Eine exklusive Befragung auf der IT-SA 2025 zeigt: Deutsche Unternehmen unterschätzen die NIS-2-Anforderungen massiv – besonders beim Thema Datenwiederherstellung.
Am 13. November 2025 hat der Bundestag das NIS-2-Umsetzungsgesetz beschlossen, der Bundesrat stimmte am 21. November zu. Damit ist die neue EU-Cybersecurity-Richtlinie nun deutsches Recht. Doch wie gut sind Unternehmen tatsächlich vorbereitet?
Unsere Befragung von 245 Entscheidern auf der IT-SA 2025 liefert ernüchternde Antworten. (Direktlink zur Studie)
Die Kernbefunde: Unwissenheit und Lücken
Wir haben IT-Entscheider, Geschäftsführer und Fachleute direkt am DATA REVERSE-Stand befragt – Menschen, die sich aktiv mit IT-Security beschäftigen. Die Ergebnisse zeigen drei zentrale Probleme:
1. Jedes zweite Unternehmen kennt seine Betroffenheit nicht
- 22% wissen eindeutig, dass sie betroffen sind
- 25% sind sich unsicher
- 53% haben ihre Betroffenheit nie geprüft
Das bedeutet: Mehr als die Hälfte der Unternehmen ignoriert die Frage komplett – obwohl das Gesetz bereits in Kraft ist und etwa 30.000 deutsche Unternehmen betrifft.
2. Bereitschaft für NIS-2: Selbsteinschätzung und Realität klaffen auseinander
Von den 115 Unternehmen, die eindeutig oder wahrscheinlich betroffen sind, halten sich 71% für „NIS-2-ready“. Klingt gut?
Ist es aber nicht.
Die hohe Selbsteinschätzung steht in deutlichem Kontrast zu den konkreten Maßnahmen, die wir in den folgenden Punkten abgefragt haben.
3. Backup-Recovery-Tests: Nur ein Drittel testet regelmäßig
- 33% testen ihre Wiederherstellbarkeit mindestens quartalsweise
- 45% führen Tests nur alle 1–2 Jahre durch oder gar nicht
- 22% wissen nicht einmal, ob solche Tests stattfinden
Immerhin: Im Vergleich zu unserer KMU-Backup-Studie vom März 2025 ist ein leichter Aufwärtstrend erkennbar. Damals testeten nur 28% ihre Backups regelmäßig – jetzt sind es 33%. Ein Plus von 5 Prozentpunkten. Ob das an steigendem Bewusstsein oder der nahenden NIS-2-Umsetzung liegt, bleibt offen.
Klar ist: Wer seine Wiederherstellbarkeit nicht testet, kann nicht behaupten, NIS-2-konform zu sein. Artikel 21 der Richtlinie fordert explizit nachweisbare Business Continuity und Disaster Recovery.
4. Notfallplanung: Nur 30% haben einen vollständigen Plan
Wie steht es um die grundlegende Notfallplanung in den Unternehmen?
- 30,6% haben eine vollständige Notfallplanung
- 34,7% befinden sich in der Erarbeitung
- 27,8% haben keinen Notfallplan
- 6,9% wissen es nicht
5. Der kritische Punkt: 96% ohne Datenrettungs-Partner
Von den 115 NIS-2-relevanten Unternehmen haben nur 4% einen externen Datenrettungspartner in ihrem Notfallplan verankert.
96% haben keinen Notfallkontakt für den Worst Case.
Warum das ein Problem ist: NIS-2 fordert Wiederherstellbarkeit
Die meisten Unternehmen denken bei NIS-2 an Firewalls, Patch-Management und Meldepflichten. Das ist wichtig – aber nicht ausreichend.
NIS-2 verlangt in Artikel 21 ausdrücklich:
„Maßnahmen zur Gewährleistung der Geschäftskontinuität, einschließlich Backup-Management und Wiederherstellung nach Katastrophen sowie Krisenmanagement“
Die Betonung liegt auf Wiederherstellung. Es reicht nicht, Backups zu haben. Sie müssen funktionieren. Und wenn sie nicht funktionieren, brauchen Sie einen Plan B.
