NIS2 und Business Continuity: Besser redundant vernetzt – NIS2 and business continuity: Better redundant networking

Scanner piepen nicht mehr, Kassen geben keinen Ton von sich, Türen bleiben verriegelt. Was sonst rund um die Uhr läuft, steht bei Edeka im Mai 2024 plötzlich still. In hunderten Filialen bundesweit können weder Kunden einkaufen noch Mitarbeiter auf Systeme zugreifen. Selbst Lieferketten geraten ins Stocken. Schuld ist eine IT-Störung bei einem Dienstleister – verantwortlich für zentrale Systeme im Konzern. Erst am nächsten Tag normalisiert sich der Betrieb. Ein Ausfall, der zeigt, wie sich IT-Probleme auswirken können. Und ein Beispiel dafür, wie verflochten Geschäftsmodelle und IT mittlerweile sind.

NIS2 als Pflicht und Kür: Vorsorgeinstrument Business Continuity Management

Egal ob Cyberangriffe, Extremwetter oder eben Technikpannen: Was früher allein als wirtschaftliches Risiko galt, hat heute eine regulatorische Dimension. Die Europäische Union (EU) hat die Richtlinie für Netzwerk- und Informations-Systeme, kurz NIS2, neu aufgelegt. Zum einen, um die Widerstandsfähigkeit der IT des digitalen Binnenmarktes zu erhöhen. Zum anderen aber auch, um Geschäftsprozesse insgesamt robuster zu machen. Denn im Ernstfall drohen nicht nur hoher Schaden, sondern empfindliche Bußgelder: Maximal sind bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes fällig – je nachdem, welcher Betrag höher ist. Zudem verpflichtet NIS2 auch Leitungsorgane, die Cybersecurity aktiv zu steuern und zu überwachen – persönliche Haftung nicht ausgeschlossen.

NIS2 ist Pflicht und Kür zugleich. Die EU-Richtlinie weitet die Anforderungen auf eine deutlich größere Zahl an Firmen aus – allein in Deutschland sind 30.000 Unternehmen betroffen – und definiert höhere Standards für die IT-Sicherheit. Wer sich bislang also nicht oder nur am Rande mit IT-Vorschriften dieser Art auseinandersetzen musste, wird nun mit hoher Wahrscheinlichkeit von NIS2 betroffen sein. Ein Fakt, der die EU-Richtlinie zum Weckruf macht. Jetzt gilt es, IT-Gefahren präzise abzuwehren – und insbesondere das Business Continuity Management als wirksames Instrument zur Vorsorge zu begreifen, um Schaden abzuwehren. 

Recovery-Strategien entwickeln, testen und dynamisch anpassen

Vom Online-Handel über die Industrie bis hin zur Logistik – wer das eigene Geschäft im Falle des Falles betriebsbereit halten möchte, muss Risiken strukturiert analysieren. Es gilt, Prozesse, Systeme und ihre jeweiligen Abhängigkeiten auf den Prüfstand zu stellen. Welche Funktionen sind kritisch? Wie lange können diese ausfallen, ohne dass substanzieller Schaden entsteht? Und welche Maßnahmen bieten sich an, um Schlimmeres zu verhindern?

Beispielsweise ist eine Backup- und Desaster-Recovery-Strategie genauso notwendig wie Notfallpläne, um Krisenprozesse methodisch zu steuern. Wichtig zudem: Wer seine Wiederherstellungsstrategie entwickelt hat, muss diese regelmäßig testen und aktualisieren. Denn Business Continuity ist kein statisches, sondern dynamisches Konzept, das sich an neue Technologien, Bedrohungslagen und Geschäftsmodelle anpassen können muss.

Netzwerke im Fokus: Kleine Fehler kaskadieren zu großen Problemen

Daten austauschen, Cloud-Dienste nutzen sowie Büros, Fabriken und Standorte verbinden – geht es um mögliche Geschäftsrisiken, spielt Konnektivität eine Schlüsselrolle. So sind Netzwerke in einer durchgängig digitalisierten Lebens- und Arbeitswelt eine zentrale Zutat, die etwa aus Daten und KI erst smarte Services macht.

