--- title: "ISO 27001 Backup-Anforderungen: Was Control 8.13 konkret fordert | FAST LTA" date: 2026-02-13T10:05:00+01:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/iso-27001-backup-anforderungen-was-control-8-13-konkret-fordert-fast-lta" section: "Entries: Articles" --- ### 1. Was ist ISO/IEC 27001 und was hat sich 2022 geändert? [\#](#1-was-ist-iso-iec-27001-und-was-hat-sich-2022-ge%C3%A4ndert "1. Was ist ISO/IEC 27001 und was hat sich 2022 geändert?") ISO/IEC 27001 ist ein international anerkannter Standard für Informationssicherheits-Managementsysteme (ISMS). Er legt fest, wie Organisationen Informationssicherheitsrisiken systematisch identifizieren, bewerten und behandeln. Die Zertifizierung erfolgt durch akkreditierte Zertifizierungsstellen; in Deutschland ist die DAkkS (Deutsche Akkreditierungsstelle) die zuständige nationale Akkreditierungsbehörde. Die aktuelle Fassung ISO/IEC 27001:2022 löst die bis dahin gültige Version von 2013 ab. Die inhaltlich wichtigste Änderung betrifft den Anhang A: Die Controls wurden von 114 auf 93 konsolidiert und in vier Themenbereiche gegliedert. ThemenbereichInhalt5. Organisational controlsRichtlinien, Rollen, Lieferantenbeziehungen6. People controlsMitarbeiterbewusstsein, Schulung, Hintergrundprüfungen7. Physical controlsPhysische Zugangssicherung, Geräteentsorgung8. Technological controlsZugriffskontrolle, Verschlüsselung, Backup, MonitoringBackup und Archivierung sind dabei im Themenbereich 8 (Technological controls) verankert. Wer eine bestehende 2013-Zertifizierung hat, musste bis Oktober 2025 auf die 2022-Fassung umstellen. #### Zertifizierungszyklus [\#](#zertifizierungszyklus "Zertifizierungszyklus") - Erstzertifizierung durch ein DAkkS-akkreditiertes Zertifizierungsinstitut - Jährliche Überwachungsaudits (Surveillance Audits) - Alle 3 Jahre vollständige Rezertifizierung --- ### 2. Die backup-relevanten Controls im Detail [\#](#2-die-backup-relevanten-controls-im-detail "2. Die backup-relevanten Controls im Detail") ISO/IEC 27001:2022 enthält mehrere Controls, die direkt oder indirekt Backup und Archivierung betreffen. Die wichtigsten im Überblick: #### Control 8.13 “Information backup” [\#](#control-8-13-information-backup "Control 8.13 ") Control 8.13 ist der Kern der Backup-Anforderungen. Er verlangt, dass Sicherungskopien von Informationen, Software und Systemen erstellt, regelmäßig getestet und entsprechend einer Backup-Policy aufbewahrt werden. Konkret fordert Control 8.13: - Eine dokumentierte Backup-Policy, die Umfang, Häufigkeit, Aufbewahrungsfristen und Speicherorte festlegt - Regelmäßige Tests der Wiederherstellbarkeit (Restore-Tests), die dokumentiert werden - Schutz der Backup-Daten vor unbefugtem Zugriff und Manipulation - Aufbewahrung von Offline-Kopien oder Offsite-Kopien für kritische Daten - Berücksichtigung von Aufbewahrungsfristen, die sich aus gesetzlichen oder regulatorischen Anforderungen ergeben Ein häufiger Fehler in der Praxis: Backup-Prozesse laufen seit Jahren, aber Restore-Tests fehlen oder werden nicht protokolliert. Control 8.13 ist in diesem Punkt eindeutig. Die Wiederherstellbarkeit muss nachgewiesen werden, nicht nur die Durchführung der Sicherung. #### Control 8.10 “Information deletion” [\#](#control-8-10-information-deletion "Control 8.10 ") Control 8.10 regelt die Löschung von Informationen nach Ablauf ihrer Aufbewahrungsfrist. Das gilt ausdrücklich auch für Backup-Kopien. Wer personenbezogene Daten länger als notwendig in Backups vorhält, verstößt gleichzeitig