Was passiert, wenn Backups versagen?
In der Praxis scheitern Backups aus vielen Gründen:
- Ransomware verschlüsselt auch die Backups
- Hardware-Defekte treffen Backup-Systeme genauso wie Produktivdaten
- Restore-Prozesse scheitern an Konfigurationsfehlern
- Backups sind unvollständig oder veraltet
- Die Wiederherstellung dauert zu lang für kritische Prozesse
Genau für diese Szenarien fordert NIS-2 Notfallpläne. Und genau hier kommt professionelle Datenrettung ins Spiel.
6. ISMS: Drei Viertel ohne systematisches Sicherheitsmanagement
Ein Informationssicherheitsmanagement-System (ISMS) bildet die strukturelle Grundlage für systematisches IT-Sicherheitsmanagement und ist eine zentrale Voraussetzung für NIS-2-Compliance.
- 26% haben ein ISMS implementiert
- 74% verfügen über kein ISMS
Datenwiederherstellungsprozesse sowie externe Dienstleister dafür gehören in jeden NIS-2-konformen Notfallplan
Ein IT-Notfallplan muss realistische Worst-Case-Szenarien abbilden. Dazu gehört auch der Fall, dass interne Wiederherstellungsversuche scheitern.
Deshalb sollte jeder Notfallplan Folgendes enthalten:
- Klare Eskalationswege: Wer entscheidet, wann externe Hilfe geholt wird?
- Definierte Kontakte: Welcher Datenrettungs-Dienstleister wird im Notfall kontaktiert?
- Vorab-Vereinbarungen: Gibt es Rahmenverträge oder Expresszugänge?
- Dokumentierte Prozesse: Wie läuft die Übergabe ab? Welche Daten werden priorisiert?
Bei DATA REVERSE sehen wir regelmäßig Unternehmen, die erst im akuten Notfall nach Datenrettung suchen. Das kostet wertvolle Zeit – Zeit, die bei kritischen Infrastrukturen zu erheblichen Schäden führen kann.
Was Unternehmen jetzt tun sollten
Die Studiendaten zeigen: Die meisten Unternehmen sind nicht bereit. Aber es ist nicht zu spät. Hier die wichtigsten Schritte:
Schritt 1: Betroffenheit prüfen
Nutzen Sie das BSI-Tool zur Betroffenheitsprüfung oder lassen Sie sich beraten. Wenn Sie:
- mehr als 50 Mitarbeitende haben
- über 10 Millionen Euro Jahresumsatz erzielen
- in einem der 18 kritischen Sektoren tätig sind
…dann sind Sie wahrscheinlich betroffen.
Schritt 2: ISMS aufbauen
Ein Informationssicherheitsmanagement-System ist die strukturelle Grundlage für nachhaltige IT-Sicherheit. Ohne ISMS fehlt der Rahmen für systematische Risikobewertung, Maßnahmenplanung und kontinuierliche Verbesserung.
Schritt 3: Disaster Recovery testen
Führen Sie echte Restore-Tests durch. Nicht nur einzelne Dateien, sondern komplette System-Wiederherstellungen. Dokumentieren Sie:
- Wie lange dauert die Wiederherstellung?
- Funktionieren alle Systeme nach dem Restore?
- Gibt es Datenverluste?
- Welche Abhängigkeiten bestehen?
Schritt 4: Notfallplan erstellen oder überarbeiten
Ihr Notfallplan muss mehr enthalten als „Wir haben Backups“. Definieren Sie:
- Recovery Time Objectives (RTO) für jedes System
- Recovery Point Objectives (RPO) für jede Datenkategorie
- Eskalationsprozesse bei Backup-Versagen
- Externe Datenrettung als Plan B
Wir bieten kostenlose Muster-Vorlagen für IT-Notfallpläne an, die Sie als Basis nutzen können.
Schritt 5: Datenrettungs-Partner definieren
Warten Sie nicht bis zum Notfall. Definieren Sie jetzt:
- Welchen Dienstleister Sie im Ernstfall kontaktieren
- Welche Prioritäten gelten (welche Systeme zuerst?)
