Backup-Nachweis für NIS2: was Auditoren sehen wollen

NIS2 macht Backup-Management zur Pflicht - und verlangt Nachweise. So belegst du lückenlose Backup-Überwachung, ohne eine einzige Folie mehr zu bauen.

Mit NIS2 weitet die EU die Cybersecurity-Pflichten auf zehntausende Unternehmen aus - von Energie und Gesundheit über Logistik bis zu IT-Dienstleistern. Wer betroffen ist, muss Risikomanagement-Maßnahmen umsetzen und sie gegenüber Aufsicht und Auditoren belegen können.

Backups stehen dabei ausdrücklich im Text: Artikel 21 der Richtlinie nennt Backup-Management und Wiederherstellung als Teil der geforderten Maßnahmen zur Betriebskontinuität. Backups zu haben reicht nicht - du musst zeigen können, dass sie laufen, überwacht werden und Ausfälle auffallen.

Kostenlose Demo starten Was NIS2 verlangt

Was NIS2 konkret zu Backups verlangt

Die Richtlinie (EU) 2022/2555 verpflichtet „wesentliche“ und „wichtige“ Einrichtungen zu Risikomanagement-Maßnahmen nach Stand der Technik. Für Backups sind vier Punkte relevant:

  • Betriebskontinuität: Backup-Management, Disaster Recovery und Krisenmanagement (Art. 21 Abs. 2 lit. c)
  • Wirksamkeitskontrolle: Konzepte und Verfahren, um zu bewerten, ob die Maßnahmen tatsächlich wirken (Art. 21 Abs. 2 lit. f)
  • Lieferkette: Sicherheit der Lieferantenbeziehungen - dein MSP bzw. IT-Dienstleister wird Teil der Compliance deiner Kunden (Art. 21 Abs. 2 lit. d)
  • Management-Verantwortung: Die Geschäftsleitung muss die Maßnahmen billigen und überwachen - und kann dafür haften (Art. 20)

Die nationale Umsetzung (in Deutschland das NIS2-Umsetzungsgesetz, in Österreich das NISG) konkretisiert Aufsicht und Nachweispflichten im Detail.

Was Auditoren sehen wollen

Auditoren und Aufsichtsbehörden fragen selten nach Folien. Sie wollen Belege, dass Backup-Überwachung gelebt wird:

  • Eine aktuelle Übersicht aller Systeme und Backup-Jobs - inklusive Status
  • Den Beleg, dass Fehlschläge auffallen: Alarmierung bei fehlgeschlagenen Backups
  • Den Beleg, dass auch ausbleibende Backups auffallen - ein Job, der gar nicht mehr läuft, ist der gefährlichste
  • Historie: Wie liefen die Backups in den letzten Monaten? Gab es Lücken, und wie wurde reagiert?
  • Dokumentation pro Kunde bzw. System - gerade für IT-Dienstleister, die Nachweise an betroffene Kunden liefern

So lieferst du den Nachweis mit BackupMonitor

Lückenlose Überwachung

Alle Backup-Status-Mails laufen zentral zusammen - über alle Produkte, Server und Kunden hinweg.

Missing-Mail-Erkennung

Bleibt eine erwartete Status-Mail aus, gilt das als Fehler. Stillstehende Backups bleiben nicht unbemerkt.

6 Monate Historie

Alle Status-Mails werden sechs Monate aufbewahrt - dein Audit-Nachweis, dass die Überwachung durchgehend lief.

Wöchentliche Reports

Regelmäßige Zusammenfassungen per Mail belegen die laufende Kontrolle - archivierbar für die Compliance-Ablage.

Service-Desk-Alerts

Fehler erzeugen Tickets in deinem Service Desk - der dokumentierte Reaktionsprozess, nach dem Auditoren fragen.

Gruppen pro Kunde

Geräte nach Kunde oder Standort organisieren und Nachweise je Kunde liefern - ideal für MSPs.

So sieht es im Dashboard aus

Screenshot: Backup-Historie und Dashboard in BackupMonitor

Für MSPs: NIS2 betrifft deine Kunden - und dich

Viele MSPs sind doppelt betroffen: Managed Service Provider werden in der Richtlinie ausdrücklich genannt und können selbst unter NIS2 fallen - und betroffene Kunden müssen die Sicherheit ihrer Dienstleister im Rahmen der Lieferketten-Anforderungen bewerten.

Wer seinen Kunden proaktiv einen Backup-Überwachungs-Nachweis liefern kann, beantwortet die NIS2-Fragebögen der Kunden, bevor sie gestellt werden - und macht aus einer Compliance-Pflicht ein Verkaufsargument.

Alle unterstützten Backup-Produkte ansehen

Das gleiche Muster bei Cyber-Versicherungen

Nicht nur Regulierer fragen nach: Cyber-Versicherer machen Backup-Monitoring und dokumentierte Wiederherstellbarkeit zunehmend zur Bedingung für Deckung und Prämie. Die Fragebögen ähneln sich - wer für NIS2 sauber dokumentiert, hat die Antworten für den Versicherer gleich mit.

Häufige Fragen

Macht BackupMonitor mein Unternehmen NIS2-konform?

Nein - NIS2-Compliance umfasst weit mehr als Backups. BackupMonitor deckt einen klar umrissenen Baustein ab: die lückenlose Überwachung und Dokumentation deiner Backups. Welche Pflichten dich treffen, klärst du mit deiner Rechts- bzw. Compliance-Beratung.

Wie lange bewahrt BackupMonitor die Nachweise auf?

Status-Mails werden sechs Monate aufbewahrt. Wöchentliche Report-Mails kannst du zusätzlich dauerhaft archivieren, etwa im Ticketsystem oder in der Dokumentenablage.

Bin ich überhaupt von NIS2 betroffen?

Grob gilt: Unternehmen ab 50 Mitarbeitern oder mehr als 10 Mio. Euro Umsatz in einem der regulierten Sektoren - plus kleinere Unternehmen in kritischen Bereichen. Verbindlich ist die nationale Umsetzung; im Zweifel rechtlich prüfen lassen.

Gilt NIS2 auch für MSPs und IT-Dienstleister?

Managed Service Provider werden in der Richtlinie ausdrücklich genannt und können selbst betroffen sein. Unabhängig davon verlangen betroffene Kunden über die Lieferketten-Anforderungen Nachweise von ihren Dienstleistern.

30 Tage kostenlos testen

Keine Kreditkarte, keine Installation - die Demo endet automatisch.

Kostenlose Demo starten