Reibungslos funktionierende Netze werden jedoch häufig als Selbstverständlichkeit wahrgenommen – vergleichbar mit der Wasser- oder Stromversorgung. Der historische Blackout in Südeuropa Ende April 2025 verdeutlicht in zweifacher Hinsicht, welche Gefahren das birgt. Zum einen mit Blick darauf, wie abhängig Wirtschaft und Gesellschaft von Energie sind, laut Schätzung beträgt der Schaden allein in Spanien rund 4,5 Milliarden Euro. Und zum anderen dahingehend, dass kleine Fehler in vernetzten Systemen rasch zu großen Problemen kaskadieren können. Nicht anders in der IT: Ein durchtrenntes Netzwerkkabel kann als kleine Ursache enorme Wirkung entfalten.

Internetknoten reduzieren Ausfallrisiken: Daten mehrfach abgesichert austauschen

Egal ob Glasfaser, Mobilfunk oder Satellit – wer seine Netzwerke absichern möchte, der setzt auf Redundanz. Unternehmen sind nach NIS2 gut beraten, ihre digitale Infrastruktur mit Rückfalloptionen auszulegen. Heißt praktisch: Konnektivität besser nicht über einen einzigen Provider oder einen einzelnen Standort abzuwickeln, sondern Risiken zu verteilen und Multi-Vendor-Ansätze zu realisieren. Fällt dann ein Anbieter aus, springt der andere ein – und das auch, wenn Dienstleister aus organisatorischen Gründen den Betrieb einstellen wie etwa bei einer Insolvenz.

Wer seine Netze direkt an Internetknoten zusammenschaltet, reduziert Ausfallchancen weiter. Ergänzen Firmen klassische Transitverbindungen über Peering, sind sie weniger abhängig von einzelnen Internetanbietern und sorgen dafür, dass geschäftskritische Dienste bei Störungen verfügbar bleiben. Auch für die Cloud halten Internet Exchanges Lösungen parat, um Kontinuität zu gewährleisten. So schaltet der Cloud ROUTER von DE-CIX unterschiedliche Cloud-Umgebungen zusammen, um Daten direkt, privat und über mehrfach abgesicherte Verbindungen unabhängig von der eigenen physischen Infrastruktur auszutauschen.

Von Bränden über Überschwemmungen bis hin zu Erdrutschen – neben der technischen und organisatorischen Redundanz geht es außerdem darum, zu klären, wo die eigene Infrastruktur physisch verteilt ist. Beispielsweise sollten Rechenzentren und Leitungswege räumlich getrennt angelegt und betrieben werden. Sind IT-Systeme georedundant aufgebaut, kann eine Ressource für die andere einspringen. Beispiel BaFin: Die Finanzaufsicht fordert Mindestabstände für Rechenzentren, um die Business Continuity in der Bankenbranche sicherzustellen.

Risiken strukturiert abwehren

Da digitale Prozesse für die Wertschöpfung immer wichtiger werden, wird auch die Business Continuity immer wichtiger – und das unabhängig von gesetzlichen Vorgaben wie NIS2. Am Ende empfiehlt sich ein umsichtiges und bedachtes Verhalten für jeden Unternehmer, der als verantwortungsvoller Kaufmann die Geschicke seiner Organisation lenkt. Ausfälle lassen sich nie vollständig verhindern, richtig vorbereitet aber strukturiert abwehren und Auswirkungen minimieren. Firmen, die ermitteln möchten, ob NIS2 für sie gilt, können das per Selbsttest auf der BSI-Website herausfinden.

Scanners no longer beep, cash registers are silent, doors remain locked. What usually runs around the clock suddenly came to a standstill at German retail giant Edeka in May 2024. In hundreds of stores nationwide, neither customers were able to shop nor employees to access systems. Even supply chains came to a standstill. The culprit was an IT failure at a service provider responsible for the group’s central systems. Operations only returned to normal the next day. This outage shows how IT problems can have a major impact. It is also an example of how intertwined business models and IT have become.

