Die NIS2-Richtlinie der Europäischen Union ist ein Meilenstein für die Cybersicherheit im Binnenmarkt. Sie verpflichtet deutlich mehr Unternehmen als ihre Vorgängerrichtlinie NIS1 zu robusten technischen und organisatorischen Maßnahmen, verkürzt die Meldefristen für Sicherheitsvorfälle und erhöht die persönliche Haftung des Managements. Dabei richtet sich der Blick längst nicht mehr nur auf Energie-, Verkehrsoder Finanzunternehmen. Auch digitale Dienstleister – von Cloud-Providern über Rechenzentrums- bis zu Managed-Services-Anbietern – müssen künftig nachweisen, dass ihre Datenhaltung die Grundprinzipien Integrität, Verfügbarkeit und Vertraulichkeit erfüllt. Wer dies ignoriert, riskiert Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Gleichzeitig bietet die Richtlinie die Chance, veraltete Speicher- und Archivierungsinfrastrukturen auf den neuesten Stand zu bringen.
Wesentliche Neuerungen des Referentenentwurfs vom 23. Juni 2025
Aktuell arbeitet Deutschland am „NIS2-Umsetzungs- und
Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG). Ein geleakter Referentenentwurf
vom 23. Juni 2025 (Quelle: AG KRITIS), der zwischen dem Bundesministerium des Innern
(BMI), dem Bundeskanzleramt (BKAmt) und dem Bundesministerium der Finanzen (BMF)
abgestimmt wird, bringt zusätzliche Klarheit:
- Geltungsbereich präzisiert (§ 28 Abs. 3): – Nebentätigkeiten, die im Verhältnis zur
Gesamtgeschäftstätigkeit vernachlässigbar sind, können unberücksichtigt
bleiben – das verhindert Überregulierung. - Weniger Verbandsbeteiligung (§ 56 Abs. 4 und 5): Die Pflicht zur Anhörung von
Wissenschaft und Branchenverbänden bei der Festlegung kritischer Dienste bzw.
erheblicher Sicherheitsvorfälle entfällt. - Schärfere Definition „erheblicher Sicherheitsvorfall“ (§ 2 Nr. 11): Ein Vorfall ist
erheblich, sobald er den Betrieb kritischer Dienste stört, hohe finanzielle Verluste
verursachen kann oder andere Personen materiell bzw. immateriell schädigt. - Gestärkte Rolle des BSI (Bundesamt für Sicherheit in der Informationstechnik) (§
5c): Eine Einvernehmensregelung mit der Bundesnetzagentur (BNetzA) gibt dem
BSI mehr Einfluss auf IT-Sicherheitsanforderungen im Energiesektor. - IT-Grundschutz erhält Gesetzesrang (§ 44): Die Methodik gilt künftig verbindlich
für alle Einrichtungen der Bundesverwaltung und nicht mehr nur für Ministerien
und das Kanzleramt. - Diese Punkte zeigen: Der Gesetzgeber will Doppelregulierungen vermeiden und stärkt
zugleich das BSI als zentrale Cybersicherheitsbehörde.
Bedeutung für Datenspeicherung und -archivierung
Betreiber kritischer Anlagen (§ 32) müssen zu jedem erheblichen Sicherheitsvorfall
detaillierte Angaben zu den betroffenen Speichersystemen, Diensten und den Auswirkungen liefern. Dies erfordert eine transparente Datenklassifizierung, lückenlose Protokollierung und manipulationssichere Speicherformate. Write-Once-Read-Many- Medien (WORM) und unveränderliche Cloud-Buckets entwickeln sich damit vom „Niceto- have“ zum regulatorischen Muss. Wer nicht nachweisen kann, wann und wie eine Information erstellt, verändert oder gelöscht wurde, läuft Gefahr, Meldefristen zu verpassen und Haftungsrisiken ausgesetzt zu sein.
Compliance-Anforderungen im Detail:
- Governance: Einführung bzw. Erweiterung eines Informationssicherheits-
Management-Systems (ISMS) nach ISO 27001 oder – für Bundesstellen
verpflichtend – IT-Grundschutz. - Technik: Immutable Backups, Multi-Region-Replikation und End-to-End-
Verschlüsselung gelten als Stand der Technik für Speicher- und
Archivierungsumgebungen. - Prozesse: Meldung erheblicher Vorfälle an das BSI binnen 24 Stunden
(Initialmeldung) und binnen 72 Stunden (Detailbericht), inklusive Speicher- und
Archivierungsartefakte. - Dokumentation: Audit-Trails müssen zehn Jahre nachweisbar bleiben –
unabhängig davon, ob Daten in der Cloud oder On-Premises liegen.
Praktische Empfehlungen
Eine WORM-Archivierung in Kombination mit Zero-Trust-Zugriskontrollen verhindert
das nachträgliche Löschen oder Manipulieren von Log- und Geschäftsdaten. Ergänzend
dazu begrenzen Air-Gap-Backups die Auswirkungen von Ransomware-Angrien
drastisch. Automatisierte Compliance-Reports und Managed Storage-Konzepte
reduzieren schließlich den personellen Aufwand erheblich und liefern auf Knopfdruck
revisionssichere Nachweise.
Aktueller Gesetzgebungsstand in Deutschland
Nach der Sommerpause 2025 soll das Bundeskabinett den Entwurf beraten, der
anschließend im vierten Quartal 2025 vom Bundestag verabschiedet werden könnte.
Unternehmen sind gut beraten, die Leitplanken aus dem Juni-Entwurf bereits jetzt in ihre
Roadmaps einzuplanen, denn Erfahrungen aus NIS1 zeigen, dass wesentliche
Kernpflichten oft unverändert im finalen Gesetz landen.
Zukunft der Cybersicherheit in Europa
Die EU-Kommission signalisiert, dass der Regulierungszyklus mit NIS2 nicht endet. Eine
mögliche NIS3-Agenda könnte verpflichtende Supply-Chain-Audits und zertifizierte Software-Komponenten vorsehen. Unternehmen benötigen daher agile Sicherheitsplattformen, die neue Anforderungen per Policy-Update abbilden können. Moderne Objektspeicher-Architekturen mit automatisierten Compliance-Kontrollen erleichtern diesen Übergang.
Kosten-Nutzen-Perspektive
Erste Studien schätzen die Kosten für die Umsetzung auf bis zu 0,5 Prozent des
Jahresumsatzes. Laut ENISA (Europäische Agentur für Cybersicherheit) sinken
gleichzeitig die durchschnittlichen Kosten pro Sicherheitsvorfall bei NIS2-konformen
Betrieben um rund 40 Prozent. Hinzu kommen beschleunigte Vertragsverhandlungen, da
Kunden NIS2-Compliance explizit in ihre Lieferketten integrieren.
Fazit
Die NIS2-Richtlinie und der aktuelle Referentenentwurf verschärfen die Anforderungen,
belohnen jedoch eine frühe Anpassung. Technologien wie WORM-Archivierung,
Immutable Backups und Zero-Trust-Architekturen sind keine Kür mehr, sondern Pflicht.
Unternehmen, die jetzt handeln, schützen nicht nur ihre kritischen Informationen,
sondern erzielen auch einen nachhaltigen Wettbewerbsvorteil in der digitalen
Wirtschaft.
Hier können Sie das kostenlose Whitepaper „NIS2-Compliance: Strategien und Best Practices zur Datenspeicherung und -archivierung“, bereitgestellt von den Archivierungsspezialisten der iTernity GmbH, inklusive praktischer Checkliste herunterladen
