIS2 über TISAX® bis hin zur KI-Compliance nach EU-Vorgaben. Dabei verbindet sie technisches Know-how mit strategischem Blick für nachhaltige Sicherheitsstrukturen.
Über SECJUR
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Compliance, completed
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Ja. §30 Abs. 2 Nr. 3 BSIG verpflichtet besonders wichtige und wichtige Einrichtungen zu Maßnahmen zur Aufrechterhaltung des Betriebs, einschließlich Backup-Management, Wiederherstellung und Krisenmanagement. Die Pflicht gilt seit dem 6. Dezember 2025.
Was ist der Unterschied zwischen BCM und Incident Response?
Incident Response konzentriert sich auf die Erkennung und Behebung eines Vorfalls. BCM stellt sicher, dass der Geschäftsbetrieb auch während und nach einem Vorfall weiterläuft. Beide Prozesse greifen ineinander.
Wie oft muss der Notfallplan getestet werden?
Die NIS2UmsVO verlangt regelmäßige Tests und zusätzlich Tests nach wesentlichen Vorfällen oder Änderungen. Gängige Praxis nach BSI 200-4 ist mindestens einmal jährlich.
Reicht eine ISO-22301-Zertifizierung als NIS2-BCM-Nachweis?
ISO 22301 deckt die BCM-Anforderungen weitgehend ab, ersetzt aber nicht NIS2-spezifische Pflichten wie Meldepflicht (§32) oder Geschäftsführer-Schulung (§38). In Kombination mit ISO 27001 bildet sie ein solides Fundament.
Viele KMU unterschätzen die Bedeutung von Management-Commitment in der ISO 27001, doch ohne eine aktive, sichtbare Führung scheitert jedes ISMS. Dieser Leitfaden zeigt praxisnah, wie Geschäftsführer mit klaren Zielen, echter Beteiligung und nachvollziehbaren Nachweisen Auditoren überzeugen und Informationssicherheit als strategischen Vorteil nutzen.
Viele Unternehmen nutzen bereits GPAI wie ChatGPT oder andere KI-Basismodelle, doch mit dem EU AI Act steigen die Anforderungen an Risikoklassifizierung und Verantwortung deutlich. Dieser Leitfaden erklärt verständlich, wie systemische Risiken, Haftungsketten und Pflichten für GPAI-Anbieter und Anwender einzuordnen sind. Erfahren Sie praxisnah, wie Sie Ihre KI-Nutzung rechtssicher gestalten und EU-AI-Act-Compliance strategisch umsetzen.
Dass der Statistik-Dienst von Google, Google Analytics, nicht ohne Weiteres auf Webseiten datenschutzkonform einsetzbar ist, dürfte bekannt sein. In den letzten Tagen gab es dennoch vermehrt Berichte über den Dienst und dessen mangelnde Datenschutzkonformität. Insbesondere die Aufsichtsbehörden innerhalb der Europäischen Union beschäftigen sich intensiv mit dem Dienst.
{"@context":"https://schema.org","@graph":[{"@type":"FAQPage","mainEntity":[{"@type":"Question","name":"Ist Business Continuity unter NIS2 Pflicht?","acceptedAnswer":{"@type":"Answer","text":"Ja. §30 Abs. 2 Nr. 3 BSIG verpflichtet besonders wichtige und wichtige Einrichtungen zu Maßnahmen zur Aufrechterhaltung des Betriebs, einschließlich Backup-Management, Wiederherstellung und Krisenmanagement. Die Pflicht gilt seit dem 6. Dezember 2025."}},{"@type":"Question","name":"Was ist der Unterschied zwischen BCM und Incident Response?","acceptedAnswer":{"@type":"Answer","text":"Incident Response konzentriert sich auf die Erkennung und Behebung eines Vorfalls. BCM stellt sicher, dass der Geschäftsbetrieb auch während und nach einem Vorfall weiterläuft. Beide Prozesse greifen ineinander."}},{"@type":"Question","name":"Wie oft muss der Notfallplan getestet werden?","acceptedAnswer":{"@type":"Answer","text":"Die NIS2UmsVO verlangt regelmäßige Tests und zusätzlich Tests nach wesentlichen Vorfällen oder Änderungen. Gängige Praxis nach BSI 200-4 ist mindestens einmal jährlich."}},{"@type":"Question","name":"Reicht eine ISO-22301-Zertifizierung als NIS2-BCM-Nachweis?","acceptedAnswer":{"@type":"Answer","text":"ISO 22301 deckt die BCM-Anforderungen weitgehend ab, ersetzt aber nicht NIS2-spezifische Pflichten wie Meldepflicht (§32) oder Geschäftsführer-Schulung (§38). In Kombination mit ISO 27001 bildet sie ein solides Fundament."}}]},{"@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https://www.secjur.com/"},{"@type":"ListItem","position":2,"name":"Blog","item":"https://www.secjur.com/blog"},{"@type":"ListItem","position":3,"name":"NIS2 Business Continuity","item":"https://www.secjur.com/blog/nis2-business-continuity"}]}]}
.svg)
.svg)
.svg)
.svg){kind=small}