gegen die DSGVO. Für die Backup-Architektur bedeutet das: Aufbewahrungsfristen müssen je Datenkategorie definiert und technisch durchsetzbar sein. Systeme, die keine granulare Ablaufsteuerung unterstützen, erschweren die Compliance erheblich. #### Control 8.12 “Data leakage prevention” [\#](#control-8-12-data-leakage-prevention "Control 8.12 ") Backup-Daten sind ein bevorzugtes Ziel für Datenverluste, weil sie oft weniger streng gesichert sind als Produktivsysteme. Control 8.12 verlangt Maßnahmen, die unberechtigte Offenlegung von Informationen verhindern. Das schließt Backup-Umgebungen ausdrücklich ein. Verschlüsselung von Backup-Daten (at rest und in transit) sowie Zugriffsprotokollierung sind typische Maßnahmen, die Auditoren hier prüfen. #### Control 5.29 “Information security during disruption” [\#](#control-5-29-information-security-during-disruption "Control 5.29 ") Control 5.29 stellt die Verbindung zur Business Continuity her. Informationssicherheit muss auch in Störungssituationen aufrechterhalten werden. Dafür müssen Backup- und Recovery-Pläne nicht nur existieren, sondern auch getestet sein und in bestehende Business-Continuity-Planungen integriert sein. --- ### 3. Was Auditoren bei ISO-27001-Audits tatsächlich prüfen [\#](#3-was-auditoren-bei-iso-27001-audits-tats%C3%A4chlich-pr%C3%BCfen "3. Was Auditoren bei ISO-27001-Audits tatsächlich prüfen") Auditoren folgen bei Backup-Controls einer vorhersehbaren Prüflogik. Wer weiß, was geprüft wird, kann sich gezielt vorbereiten. #### Die fünf zentralen Prüfpunkte [\#](#die-f%C3%BCnf-zentralen-pr%C3%BCfpunkte "Die fünf zentralen Prüfpunkte") **1. Backup-Policy vorhanden und aktuell?**Die Policy muss dokumentiert, genehmigt und den relevanten Mitarbeitern bekannt sein. Eine Policy aus dem Jahr 2018, die nie aktualisiert wurde, ist ein sofortiger Befund. **2. Restore-Tests dokumentiert?**Auditoren fordern typischerweise Nachweise der letzten Restore-Tests: Datum, getestete Systeme, Ergebnis, verantwortliche Person. Fehlt diese Dokumentation, ist das ein Major Nonconformity. **3. Backup-Daten verschlüsselt?**Sowohl lokale als auch externe Backup-Kopien. Bei unverschlüsselten Backup-Medien, die das Gebäude verlassen, ist ein Befund nahezu sicher. **4. Offline-Kopien für kritische Daten?**Control 8.13 fordert explizit Offline- oder Offsite-Kopien für kritische Systeme. Rein netzwerkbasierte Backup-Umgebungen ohne physisch getrennte Kopie gelten als unzureichend für kritische Daten. **5. Zugriffskontrollen auf Backup-Systeme?**Wer darf Backups anlegen, ändern, löschen? Auditoren prüfen, ob das Vier-Augen-Prinzip gilt und ob Aktivitäten protokolliert werden. #### Typische Befundkategorien [\#](#typische-befundkategorien "Typische Befundkategorien") KategorieBedeutungBeispielMajor NonconformityZertifizierung gefährdetKeine dokumentierten Restore-Tests seit über 12 MonatenMinor NonconformityKorrekturmaßnahme erforderlichBackup-Policy nicht formell genehmigtObservationVerbesserungsempfehlungRestore-Tests nicht für alle kritischen Systeme durchgeführt--- ### 4. ISO 27001: On-Premises vs. Cloud in der Backup-Umgebung [\#](#4-iso-27001-on-premises-vs-cloud-in-der-backup-umgebung "4. ISO 27001: On-Premises vs. Cloud in der Backup-Umgebung") ISO/IEC 27001 schreibt keine Technologie vor. Der Standard ist technologieneutral. Dennoch hat die Wahl zwischen On-Premises-Backup und Cloud-Backup erhebliche Auswirkungen auf die Nachweisführung im Audit. #### Kontrollierbarkeit und Nachweisführung [\#](#kontrollierbarkeit-und-nachweisf%C3%BChrung "Kontrollierbarkeit und Nachweisführung") On-Premises-Umgebungen bieten vollständige Kontrolle über Konfiguration, Zugriffsprotokollierung und Verschlüsselung. Alle für das Audit erforderlichen Nachweise lassen sich direkt aus den eigenen Systemen exportieren. Keine Abhängigkeit vom Support-Prozess eines externen Anbieters, keine Fragen zur Datenhaltung in Drittstaaten. Bei Cloud-basierten Backup-Lösungen entsteht eine Verantwortungsaufteilung. Der Cloud-Anbieter verantwortet die Infrastruktur, der Kunde die Konfiguration. Auditoren prüfen in diesem Fall auch die Lieferantenbeziehung (Control 5.19 ff.) und fordern entsprechende Vertragsnachweise. #### Shared Responsibility im Audit-Kontext [\#](#shared-responsibility-im-audit-kontext "Shared Responsibility im Audit-Kontext") AspektOn-PremisesCloudVerschlüsselungsnachweisDirekt aus eigenem SystemVom Anbieter oder KonfigurationZugriffsprotokollierungVollständig selbst kontrolliertAbhängig von Anbieter-APIs und LogsGeo-Redundanz / OffsiteErfordert eigene PlanungOft integriert, aber nachweispflichtigDatenlöschung (8.10)Vollständig kontrollierbarAbhängig von Anbieter-GarantienUS-Rechtszugriff (CLOUD Act)Nicht relevantMuss bewertet und dokumentiert werdenEin Cloud-Backup ist unter ISO 27001 möglich, erfordert aber mehr Dokumentationsaufwand rund um die Lieferantenbeziehung, die Datenschutzfolgeabschätzung und die Risikobehandlung. Für viele Organisationen, insbesondere im öffentlichen Sektor und in regulierten Branchen, ist On-Premises die unkompliziertere Wahl für die Audit-Nachweisführung. --- ### 5. FAST LTA und ISO 27001: Wie Silent Bricks und Silent Cubes die Controls unterstützen [\#](#5-fast-lta-und-iso-27001-wie-silent-bricks-und-silent-cubes-die-controls-unterst%C3%BCtzen "5. FAST LTA und ISO 27001: Wie Silent Bricks und Silent Cubes die Controls unterstützen") FAST LTA bietet zwei Produktsysteme, die bei der Erfüllung der backup-relevanten ISO-27001-Controls konkrete technische Beiträge leisten. #### Silent Brick System und Control 8.13 [\#](#silent-brick-system-und-control-8-13 "Silent Brick System und Control 8.13") Das Silent Brick System ist ein modulares On-Premises-Speichersystem für Backup und Archivierung. Es unterstützt alle gängigen Backup-Protokolle (NFS, SMB, S3, iSCSI, FC als VTL) und ist kompatibel mit Veeam, Commvault, Veritas und anderen führenden Backup-Lösungen. Für Control 8.13 relevant sind zwei spezifische Eigenschaften: **Immutability:** Das Silent Brick System bietet software-unabhängige Unveränderlichkeit. Backup-Daten können nach dem Schreiben nicht mehr verändert oder gelöscht werden, solange der Schutzzeitraum aktiv ist. Das gilt unabhängig davon, welche Backup-Software verwendet wird, und schützt auch dann, wenn Backup-Software-Credentials kompromittiert werden. **Air Gap in zwei Varianten:** - **Silent Brick Pro:** Das Speichermodul ist physisch aus dem Slot des Controller X entnehmbar. Im entnommenen Zustand besteht vollständige Netzwerktrennung. Die Reaktivierung erfordert immer einen manuellen Eingriff. Das entspricht dem, was Control 8.13 unter Offline-Kopie für kritische Daten versteht. - **Silent Brick Max Air:** Galvanische Trennung der eingebauten Datenträger bei eingebautem Gerät. Die Aufhebung der Trennung erfolgt entweder manuell per Taster am Gerät oder automatisch nach einer festgelegten Zeit (Air-Gap-Modus, etwa für Medienrotation). Zwei Einheiten im Rotationsbetrieb ermöglichen vollautomatisierte Air-Gap-Strategien ohne manuellen