- Wer intern die Entscheidung trifft
- Wie die Übergabe organisiert wird
Bei DATA REVERSE können Sie vorab Rahmenvereinbarungen treffen, die im Notfall schnellere Reaktionszeiten ermöglichen.
Fazit: NIS-2 ist mehr als IT-Security – und mehr als Pflichterfüllung
Unsere Studie zeigt deutlich: Deutsche Unternehmen unterschätzen die NIS-2-Anforderungen. Besonders beim Thema Wiederherstellbarkeit klaffen Anspruch und Wirklichkeit weit auseinander:
- 74% haben kein ISMS implementiert
- 71% halten sich für ready – aber nur 33% testen regelmäßig ihre Recovery
- 96% haben keinen externen Datenrettungspartner im Notfallplan
- Nur 30,6% haben eine vollständige Notfallplanung
Die gute Nachricht: Es ist nicht zu spät. Unternehmen haben jetzt die Chance, ihre Notfallplanung zu professionalisieren – nicht nur für NIS-2-Compliance, sondern vor allem für den eigenen Schutz.
NIS-2-Standards als Best Practice – auch für nicht betroffene Unternehmen
Und hier der wichtigste Punkt: Die Anforderungen der NIS-2-Richtlinie sollten nicht nur für formal betroffene Unternehmen gelten.
Egal ob Sie unter NIS-2 fallen oder nicht – die Risiken sind dieselben:
- Ransomware trifft kleine und große Unternehmen gleichermaßen
- Hardware-Ausfälle kennen keine Umsatzgrenzen
- Datenverluste können jeden Mittelständler existenziell bedrohen
- Ausfallzeiten kosten unabhängig von der Branche
Die NIS-2-Vorgaben sind im Grunde nichts anderes als professionelles IT-Risikomanagement. Sie bilden eine solide Basis für jedes mittelständische Unternehmen, das seine Daten und Systeme ernst nimmt.
Wer die NIS-2-Standards als Orientierung nutzt – auch ohne formale Pflicht – investiert in:
- Echte Resilienz statt Schein-Sicherheit
- Nachweisbare Wiederherstellbarkeit
- Professionelle Notfallprozesse
- Schutz vor existenziellen Risiken
Kurz gesagt: NIS-2 sollte der neue Standard für verantwortungsvolles IT-Management im Mittelstand sein – unabhängig von gesetzlichen Verpflichtungen.
Datenrettung gehört in jeden Notfallplan. Nicht weil es ein nettes Add-on ist, sondern weil es der letzte Rettungsanker sein kann, wenn alle anderen Maßnahmen versagen. Das gilt für KRITIS-Betreiber genauso wie für den inhabergeführten Mittelständler.
Über die Studie
Die vollständigen Ergebnisse der NIS-2-Studie 2025 finden Sie hier: NIS-2 Studie DATA REVERSE 2025
Die Befragung wurde vom 7. bis 9. Oktober 2025 auf der IT-SA in Nürnberg durchgeführt. 245 IT-Entscheider, Geschäftsführer und Fachleute wurden zu ihrer NIS-2-Vorbereitung befragt.
Benötigen Sie Unterstützung?
Wenn Sie Fragen zur Integration von Datenrettung in Ihren Notfallplan haben oder eine akute Datenwiederherstellung benötigen:
DATA REVERSE Datenrettung
Professionelle Datenrettung seit 2004
E-Mail: info@datareverse.de
Jan Bindig ist Geschäftsführer und Gesellschafter von DATA REVERSE®, einem seit über 20 Jahren spezialisierten Anbieter für professionelle Datenrettung. Er verantwortet die strategische Weiterentwicklung des Unternehmens mit klarem Fokus auf IT-Security, Qualität und verlässliche Strukturen im Krisenumfeld.
Er ist seit vielen Jahren in Branchenverbänden der IT vernetzt und war zuletzt sieben Jahre als Vorstand im kiwiko IT-Sicherheitsnetzwerk tätig.
Als Autor des 2018 erschienenen Buchs „Das IT-Security Mindset“ beschäftigt er sich intensiv mit Entscheidungsprozessen, Sicherheitskultur und Risikowahrnehmung im Mittelstand.
