Update zum 5. Dez. 2025 - Realistische SLAs zu Verfügbarkeit und Leistung bei Wiederherstellung im Disaster-Recovery-Fall; sichere Backups stehen neben unveränderlichen Daten im Mittelpunkt. Zum Blogpost…
Zum Hintergrund
Die 2016 eingeführten Cybersicherheits-Vorschriften der EU wurde durch die 2023 veröffentlichte NIS2-Richtlinie weiter aktualisiert. Der bestehenden Rechtsrahmen wird laut EU danach primär erweitert, um mit der (Zitat) „zunehmenden Digitalisierung und einer sich entwickelnden Bedrohungslandschaft für Cybersicherheit Schritt zu halten.“ (1)
Daraus leiten sich für alle im KRITIS-Umfeld inkl. HealthCare tätigen Unternehmen-/Organisationen - aber auch in Bereichen wie Verkehr, Energie und digitale Infrastruktur verschiedene Aktionen auf der IT-Seite ab, um bei der Umsetzung der neuen rechtlichen Sicherheits-Rahmenbedingungen und Security-Regeln zu unterstützen. Anmerkung: siehe dazu auch DORA = digitale operationale Resilienz im Finanzsektor.
Externer link > https://www.bafin.de/DE/Aufsicht/DORA/DORA_node.html
Unter NIS2 fallen alle Unternehmen mit über 50 Mitarbeitern oder mehr als 10 Mio. Jahresumsatz, sowie die sogenannten "kritischen Sektoren", wobei laut NIS-2 nach Wesentlich (Essentials) und Wichtig (Important) unterschieden wird. Die Kommission arbeitet mit der EU-Agentur für Netz- und Informationssicherheit mit den Mitgliedstaaten zusammen, um die Umsetzung der NIS-Richtlinie in nationales Recht sicherzustellen. Für Deutschland ist die Organisation das BSI.
Update zum 5./6. Dezember 2025
Die Umsetzung der EU-Vorgaben durch das NIS-2-Umsetzungsgesetz hat sich bislang in Deutschland verzögert und lag im parlamentarischen Verfahren. Die NIS2-Umsetzung betrifft danach große Teile der deutschen Wirtschaft mit ca. 30.000 Unternehmen.
Das Gesetz wurde jetzt am 5. Dezember 2025 im Bundesgesetzblatt verkündet. Unternehmen in Deutschland sind ab diesem nationalen Stichtag (6. Dezember 2025) verpflichtet, die erhöhten Cybersicherheitsstandards und Meldepflichten der NIS2-Richtlinie zu erfüllen.
Laut BSI müssen die Unternehmen danach selbständig prüfen*, ob sie von der NIS-2-Richtlinie betroffen sind und damit zu den durch das BSI beaufsichtigten Einrichtungen gehören werden.
*externer Link > https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung_node.html
Es gab nach den aktuell vorliegenden Informationen nur noch geringe Änderungen an den 2024 und 2025 beschlossenen Entwürfen. Neben NIS2 wird das KRITIS-Dachgesetz zudem "Kritische Infrastrukturen" in Bezug auf die Resilienz regulieren.
Die NIS2-Umsetzung soll durch ISO 27001, KRITIS und dem NIS2 Implementing Act erleichtert werden. Das Gesetz sieht weiter eine verpflichtende Schulung zu Cyber-Risiken inklusive Risikomanagement für die Unternehmensführung (§ 38 Abs. 3 BSIG-E) vor.
Weitere Informationen zur Richtlinie finden Sie auf der Seite der Europäischen Kommission und dem BSI (Bundesamt für Sicherheit in der Informationstechnik). Externe Links:
https://digital-strategy.ec.europa.eu/de/policies/nis2-directive
Hinweis
Betroffene Organisationen und Firmen können von Behörden nach dem finalen Inkrafttreten jederzeit kontrolliert werden. Im Gegensatz zur DSGVO gibt es keine Übergangszeiten. Somit ist direkter Handlungsbedarf gegeben.
NIS-2 und die Bedeutung für Speichersysteme, Datensicherung und Disaster Recovery
Ein cyberresilienter Speicher gehört zu den wichtigsten Anforderungen an Unternehmen, um die Sicherheit von kritischen Daten zu gewährleisten und böswillige Angriffe auf die Speicher- und Dateninfrastruktur abwehren zu können. Gesucht sind Lösungen und Services (extern / intern) die helfen können, schädliche Auswirkungen eines Cyberangriffs oder andere Katastrophen so weit wie möglich zu minimieren oder im Idealfall sogar unmöglich zu machen.
