Viele Unternehmen fragen sich: Betrifft uns NIS-2? Thomas Sandner von Veeam erklärt, was die neue Richtlinie bedeutet – und was Firmen jetzt beachten sollten.
Die neuen NIS-2-Richtlinien verlangen Unternehmen viel Organisation und Planung ab. Daher ist es ratsam, sich ausgiebig zu informieren, ob man vom neuen Gesetz betroffen ist.
(Bild: Sanja - stock.adobe.com)
Um die Cyber-Sicherheit in Europa zu stärken, soll die NIS-2-Richtlinie (The Network and Information Security (NIS) Directive) helfen, den Umgang mit Cyber-Angriffen und mit deren Auswirkungen zu verbessern. Doch bei der Planung und der Umsetzung gibt es Schwierigkeiten. Der erste Entwurf der NIS-2-Richtlinie wurde 2023 vorgestellt. Ursprünglich war geplant, das Gesetz bis Oktober 2024 in Kraft zu setzen. Doch die Vorlaufzeit war zu knapp bemessen, sodass die Umsetzung nun auf das Frühjahr 2025 verschoben wurde.
Thomas Sandner, Senior Director Technical Sales EMEA Central bei Veeam Software, sagte in einem Gespräche mit Storage-Insider: „Das war einer der Kritikpunkte: Es gibt keine Übergangsfrist.“ Und zwar gebe es „nicht, wie damals bei der Einführung der DSGVO (Datenschutz-Grundverordnung) im Jahr 2018 eine Übergangsfrist“, erklärte Sandner. Die Datenschutz-Grundverordnung trat 2016 in Kraft und war ab 2018 verbindlich anzuwenden. Somit betrug die Übergangsfrist zwei Jahre. Die NIS-2 und die DSGVO ähneln sich darin, dass die Frage, wie man Datenverlust oder -missbrauch verhindert, im Vordergrund steht. Bei der DSGVO steht der Schutz personenbezogener Daten im Zentrum und bei der NIS-Verordnung die Sicherheit kritischer Infrastrukturen und Dienstleister.
Wer ist von der NIS2-Richtlinie betroffen?
Für welche Unternehmen das Gesetz relevant ist, sorgt für große Verunsicherung. Betroffen sind Unternehmen, die kritische Infrastrukturen und Dienstleistungen anbieten. Auf der Webseite des BSI (Bundesamt für Sicherheit der Informationstechnik) können Unternehmer zwar anhand eines sogenannten Entscheidungsbaums und einer NIS-2-Betroffenheitsprüfung feststellen, ob das Unternehmen von dem neuen Gesetz betroffen ist. Doch Sandner spricht bei Online-Veranstaltungen zum Thema NIS-2 und stellt eine Verunsicherung seitens der Teilnehmer fest: „Wenn ich Webinare zum Thema NIS-2 halte, dann beziehen sich gefühlt 80 Prozent der Fragen darauf, ob ein Unternehmen unter NIS-2 fällt oder nicht.“ Das hänge auch damit zusammen, dass auch verbundene Organisationen, Partner und/oder Lieferketten unter die Richtlinie fielen, sich also ebenso an das neue Gesetz halten müssten.
Welche konkreten Schritte müssen Unternehmen in die Wege leiten, um NIS-2-konform zu handeln?
Der Gesetzesentwurf umfasst drei Punkte: die obligatorische Registrierung beim BSI, die Meldung aller Sicherheitsvorfälle innerhalb von 24 Stunden und ein genaues Maßnahmen-Design.
Die Registrierung beim BSI stelle Unternehmen bereits vor ein Problem, denn „es kann sein, dass man Unternehmensteile in anderen EU-Staaten hat“. Als Beispiel nannte Sandner den Fall, dass die Konzernmutter in Deutschland sitzt und keine kritischen Dienstleistungen oder Infrastrukturen nach den NIS-2-Kriterien anbietet, wohingegen die Tochtergesellschaft in Spanien eine solche Dienstleistung oder Infrastruktur bietet. Dann stehe der Konzern vor der Frage, ob er sich beim spanischen Pendant zum BSI registrieren müsse.
Die Meldepflicht im Falle eines Cyber-Vorfalls im Überblick.
