NIS-2 und KRITIS-Dachgesetz erhöhen den Druck auf Backup- und Archiv-Konzepte. Betroffene Unternehmen müssen nicht nur ihre Registrierungspflichten erfüllen, sondern Wiederherstellbarkeit, Integrität und Manipulationsschutz nachweisen. Entscheidend ist, ob Datensicherung und Archivierung einem Audit standhalten und im Ernstfall zuverlässig funktionieren.

Der 17. Juli 2026 ist der formale Stichtag für die Registrierung betroffener Unternehmen bei BSI und BBK. Für Backup- und Archiv-Verantwortliche ist damit vor allem eine Frage verbunden: Erfüllt die vorhandene Infrastruktur die NIS-2-Anforderungen an Wiederherstellbarkeit, Integrität und Manipulationsschutz nachweisbar? Wer diese Prüfung noch nicht abgeschlossen hat, sollte sie nicht auf den nächsten Budget-Zyklus verschieben. Die Registrierung ist die Formalie. Entscheidend ist, ob Datensicherung und Archivierung einem Audit und einem Angriff standhalten.

Der entscheidende Unterschied zur alten Rechtslage liegt im Geltungsbereich. NIS-2 betrifft nicht mehr nur klassische KRITIS-Betreiber. Erfasst sind jetzt mittlere und große Unternehmen aus deutlich mehr Sektoren, und über die Lieferkette geraten auch kleinere Zulieferer in den Wirkungsbereich. Die Geschäftsleitung haftet persönlich. Eine Schonfrist, in der man die Pflichten erst einmal auf sich zukommen lässt, gibt es nicht.

Ein typisches Beispiel

Ein mittelständischer Fertigungsbetrieb liefert an einen Energieversorger. Er selbst hat sich bisher nicht als reguliert verstanden. Mit NIS-2 verlangt sein Kunde im Rahmen der Lieferkettensicherheit jetzt einen Nachweis über funktionierende Backup- und Wiederanlaufprozesse. Aus der abstrakten Richtlinie wird damit eine sehr konkrete Anforderung im Vertrag, oft mit kurzer Frist.

Auf dem Spiel steht mehr als ein Eintrag in einem Register. NIS-2 verschärft die Aufsicht, sieht empfindliche Bußgelder vor und nimmt die Geschäftsleitung ausdrücklich in die Pflicht. Hinzu kommt das wirtschaftliche Risiko: Wer einen großen Kunden verliert, weil er dessen Lieferketten-Nachweis nicht erbringt, spürt das schneller als jede Behörde. Und der Ernstfall, gegen den die ganze Regulierung zielt, hält sich ohnehin nicht an Fristen.

Was NIS-2 konkret von Ihrer Datensicherung verlangt

NIS-2 fordert ein angemessenes Risikomanagement und die Aufrechterhaltung des Betriebs auch im Krisenfall, ausdrücklich inklusive Backup-Management und Wiederherstellung nach einem Sicherheitsvorfall. Im Klartext: Es reicht nicht, dass Sie Daten sichern. Sie müssen nachweisen können, dass sich Ihre Systeme nach einem Ransomware-Angriff verlässlich und in vertretbarer Zeit wiederherstellen lassen, und dass Ihre Sicherungen nicht selbst manipuliert werden können.

Genau hier scheitern viele Konzepte im Ernstfall. Moderne Ransomware-Gruppen sind Wochen vor der Verschlüsselung im Netz, suchen gezielt die Backups und deaktivieren deren Schutz. Snapshots, als unveränderlich deklarierte Volumes und Cloud-Tiering helfen nur, solange der Angreifer keinen privilegierten Zugang hat. Hat er die Domäne übernommen, hebt er Software-Sperren auf und verschlüsselt die Sicherung gleich mit. Eine Datensicherung, die im selben Netz erreichbar ist wie die Produktivdaten, ist im Audit wie im Angriff die Schwachstelle.

Der Prüfstein ist die Wiederherstellung, nicht das Häkchen in der Policy

Was NIS-2 strukturell verlangt, lässt sich nur mit einer Sicherung erfüllen, die ein Angreifer technisch nicht erreichen kann: ein physischer Air-Gap. Das Silent Brick System erzeugt genau das, also eine Offline-Kopie, die vollständig vom Netzwerk getrennt ist. Der Silent Brick Pro ist wie eine Kassette aus dem Controller X entnehmbar, die Reaktivierung erfordert immer einen physischen Eingriff. Der Silent Brick Max Air trennt galvanisch und vollautomatisch: Zwei Einheiten rotieren in festem Rhythmus, eine ist immer offline, ganz ohne täglichen Medienwechsel.

Das System arbeitet mit Ihrer vorhandenen Backup-Software zusammen, ob Veeam, Commvault, Acronis oder andere. Kein Software-Wechsel, keine neue Lizenz, kein Integrationsprojekt, das die Frist sprengt. Der Restore erfolgt mit wahlfreiem Zugriff und ist damit deutlich schneller als von Band. Das wird relevant, wenn Sie eine vertretbare Wiederanlaufzeit nicht nur behaupten, sondern belegen müssen.

Unveränderlichkeit, die ein Prüfer akzeptiert

Wo es um die revisionssichere Aufbewahrung geht, etwa von Protokollen, Nachweisen und geschäftskritischen Dokumenten, speichert Silent Cubes mit Hardware-WORM. Einmal abgelegte Daten sind auf Hardware-Ebene unveränderlich, nicht per Richtlinie. Kein Administrator, kein Angreifer und keine Ransomware kann das aufheben. Das ist der Unterschied zwischen einer Aufbewahrungsrichtlinie und einer baulich garantierten Unveränderlichkeit. Genau diesen Nachweis verlangt eine Prüfung. Die Anbindung erfolgt über NFS oder SMB, kompatibel mit gängigen Archiv-, ERP- und Dokumentenmanagementsystemen.

Planbar und aus Deutschland

NIS-2 und Datensouveränität gehören zusammen. On-Premises heißt: Ihre Sicherungen bleiben im eigenen Haus, ohne Abhängigkeit von Anbieterentscheidungen, ohne Preisanpassungen Dritter und ohne Zugriff ausländischer Behörden auf Basis des US CLOUD Act.

FAST LTA ist ein deutsches Unternehmen mit Entwicklung, Fertigung, Support und Vertrieb in München. Die lokale Produktion sichert die Verfügbarkeit unabhängig von globalen Lieferketten. Die Systeme sind Investitionsgüter mit planbaren Kosten statt mitwachsender Cloud-Rechnung, CARE-Wartungsverträge sichern Support und Updates für drei, fünf oder zehn Jahre zu festen Konditionen.

Bis zum 17. Juli: drei Schritte, die jetzt zählen:

1. Betroffenheit klären. Prüfen Sie, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung gilt, direkt oder als Zulieferer. Bis 17. Juli ist die Registrierung bei BSI und BBK fällig.
2. Backup gegen den Ernstfall testen. Lässt sich nach einem simulierten Ransomware-Vorfall alles Geschäftskritische wiederherstellen? Ist mindestens eine Kopie physisch vom Netz getrennt und unveränderlich?
3. Lücken sofort schließen. Wo Air Gap oder garantierte Unveränderlichkeit fehlen, ist eine fertige Appliance der schnellste Weg, betriebsbereit in Tagen statt Monaten, ohne Wechsel Ihrer Backup-Software.

Die Frist verschiebt sich nicht. Wer jetzt prüft, geht in den Sommer mit einer Datensicherung, die einem Audit und einem Angriff standhält. Sprechen Sie mit uns: kurz, konkret, ohne Projekt-Overhead.