NIS2: So gestalten Sie RPO und RTO für den Notfallplan

Die NIS2-Richtlinie rückt näher und mit ihr eine entscheidende Frage, die über Compliance oder empfindliche Strafen entscheiden kann: Was passiert, wenn Ihre kritischen Systeme ausfallen? Die Antwort liegt nicht in der Hoffnung, dass es nie passiert, sondern in zwei unscheinbaren Akronymen, die für die Geschäftsleitung jetzt zur Chefsache werden: RPO und RTO.

‍

Viele sehen darin rein technische Kennzahlen. Ein Fehler. Im Kontext von NIS2 sind sie das Fundament Ihrer betrieblichen Widerstandsfähigkeit und der Nachweis, dass Sie die Risiken für Ihr Unternehmen ernst nehmen. Zu verstehen, wie man diese Werte nicht nur definiert, sondern strategisch optimiert, ist der Schlüssel, um im Ernstfall handlungsfähig zu bleiben und die strengen Anforderungen der neuen Cybersicherheitsrichtlinie zu erfüllen.

‍

Die Grundlagen: Was bedeuten RPO und RTO wirklich?

‍

Stellen Sie sich vor, Sie arbeiten an einer wichtigen Präsentation. Plötzlich – Stromausfall. Zwei Fragen kommen Ihnen sofort in den Sinn:

‍

1. "Wie viel von meiner Arbeit ist weg?" – Das ist Ihr Recovery Point Objective (RPO).
   ‍
2. "Wie lange dauert es, bis ich weiterarbeiten kann?" – Das ist Ihr Recovery Time Objective (RTO).

‍

Übertragen auf Ihr Unternehmen definieren diese beiden Werte die Toleranzgrenzen bei einem IT-Sicherheitsvorfall.

‍

Recovery Point Objective (RPO): Der maximale Datenverlust

‍

Das RPO beschreibt den maximal tolerierbaren Datenverlust, gemessen in Zeit. Es beantwortet die Frage: Auf welchen Datenstand können wir im Notfall zurückgreifen? Ein RPO von einer Stunde bedeutet, dass Ihr Unternehmen es sich leisten kann, die Daten von bis zu 59 Minuten und 59 Sekunden zu verlieren, die seit dem letzten Backup erstellt wurden. Je kritischer die Daten, desto kürzer muss das RPO sein.

‍

Recovery Time Objective (RTO): Die maximale Ausfallzeit

‍

Das RTO definiert die maximal tolerierbare Zeitspanne, die ein Geschäftsprozess oder ein System nach einem Ausfall offline sein darf. Es ist Ihre Deadline für die Wiederherstellung. Ein RTO von vier Stunden bedeutet, dass der betroffene Prozess innerhalb dieser Zeit wieder laufen muss, um schwerwiegende geschäftliche Schäden zu vermeiden.

‍

‍

Der entscheidende Punkt ist: NIS2 verlangt von Unternehmen, diese Werte nicht nur zu kennen, sondern sie systematisch herzuleiten, zu dokumentieren und die entsprechenden Maßnahmen für eine Notfallwiederherstellung zu implementieren.

‍

Von der Theorie zur Praxis: RPO und RTO mit der Business Impact Analysis (BIA) bestimmen

‍

Die NIS2 requirements schreiben keine konkreten RPO- oder RTO-Werte vor. Stattdessen fordern sie einen risikobasierten Ansatz. Das Werkzeug dafür ist die Business Impact Analysis (BIA). Sie verlagert die Diskussion von der IT-Abteilung ins Zentrum Ihrer Geschäftsstrategie.

‍

Eine BIA hilft Ihnen, die Kronjuwelen Ihres Unternehmens zu identifizieren und zu schützen. Der Prozess lässt sich in vier einfache Schritte unterteilen:

‍

1. Kritische Geschäftsprozesse identifizieren: Listen Sie alle Prozesse auf, die für den Betrieb Ihres Unternehmens unerlässlich sind. Denken Sie branchenspezifisch: Für ein Unternehmen in der Logistikbranche könnte dies das Tourenplanungssystem sein, für einen Energieversorger die Netzsteuerung.
   ‍
2. Abhängigkeiten analysieren: Ordnen Sie jedem Prozess die zugrunde liegenden IT-Systeme, Anwendungen, aber auch personellen und physischen Ressourcen zu. Wovon ist der Prozess abhängig?
   ‍
3. Auswirkungen eines Ausfalls bewerten: Quantifizieren Sie die Folgen eines Ausfalls für jeden Prozess über die Zeit. Was sind die finanziellen Verluste, Reputationsschäden oder rechtlichen Konsequenzen nach einer Stunde, vier Stunden, einem Tag?
   ‍
4. RPO- und RTO-Werte ableiten: Basierend auf der maximal tolerierbaren Auswirkung definieren Sie für jeden Prozess die passenden RPO- und RTO-Werte. Ein Prozess, der nach einer Stunde bereits massive Verluste verursacht, benötigt deutlich aggressivere Werte als ein interner Entwicklungsserver.

‍

‍

Die richtigen Technologien zur Optimierung Ihrer Wiederherstellungsziele

‍

Sobald Ihre RPO- und RTO-Ziele definiert sind, stellt sich die Frage nach der Umsetzung. Hierbei gilt es, eine Balance zwischen Kosten und Sicherheit zu finden. Nicht jedes System benötigt eine teure Hochverfügbarkeitslösung.

