Über ein Jahr lang war NIS2 ein Thema für Compliance-Konferenzen und Beratungspräsentationen. Das hat sich geändert. In Deutschland ist das NIS2-Umsetzungsgesetz seit dem 6. Dezember 2025 in Kraft. Rund 29'500 Unternehmen müssen seitdem neue Pflichten in der Informationssicherheit erfüllen. Die Registrierungsfrist beim BSI lief am 6. März 2026 ab. Eine Übergangsfrist gibt es nicht.
In Frankreich und den Niederlanden haben die Aufsichtsbehörden mit den ersten Prüfungen begonnen. Belgien hat den 18. April 2026 als erste Enforcement-Deadline gesetzt: Wesentliche Einrichtungen mussten bis dahin dokumentiert nachweisen, dass ihre Cybersicherheitskontrollen stehen. Österreich folgt mit dem NISG 2026, das am 1. Oktober 2026 in Kraft tritt. Stand Mai 2026 haben 21 von 27 EU-Mitgliedstaaten NIS2 in nationales Recht überführt.
Und trotzdem: 84 Prozent der betroffenen Unternehmen sind nach eigener Einschätzung nicht bereit. Das zeigt eine Umfrage von CyberSmart unter 670 Verantwortlichen in acht Ländern vom April 2026.
Die NIS2-Richtlinie verpflichtet Unternehmen in 18 kritischen und wichtigen Sektoren zu verbindlichen Cybersicherheitsmassnahmen. Artikel 21 definiert zehn konkrete Bereiche, darunter Risikomanagement, Vorfallbehandlung, Lieferkettensicherheit und — für diesen Beitrag besonders relevant — Business Continuity mit Backup-Management und Disaster Recovery.
Die Bussgelder sind erheblich. Wesentliche Einrichtungen (Energie, Transport, Gesundheit, Finanzen, Wasser, digitale Infrastruktur) riskieren bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Wichtige Einrichtungen (Post, Abfallwirtschaft, Lebensmittel, Chemie, Fertigung, digitale Anbieter) bis zu 7 Millionen Euro oder 1,4 Prozent. Es gilt jeweils der höhere Betrag.
Neu ist, dass die Geschäftsleitung persönlich haftet. Manager können bei Pflichtverletzungen zur Verantwortung gezogen werden, auch finanziell.
Die Schweiz hat NIS2 nicht in nationales Recht überführt und wird das auch nicht tun. Die Schweiz ist kein EU-Mitglied. Trotzdem erreichen die Anforderungen Schweizer Firmen auf drei Wegen.
EU-Niederlassungen. Wer eine Tochtergesellschaft, Zweigniederlassung oder Betriebsstätte in einem EU-Land betreibt, fällt dort direkt unter das jeweilige nationale NIS2-Gesetz. Ein Schweizer Softwareunternehmen mit einer GmbH in München unterliegt dem deutschen NIS2UmsuCG. Ein Zulieferer mit einer Filiale in Wien dem österreichischen NISG 2026.
Der Lieferketten-Kaskadeneffekt. Artikel 21 verpflichtet NIS2-betroffene Unternehmen, die Sicherheit ihrer gesamten Lieferkette zu gewährleisten. In der Praxis heisst das: Wer an ein deutsches Energieunternehmen oder einen französischen Finanzdienstleister liefert, bekommt die NIS2-Anforderungen vertraglich auferlegt. Nicht als freundliche Empfehlung, sondern als Bedingung für die Geschäftsbeziehung.
Laut der Zerberos-Analyse werden NIS2-konforme Sicherheitsnachweise bei EU-Ausschreibungen bereits standardmässig verlangt. Schweizer KMU, die solche Nachweise nicht erbringen, riskieren den Verlust von Aufträgen.
Das Schweizer Pendant. Die Schweiz hat mit dem revidierten Informationssicherheitsgesetz (ISG) und der Meldepflicht für Cybervorfälle seit April 2025 ein eigenes Regulierungsgerüst aufgebaut. Die Stossrichtung ist dieselbe: dokumentierte Sicherheitsmassnahmen, Meldepflicht bei Vorfällen, Bussen bei Verstössen. Wer sich auf NIS2 vorbereitet, erfüllt damit gleichzeitig einen Grossteil der Schweizer Anforderungen.
Backup-Management und Disaster Recovery stehen explizit in Artikel 21 der NIS2-Richtlinie als verpflichtende Massnahme. Das ist kein Nebensatz. Es ist eine der zehn Kernanforderungen.
Konkret verlangt die Richtlinie, dass Unternehmen ihre wesentlichen Dienste nach einem Vorfall innerhalb angemessener Fristen wiederherstellen können. Was als "angemessen" gilt, muss dokumentiert und regelmässig getestet werden. Wer das nicht nachweisen kann, riskiert im Prüffall ein Verfahren.
Die Compliance-Anforderungen an die Datensicherung lassen sich in sechs Punkten zusammenfassen:
Dokumentierte Backup-Strategie. RTO (Recovery Time Objective) und RPO (Recovery Point Objective) müssen definiert, dokumentiert und von der Geschäftsleitung abgenommen sein. "Wir machen Backups" reicht nicht. Es braucht ein Konzept, das Frequenz, Aufbewahrungsfristen, Verantwortlichkeiten und Wiederherstellungsziele festhält.
Die 3-2-1-1-Regel als Mindeststandard. Drei Kopien der Daten, auf zwei verschiedenen Medientypen, eine davon ausser Haus und mindestens eine unveränderlich oder offline. Die vierte Ziffer (die unveränderliche Kopie) war bisher "Best Practice". Unter NIS2 wird sie zum regulatorischen Mindeststandard.