(Bild: Veeam Software)
Auch die Meldung von Vorfällen innerhalb von 24 Stunden stellt Unternehmen vor eine Herausforderung. Der Experte von Veeam Software erläuterte, dass sich „die Angreifer ganz bewusst Wochenenden und Feiertage aussuchen, da sie davon ausgehen, dass sie dann nicht so schnell entdeckt werden und sich länger ausbreiten können“. Daher sei es notwendig, dass Unternehmen entsprechende Vorsorgemaßnahmen ergriffen. Security-Information-and-Event-Management-Systeme (kurz: SIEM) und der Bereitschaftsdienst eines IT-Mitarbeiters seien hier entscheidende Maßnahmen. Denn die Vorfälle sollten so schnell wie möglich erkannt werden, um sie dann melden zu können. Die Meldung muss an das BSI, die Kunden, die Lieferanten und die Öffentlichkeit erfolgen. Innerhalb von 72 Stunden muss eine Zweitmeldung erfolgen, die ein Update und eine Bewertung des Vorfalls beinhaltet. Die Abschlussmeldung muss das Unternehmen innerhalb eines Monats an das BSI übermitteln.
Inhalt dieser Abschlussmeldung: eine ausführliche Beschreibung des Vorfalls, die den Schweregrad, die Ursache und die getroffenen Maßnahmen umfasst. Sandner gab zu bedenken, dass „je nachdem, wie groß das Unternehmen ist, wie komplex die IT ist, es sein kann, dass ich nach einem Monat keine Abschlussmeldung tätigen kann“. Doch er betonte auch, dass das Ziel der Behörden darin bestehe, dass „man mit ihnen im Austausch steht“.
Welche Risikomanagementmaßnahmen sind laut der NIS-2-Richtlinie zu treffen? Hier eine Übersicht der Empfehlungen von Veeam.
(Bild: Veeam Software)
Diese Standards legen wichtige Grundprinzipien für Sicherheit, Dokumentation und allgemeine Meldepflichten fest. Um jedoch vollständig NIS-2-konform zu sein, müssen Unternehmen zusätzlich spezifische NIS-2-Meldewege und -prozesse etablieren, die die zeitnahe Kommunikation und das Meldewesen bei sicherheitsrelevanten Vorfällen sicherstellen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Bedeutung des Backups bei Daten
Im Falle eines Cyber-Angriffes, beispielsweise durch eine Ransomware, ist ein Backup entscheidend. Sandner betonte, dass auch für den Fall, dass Unternehmen einer Lösegeldforderung im Zusammenhang mit einem Ransomware-Angriff nachkämen, keine Garantie bestehe, dass die Daten wiederherstellbar seien. Das Problem bei den Backups liege oft darin, dass sie nicht ausreichend vor Ransomware-Angriffen geschützt seien, so Sandner. Denn „oft hängen Backup- und Produktivsysteme in derselben Domäne,“ betonte er. „Fällt die Domäne, ist auch das Backup-System betroffen.“ Da die Backups ein beliebtes Angriffsziel sind, ist laut Sandner entscheidend, dass die Backups immutable, also unveränderlich, sind.
Sandner sagte, dass Angreifer oft Wochen oder Monate unentdeckt im System agierten und Hintertüren einbauten. Gute Datensicherungslösungen bieten daher Schnittstellen, um Backups nach Indicators of Compromise (IoC) zu durchsuchen. „Es gibt keinen magischen Knopf, der alles Schad-Software-frei zurücksetzt,“ erklärte Sandner und betonte die Rolle der IT-Forensik.
„Das einfachste ist der Klassiker: Man hat eine Kopie auf Band, und man legt die in den Tresor“, eräuterte Sandner. Doch Tape-Systeme erfordern einen hohen Verwaltungsaufwand, da die Bänder regelmäßig entnommen werden müssen, um offline und vor Angriffen geschützt zu bleiben. Alternativ gibt es mittlerweile bequemere Lösungen wie Storage-Systeme mit Immutability-Funktion, die Daten nach dem Schreiben unveränderlich machen.
Sandner verweist auch auf die Veeam-Strategie des Hardened Repositorys: Dabei handelt es sich um „einen Linux-Server, der so weit abgeschottet wird, dass ich, um ein Update einzuspielen, physisch an den Rechner gehen und mich über die Konsole einloggen muss“. Dieser Server ist so konfiguriert, dass Änderungen nur lokal am Gerät durchgeführt werden können. Das ermöglicht einen großen Schutz der Daten – es handelt sich hierbei um eine Art „logical Air-Gap“. Als Lösung gibt es bei Veeam auch die „Veeam Data Cloud Vault“. Hierbei handelt es sich um einen sicheren Cloud-Speicher, der vor Ransomware geschützt ist.
Vor welchen technischen und organisatorischen Hürden stehen Unternehmen?