NIS2 as a requirement and a voluntary exercise : business continuity management as a precautionary measure

Whether cyberattacks, extreme weather, or technical glitches: what used to be considered solely an economic risk now has a regulatory dimension. The European Union (EU) has revised its directive on network and information systems, or NIS2 for short. On the one hand, this is to increase the resilience of IT in the digital single market. On the other hand, it also aims to make business processes more robust overall. In an emergency, not only is there a risk of significant damage, but also heavy fines: a maximum of up to €10 million or 2 percent of global annual turnover is payable, whichever is higher. In addition, NIS2 also obliges management bodies to actively manage and monitor cybersecurity – personal liability is not excluded.

NIS2 is both mandatory and helpful. The EU directive extends the requirements to a significantly larger number of companies – 30,000 companies in Germany alone are affected – and defines higher standards for IT security. So anyone who has not had to deal with IT regulations of this kind before, or only marginally, is now very likely to be affected by NIS2. This fact makes the EU directive a wake-up call. The task now is to precisely ward off IT threats – and, in particular, to understand business continuity management as an effective tool for preventing damage.

Develop, test, and dynamically adapt recovery strategies

From online retail to industry to logistics – anyone who wants to keep their business operational in the event of an emergency must analyze risks in a structured manner. Processes, systems, and their respective dependencies must be put to the test. Which functions are critical? How long can they be down without causing substantial damage? And what measures can be taken to prevent worse things from happening? For example, a backup and disaster recovery strategy is just as necessary as emergency plans for methodically managing crisis processes. It is also important to regularly test and update your recovery strategy once you have developed it. Business continuity is not a static concept, but a dynamic one that must be able to adapt to new technologies, threats, and business models.

Focus on networks: Small errors cascade into big problems

Exchanging data, using cloud services, and connecting offices, factories, and locations—when it comes to potential business risks, connectivity plays a key role. In a fully digitized world of work and life, networks are a central ingredient that turns data and AI into smart services. However, smoothly functioning networks are often taken for granted – comparable to water or electricity supplies. The historic blackout in southern Europe at the end of April 2025 illustrates the dangers this poses in two ways. On the one hand, it highlights how dependent the economy and society are on energy; according to estimates, the damage in Spain alone amounted to around 4.5 billion euros. And secondly, it shows how small errors in networked systems can quickly cascade into major problems. It’s no different in IT: a severed network cable can have an enormous impact as a small cause.

Internet nodes reduce failure risks: exchange data with multiple layers of security

You need redundancy if you want to secure your networks – whether fiber optics, mobile communications, or satellite. According to NIS2, companies are well advised to design their digital infrastructure with fallback options. In practical terms, this means that it is better not to rely on a single provider or location for connectivity, but to spread the risk and implement multi-vendor approaches. If one provider fails, the other steps in – even if service providers cease operations for organizational reasons, such as in the event of insolvency.

Those who connect their networks directly to Internet nodes further reduce the chances of failure. If companies supplement classic transit connections with peering, they are less dependent on individual Internet providers and ensure that business-critical services remain available in the event of disruptions. Internet exchanges also offer solutions for the cloud to ensure continuity. For example, DE-CIX’s Cloud ROUTER connects different cloud environments to exchange data directly, privately, and via multiple secure connections, independently of the company’s own physical infrastructure.

From fires to floods to landslides – in addition to technical and organizational redundancy, it is also important to clarify where your own infrastructure is physically distributed. For example, data centers and cable routes should be spatially separated and operated independently. If IT systems are geographically redundant, one resource can step in for another. Take BaFin, for example: the financial supervisory authority requires minimum distances between data centers to ensure business continuity in the banking industry.

Structured risk prevention

As digital processes become increasingly important for value creation, business continuity is also becoming more important – regardless of legal requirements such as NIS2. Ultimately, prudent and careful behavior is recommended for every entrepreneur who, as a responsible businessperson, steers the fortunes of their organization. Failures can never be completely prevented, but with the right preparation, they can be mitigated in a structured manner and their impact minimized. Companies that want to determine whether NIS2 applies to them can find out by taking a self-test on the BSI website.