Mit Einführung der NIS-2-Richtlinie gewinnen Backupverfahren an Relevanz
Gefragt sind Funktionen wie Immutable Backups, S3 Object Lock und unveränderlichen Snapshots, um die Einhaltung der NIS-2-Vorschriften zu gewährleisten. Beispiel: sobald Daten in den Immutable Storage geschrieben werden, können sie dort weder gelöscht noch verändert werden. So sind Unternehmen der Lage, ihre Daten zu 100% korrekt zurückzusichern. Konkrete Ziele dieser Verfahren sind:
Die Betriebskontinuität sicherstellen, Datenverluste bei Angriffen verhindern bzw. zu minimieren und die Wiederherstellung kritischer Daten im Falle eines erfolgreichen Angriffs zu beschleunigen, um so schnell wie möglich wieder produktiv und handlungsfähig zu sein.
- Erschwert können diese Vorgaben und Anforderungen durch die zunehmende Komplexität der Dateninfrastruktur werden (on-premise, Cloud, hybride Deployments, Datenwachstum, rasche Bereitstellung neuer Anwendungen, KI etc.), inkl. der damit einhergehenden organisatorischen Herausforderungen.
- Fragmentierte Datenstrukturen erweisen sich vermehrt als Problem für die Cyber-Resilienz und betroffene Organisationen haben es nach wie vor mit fragmentierten Lösungen und Ansätzen zur Datensicherung zu tun. Die Folgen sind eine eher komplexe Administration mit unterschiedlichen Verantwortlichkeiten, hohen Kosten (OPEX) bei ungenügender Cyber-Resilienz.
- Die Modernisierung sowie Konsolidierung von Silo-Architekturen und eine engere Zusammenarbeit von unterschiedlichen Verantwortlichkeiten, die bislang eher getrennt agierten (Backup / Storage / ITOps mit CSOs / CISOs), ist anzustreben. Stichwort: End-to-End-Sicherheit / NIST-Framework.
Abb.: "Cloud cybersecurity skills are needed most" (Bildquelle: Fortinet Cybersecurity Skills Gap, Global Research Report).
Cloud und Datensicherheit
Je mehr Unternehmen von der lokalen Bereitstellung auf hybride- oder vollständig cloudbasierte Umgebungen umstellen, desto häufiger treten im Betrieb Fehlkonfigurationen, Bedienungsfehler, schlecht gesicherte oder ungenügende Zugriffskontrollen, ungesicherte Anmeldedaten oder nicht funktionierende PoLP-Modellen (Principle of Least Privilege) auf.
Querverweis / externer Link > https://csrc.nist.gov/glossary/term/least_privilege
KI, AIOps und Cybersecurity
KI-Lösungen sind heute in der Lage, den Zeitaufwand für die Untersuchung und Festlegung von Reaktionen auf Cyber-Ereignisse zu verkürzen und die Cyber-Resilienz insgesamt zu steigern. Künstliche Intelligenz kann dabei gezielt bei der Einhaltung von Datenschutz- und Sicherheitsbestimmungen helfen, indem es die Herkunft von Anwendungsdaten nachverfolgt.
Datenklassifizierung stellt im Sinne der NIS-2 Regeln dazu ein wichtiges Werkzeug dar. Damit lassen sich zudem Probleme mit sog. "ROT"-Daten (Redundant-Obsolet-Trivial), indifferenten Zugriffsrechte und einer mangelnde Datentransparenz vermeiden.
Wege zu einer beschleunigten Automatisierung der Datenverwaltung und -verschiebung zwischen Edge-, Core- und Cloud-Umgebungen zu finden, ist in Sinne dieser Anforderungen von zentraler Bedeutung für die IT- und somit für die gesamte Unternehmensstrategie.
Weitere Themen betreffen richtlinienbasierte und automatisierte Aktionen zum Kopieren, Archivieren oder Löschen von Daten gemäß den jeweiligen Datenaufbewahrungs-Richtlinien, sowie ein kontrollierter Zugriff auf Inhalte ausschließlich durch autorisierte User / Anwendungen vor Ort oder in der Cloud.
Fazit
Mit Hilfe von SecOps und automatisierter AIOps kann die IT-Infrastruktur und damit auch Storage im Sinne der genannten NIS-2Anforderungen eine widerstandsfähigere Plattform zur Verwaltung von kritischen Datendiensten bieten.
Autor: N.Deuschle. Beitrag mit Updates von Sept. 2025 und Dez. 2025.
(1) Quelle / externer Link > https://digital-strategy.ec.europa.eu/de/policies/nis2-directive
Weitere Querverweise zum Themenkomplex:
Unser Beitrag > Effektiver Cyberschutz mit KI: Prognosen und Handlungsempfehlungen für (IT-)Verantwortliche
Unser Blogpost > Resilienz gegen Cyberangriffe: Backup-Verfahren als Teil einer übergeordneten Datenschutzstrategie
Unser Beitrag > EU-Projekt Nostradamus zum Aufbau einer hochsicheren Quantenkommunikations-Infrastruktur
Unser Beitrag > Projekt Confidential Containers (CoCo): Daten komplexer Workloads während der Nutzung schützen