Sandner geht davon aus, dass die größte Hürde in Unternehmen nicht in der technischen Umsetzung liege. Denn klar ist: „Es gibt keine magische Software, durch die man die ganzen Risiken und Probleme einfangen kann“, erläuterte er. Wichtig sei es, dass die IT-Sicherheit in den Unternehmen gelebt werde. Denn gerade Phishing E-Mails stellen laut Sandner eine große Gefahr für die Sicherheit dar. Es müsse über alle Abteilung hinweg ein Bewusstsein aufgebaut werden, dass Cyber-Angriffe über Links in E-Mails durchgeführt würden: Das kurze Öffnen des Links könne dazu führen, dass ein Trojaner heruntergeladen werde. Bei Veeam werde die Aufklärung gamifiziert, so Sandner. „Wir bei Veeam leben Cybersecurity. Wir haben unter anderem simulierte Phishing-Attacken. Durch ,Gamification‘ hat man die Chancen, Preise zu gewinnen, wenn man solche E-Mails erfolgreich erkennt und meldet.“ Seiner Meinung nach müsse „IT-Sicherheit in den Unternehmen gelebt werden“ – und das über alle Abteilungen hinweg.
Aktuelles eBook
Storage-Security – wie sichern Unternehmen ihre Daten ab?
eBook „Storage-Security“
(Bild: Storage-Insider)
Sich mit der Sicherheit von Storage-Systemen zu beschäftigen, ist heute notwendiger denn je. Neun von zehn Unternehmen wurden bereits mit Ransomware angegriffen. Einen Überblick über Schutzmaßnahmen und -technologien bietet dieses eBook.
:quality(80)/p7i.vogel.de/wcms/b5/ad/b5ade2e50671d986cabb091cc33de39f/0127234511v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2d/69/2d69b27f3f8f5f290f7ae2b3d9123b1b/0127206601v1.jpeg "Storage-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/94/d2/94d28e3faac411c22b54d80ea354d2e3/0124559320v1.jpeg "Die digitale Souveränität Europas ist spätestens seit der Wiederwahl von Donald aktueller denn je. (Bild: erstellt durch iTernity GmbH mit Canva)")
:quality(80)/p7i.vogel.de/wcms/ca/b3/cab330ef06324344f47f1715af71ffb8/0121296602v1.jpeg "Das sind die Gewinner der Storage-Insider Readers' Choice Awards 2024. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/c3/22/c32200a1b5fedc6991e9c57ec9d99883/0128183844v1.jpeg "Die lizenzfreie Datensicherungslösung NetBak PC Agent erfasst Dateien, Ordner und komplette Rechnerabbilder. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2e/66/2e663ffafe56d3cf9aec665b141d23b9/0128869154v1.jpeg "ADN stärkt das Angebot für Backup-Resilienz mit der Ransomeware-Schutzlösung Blocky for Veeam von Grau Data. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ca/0d/ca0da056751c0928e17e875a189fbbd2/0128593304v2.jpeg "Windows Backup for Organizations sichert Einstellungen und Store-Apps Cloud-basiert und bietet die Wiederherstellung bereits im OOBE an. Es ersetzt jedoch kein klassisches Backup. (Bild: © Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ff/ae/ffae79505e2061f78496f5d81f0e5d9b/0129173380v1.jpeg "Carsten Graf, Vice President Sales EMEA bei Cloudian: „Die Speicherinfrastruktur wird für den Erfolg von KI-Projekten entscheidend sein.“ (Bild: Cloudian)")
:quality(80)/p7i.vogel.de/wcms/c6/3b/c63b94b4206c2adaca3e0f2190df67bf/0128954806v1.jpeg "Das portable Tool Clear Disk Info hilft bei der Prüfung von Datenträgern auf PCs und Servern. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a868f9defd2dfc1073ca9ab1aab657/0128019671v1.jpeg "Mit Hilfe von Access-Transparency lassen sich Zugriffe auf Daten nachvollziehen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b2/08/b208ad5fa70e97c32e4eadb028d3e32c/0129096430v1.jpeg "Die Kombination von MongoDB und Voyage AI soll Komplexität und Latenzzeiten beim Produktiveinsatz von KI-Applikationen verringern. (Bild: MongoDB)")
:quality(80)/p7i.vogel.de/wcms/39/80/3980c9237327a6873b114959e09715b9/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/ba/72baf93990834223ddfb97f1bc9b0e4c/0128638512v1.jpeg "Eine erste KI-Euphorie bei deutschen Unternehmen ist verflogen, nun geht es mit Fokus auf Sicherheit, Kontrolle und Datensouveränität an die Umsetzung. (Bild: GPT-Image / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9e/c3/9ec334dbf3696ef4bf61184f8404df74/0128976654v1.jpeg "Acronis Archival Storage ermöglicht MSPs die langfristige Speicherung und Verwaltung selten abgerufener Daten. (Bild: Acronis)")