Verschlüsselung. Backup-Daten müssen während der Übertragung und im Ruhezustand verschlüsselt sein. AES-256 als Mindeststandard, mit einer nachvollziehbaren Schlüsselverwaltung.
Regelmässige Restore-Tests. Der Nachweis, dass Backups funktionieren, erfordert dokumentierte Wiederherstellungstests. Nicht einmal jährlich als Pflichtübung, sondern regelmässig und mit protokollierten Ergebnissen.
Zugangskontrolle. Der Zugriff auf Backup-Systeme muss nach dem Prinzip der minimalen Rechte geregelt sein, mit Mehrfaktor-Authentifizierung und Protokollierung.
Datenstandort. Für viele NIS2-pflichtige Unternehmen gelten Anforderungen an den Speicherort der Backup-Daten. Wer Kundendaten in der EU verarbeitet, muss nachweisen, wo die Sicherungen liegen und unter welcher Rechtsordnung der Backup-Anbieter operiert.
Viele dieser Anforderungen sind für Grossunternehmen mit eigenen Security-Teams nicht neu. Für KMU, die bisher ihre Datensicherung pragmatisch und ohne formale Dokumentation betrieben haben, ist der Sprung grösser.
Der entscheidende Punkt: Es reicht nicht mehr, ein Backup zu haben. Es muss nachweisbar sein. Dokumentiert, getestet, verschlüsselt, mit klaren Verantwortlichkeiten und einer definierten Wiederherstellungszeit. Der Unterschied zwischen "wir sichern unsere Daten" und "wir können belegen, dass wir unsere Daten nach einem Vorfall innerhalb von vier Stunden wiederherstellen" ist genau der Unterschied, den NIS2 einfordert.
Für Schweizer KMU mit EU-Geschäft kommt ein praktischer Aspekt hinzu: Wenn ein EU-Kunde oder -Partner einen Sicherheitsnachweis verlangt, muss das Unternehmen liefern können. Wer dann erst anfängt, seine Backup-Strategie zu dokumentieren, verliert wertvolle Zeit. Wer bereits einen professionellen Backup-Anbieter mit nachvollziehbarer Architektur nutzt, kann die geforderten Nachweise in der Regel schnell zusammenstellen.
Wer noch nicht angefangen hat, sollte mit folgenden Schritten starten:
Betroffenheit klären. Prüfen Sie, ob Ihr Unternehmen direkt oder über die Lieferkette von NIS2 betroffen ist. Haben Sie Kunden oder Partner in der EU, die in einen der 18 regulierten Sektoren fallen? Betreiben Sie eine Niederlassung in einem EU-Land?
Backup-Konzept dokumentieren. Halten Sie schriftlich fest, was gesichert wird, wie oft, wohin, mit welcher Aufbewahrungsfrist und wer verantwortlich ist. Definieren Sie RTO und RPO für Ihre kritischen Systeme.
Restore-Tests durchführen und protokollieren. Führen Sie einen vollständigen Wiederherstellungstest durch und dokumentieren Sie Ablauf, Dauer und Ergebnis. Dieser Nachweis ist im Prüffall Gold wert.
Unveränderlichkeit prüfen. Stellen Sie sicher, dass mindestens eine Backup-Kopie unveränderlich gespeichert ist — also auch mit Admin-Rechten nicht gelöscht oder verändert werden kann.
Anbieter-Dokumentation einfordern. Fragen Sie Ihren Backup-Anbieter nach Zertifizierungen, Datenstandort, Verschlüsselungsverfahren und Compliance-Dokumentation. Ein professioneller Anbieter kann diese Angaben liefern.
Backup ONE erfüllt die Backup-Anforderungen von NIS2 bereits heute. Ihre Daten liegen in unserer georedundanten Swiss Cloud in Zürich und Genf, betrieben in Rechenzentren, die nach ISO 27001 und weiteren Standards zertifiziert sind. Die Verschlüsselung erfolgt mit AES-256 nach dem Zero-Knowledge-Prinzip: Den Schlüssel halten ausschliesslich Sie.
Mit S3 Object Lock bieten wir unveränderlichen Speicher, der Ihre Backup-Daten für eine frei wählbare Aufbewahrungsfrist gegen Löschung und Veränderung schützt. Die Zugangsdaten zu Ihrem Backup sind unabhängig von Ihrer internen IT-Infrastruktur. Restore-Tests können Sie jederzeit durchführen und dokumentieren.
Wenn Ihr EU-Kunde oder -Partner einen Nachweis über Ihre Datensicherung verlangt, liefern wir Ihnen die nötige Dokumentation: Datenstandort Schweiz, Verschlüsselungsstandard, Zertifizierungen, Architektur. Damit können Sie die Backup-Anforderungen in Lieferketten-Audits belegen, ohne selbst eine Compliance-Abteilung aufbauen zu müssen.
NIS2 hat die Phase der Ankündigung verlassen. In Deutschland, Frankreich, Belgien und den Niederlanden laufen Prüfungen und Verfahren. Schweizer Unternehmen mit EU-Geschäft erhalten die Anforderungen über Verträge, Ausschreibungen und Lieferketten-Audits. Wer seine Datensicherung bereits professionell betreibt — dokumentiert, verschlüsselt, getestet und mit unveränderlichem Speicher — hat den wichtigsten Baustein der NIS2-Compliance bereits gelegt.
Sie möchten wissen, ob Ihre Datensicherung NIS2-konform ist? Kontaktieren Sie uns für eine unverbindliche Beratung.
Das sind weitere Beiträge, die Sie interessieren könnten.
Zur Blogübersicht