‍

• Aggressive Ziele (RPO/RTO in Sekunden bis Minuten): Für absolut kritische Systeme, wie die Produktionssteuerung in der Industrie oder die Leitsysteme in der Energiebranche, sind Technologien wie synchrone Replikation, Load Balancer und Failover-Cluster notwendig. Diese sind kostspielig, aber bei Prozessen ohne Ausfalltoleranz alternativlos.
  ‍
• Moderate Ziele (RPO/RTO in Stunden): Für viele wichtige Geschäftsanwendungen, deren Ausfall für einige Stunden tolerierbar ist, eignen sich asynchrone Replikation, regelmäßige Snapshots oder Hot-Standby-Systeme. Dies bietet einen guten Kompromiss zwischen Kosten und Wiederherstellungsgeschwindigkeit.
  ‍
• Standardziele (RPO/RTO > 24 Stunden): Für weniger kritische Daten und Systeme, wie Archiv- oder Entwicklungsumgebungen, sind tägliche oder wöchentliche Backups oft ausreichend. Diese Lösung ist am kostengünstigsten.

‍

Die Wahl der richtigen Technologie ist ein zentraler Baustein Ihrer gesamten Strategie für Information Security und muss direkt aus den Ergebnissen Ihrer BIA abgeleitet werden.

‍

Typische Fehler, die Sie bei der RPO/RTO-Planung vermeiden sollten

‍

Die Definition von RPO und RTO ist ein strategischer Prozess, bei dem leicht Fehler unterlaufen können. Achten Sie darauf, die folgenden Fallstricke zu vermeiden, um Ihre NIS2-Compliance nicht zu gefährden:

‍

• Einheitsgröße für alle: Der größte Fehler ist, für alle Systeme die gleichen RPO/RTO-Werte festzulegen. Dies führt entweder zu unnötig hohen Kosten oder zu inakzeptablen Risiken.
  ‍
• Reine IT-Sichtweise: RPO und RTO sind Geschäftsmetriken. Werden sie ohne Input aus den Fachabteilungen festgelegt, spiegeln sie nicht die realen Anforderungen wider.
  ‍
• Setzen und vergessen: Geschäftsprozesse und IT-Landschaften ändern sich. RPO- und RTO-Werte müssen regelmäßig, mindestens einmal jährlich, überprüft und angepasst werden.
  ‍
• Keine Tests: Ein Notfallplan, der nie getestet wurde, ist im Ernstfall wertlos. Regelmäßige Disaster-Recovery-Tests sind unerlässlich, um sicherzustellen, dass die definierten RTO- und RPO-Ziele auch praktisch erreicht werden können.

‍

‍

Fazit: RPO und RTO als strategischer Vorteil

‍

Die Auseinandersetzung mit Recovery Point Objectives und Recovery Time Objectives ist weit mehr als eine lästige Pflichtübung für die NIS2-Compliance. Es ist eine Chance, die Widerstandsfähigkeit Ihres Unternehmens fundamental zu stärken.

‍

Indem Sie Ihre kritischen Prozesse verstehen, die Auswirkungen von Ausfällen bewerten und gezielte Wiederherstellungsstrategien entwickeln, verwandeln Sie eine regulatorische Anforderung in einen handfesten strategischen Vorteil. Ein gut durchdachter Notfallplan schützt nicht nur vor Strafen, sondern sichert im Ernstfall das Überleben Ihres Unternehmens. Der erste Schritt auf diesem Weg ist die Durchführung einer ehrlichen und umfassenden Business Impact Analysis.

‍

Häufig gestellte Fragen (FAQ) zu RPO und RTO

‍

Was ist der Unterschied zwischen RPO/RTO und einem Backup?

‍

Ein Backup ist eine Technologie, also eine Kopie Ihrer Daten. RPO und RTO sind strategische Ziele. Ihr Backup-Plan ist eine der Maßnahmen, um Ihre RPO-Ziele zu erreichen. Ein RPO von 24 Stunden kann beispielsweise durch ein tägliches Backup realisiert werden.

‍

Schreibt NIS2 exakte RPO- oder RTO-Werte vor?

‍

Nein. NIS2 schreibt vor, dass Sie einen risikobasierten Ansatz verfolgen müssen. Das bedeutet, Sie müssen nachweisen können, warum Sie die von Ihnen gewählten Werte für angemessen halten. Dies geschieht durch die Dokumentation Ihrer Business Impact Analysis.

‍

Wer ist im Unternehmen für die Festlegung von RPO und RTO verantwortlich?

‍

Dies ist eine gemeinsame Verantwortung. Die IT-Abteilung liefert die technische Expertise, aber die endgültige Entscheidung über die Akzeptanz von Risiken und die Festlegung der Ziele liegt bei den jeweiligen Fachabteilungen und der Geschäftsführung. Gerade für wachsende Unternehmen ist es wichtig, frühzeitig eine solide security compliance for scaleups zu etablieren.

‍

Wie oft sollten wir unsere RPO- und RTO-Werte überprüfen?

‍

Eine jährliche Überprüfung ist das Minimum. Bei größeren Änderungen in Ihrer Geschäftstätigkeit oder IT-Infrastruktur, wie der Einführung eines neuen ERP-Systems oder der Erschließung eines neuen Marktes, sollten die Werte sofort überprüft werden.

‍