:quality(80)/p7i.vogel.de/wcms/7a/9f/7a9f3b18cdb823c15080ca2c26512328/0129097007v1.jpeg "MailStore 26.1 ist ab sofort für MailStore Server, MailStore SPE, MailStore Home und MailStore Cloud verfügbar. (Bild: MailStore)")
:quality(80)/p7i.vogel.de/wcms/c5/35/c5358a2cf971e90b1d98ce0e98310fac/0127947160v1.jpeg "Mit der Einführung des TL-R6020Sep-RP will QNAP sein Engagement unterstreichen, Unternehmen in Europa mit skalierbaren und energieeffizienten Speicherlösungen auszustatten. (Bild: © Nicholas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f8/fa/f8fa89663df5bb1651a96992320c3aa7/0128787673v1.jpeg "Die Go-Bindings von go-systemd laufen unter Linux, macOS und Windows. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2b/de/2bde191234007e59b423fd02e88372b2/0129123282v1.jpeg "„Daten am Netzwerkrand bringen durchaus auch Vorteile“, stellt Tobias Pföhler von StorMagic fest. Voraussetzung hierfür sei jedoch der Einsatz moderner Technologien, wie etwa hyperkonvergenter Infrastrukturen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/76/56/765658635ea06f59c39496f524115953/0128407436v1.jpeg "Magischer Hammer: Die Data Platform von Hammerspace schafft einen gemeinsamen Datenraum für File- und Objektdaten, der auch den NVMe-Speicher von GPU-Servern einschließt. Das soll für die bessere Auslastung der GPUs sorgen. (Bild: © Abul - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/de/93/de930dc1200640248353d363ba39ffb2/0128016156v1.jpeg "Distributed Metadata-Management verbessert im Vergleich zu einem zentralisierten Ansatz die Skalierbarkeit, Verfügbarkeit und Leistungsfähigkeit der Metadatenverwaltung. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1a/d0/1ad01f5d7d966c68b9f793b03263e88a/0128871045v1.jpeg "Das „U“ bei der Steckverbindung U.2 steht für „Universal“, da neben Anschlüssen für die Anbindung klassischer SAS- und SATA-Laufwerke ebenso zusätzliche Pins für die Nutzung von vier PCI-Express-Lanes bereitstehen. (Bild: SNIA / Intel)")
:quality(80)/p7i.vogel.de/wcms/32/a6/32a6e74f81cc974aad14a68d317f2531/0128847427v1.jpeg "Der Industriestandard CIFS ermöglicht das Öffnen lokal gespeicherter Dateien von entfernten Computern. (Bild: Midjourney / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1552300/1552323/original.jpg "Cloud-Speicher für Einsteiger – Microsoft OneDrive zusammen mit macOS und iOS nutzen. (©georgejmclittle - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1644500/1644561/original.jpg "Online-Speicher bei Web.de und GMX: So funktioniert die Verwaltung. (© stokkete - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1641800/1641842/original.jpg "All-Flash-Arrays versprechen unschlagbar niedrige Latenzen. (© pozdeevvs - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/24/80/248067fc76a2f18753f65b660f5b0364/0119826741v2.jpeg "Chefredakteur Dr. Jürgen Ehneß befragt in der neuen „Speicherhungrig“-Folge Thomas Sandner von Veeam Software. Dabei geht es nicht zuletzt auch um die private Seite des bekannten Backup-Experten. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/eb/14/eb142d8801d31055ac359f0adcbda5b4/0118115815.jpeg "Der Datensicherungsanbieter Veeam übernimmt Coveware. (Bild: KI-generiert/Copilot)")
:quality(80)/p7i.vogel.de/wcms/31/b7/31b7272d19fb7bacc0de2cb90ddb45d5/0125401303v2.jpeg "Die NIS-2-Richtlinie sollte zwar eigentlich schon letztes Jahr in deutsches Recht umgesetzt werden, aber egal, wann sie kommt, sie ist ein großer Fortschritt für die Cybersicherheit in Europa. (Bild: © Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/1c/6d1c24bf2907abcdc440ed652da6c205/0126874513v1.jpeg "Unter anderem soll die neue Version 13 der Veeam Software Appliance ein schnelles Disaster Recovery direkt aus Cloud-Backups ermöglichen. (Bild: Midjourney / KI-generiert)")