Medienwechsel. Beide Varianten lassen sich kombinieren und parallel mit Immutability betreiben. #### Silent Cubes und Control 8.13 / 8.10 [\#](#silent-cubes-und-control-8-13-8-10 "Silent Cubes und Control 8.13 / 8.10") Silent Cubes sind eine Hardware-WORM-Appliance für revisionssichere Langzeitarchivierung. Hardware-WORM bedeutet: die Unveränderlichkeit wird auf Firmware-Ebene erzwungen, nicht durch eine Software-Policy. Kein Administrator und kein Angreifer kann gespeicherte Daten nachträglich ändern oder löschen. Für ISO 27001 relevant: - **Control 8.13:** Silent Cubes erfüllen die Anforderung an Schutz vor unbefugtem Zugriff und Manipulation strukturell. Die Unveränderlichkeit ist kein konfiguriertes Feature, das rückgängig gemacht werden kann. - **Control 8.10:** Aufbewahrungsfristen werden auf System-Ebene definiert und erzwungen. Nach Ablauf der Frist ist eine Löschung möglich, vorher nicht. - **Integritätsprüfung:** Silent Cubes führen automatische Integritätsprüfungen der gespeicherten Daten durch, was die Anforderung an Restore-Verifizierung technisch unterstützt. Beide Systeme sind On-Premises-Appliances ohne Cloud-Abhängigkeit und werden in Deutschland entwickelt, gefertigt und supportet. --- ### 6. ISO 27001 im Zusammenspiel mit NIS2, DORA und BSI IT-Grundschutz [\#](#6-iso-27001-im-zusammenspiel-mit-nis2-dora-und-bsi-it-grundschutz "6. ISO 27001 im Zusammenspiel mit NIS2, DORA und BSI IT-Grundschutz") ISO 27001 steht nicht isoliert. Wer die Anforderungen von NIS2, DORA oder BSI IT-Grundschutz erfüllen muss, findet erhebliche inhaltliche Überschneidungen mit ISO 27001. Richtig aufgesetzt, entsteht keine Doppelarbeit. #### ISO 27001 und NIS2 [\#](#iso-27001-und-nis2 "ISO 27001 und NIS2") Die NIS2-Richtlinie verpflichtet wesentliche und wichtige Einrichtungen zu Maßnahmen im Bereich Risikomanagement und Incident Response. Backup und Wiederherstellung sind explizit in Art. 21 NIS2 als Pflichtmaßnahme aufgeführt. Eine bestehende ISO-27001-Zertifizierung deckt den größten Teil der NIS2-Anforderungen strukturell ab. Insbesondere die Controls 8.13 (Backup) und 5.29 (Business Continuity) sind direkt auf die NIS2-Anforderungen an Datensicherung und Wiederherstellung abbildbar. #### ISO 27001 und DORA [\#](#iso-27001-und-dora "ISO 27001 und DORA") Der Digital Operational Resilience Act (DORA) gilt ab Januar 2025 für Finanzunternehmen und deren kritische IKT-Dienstleister. DORA fordert ein explizites IKT-Risikomanagement, das Backup- und Recovery-Fähigkeiten einschließt. ISO 27001 liefert den formalen Rahmen für das Risikomanagement. Wer bereits zertifiziert ist, hat die strukturelle Grundlage für DORA-Compliance. Die backup-spezifischen DORA-Anforderungen (RTO/RPO-Definitionen, Tests, geografische Trennung) lassen sich als Konkretisierung von Control 8.13 umsetzen. #### ISO 27001 und BSI IT-Grundschutz [\#](#iso-27001-und-bsi-it-grundschutz "ISO 27001 und BSI IT-Grundschutz") Der BSI IT-Grundschutz ist das deutsche Pendant zu ISO 27001 und auf einen gegenseitigen Konformitätsnachweis ausgelegt. BSI IT-Grundschutz-Zertifizierungen basieren auf ISO 27001; der Baustein CON.3 (Datensicherungskonzept) entspricht inhaltlich weitgehend Control 8.13. Wer nach BSI IT-Grundschutz zertifiziert ist oder zertifiziert werden will, kann das Backup-Konzept direkt aus der ISO-27001-Dokumentation ableiten. StandardBackup-ReferenzVerhältnis zu ISO 27001NIS2Art. 21 Abs. 2 lit. cKomplementär, größteils durch ISMS abgedecktDORAArt. 12 (Backup-Policy), Art. 11 (TLPT)Spezifischer für Finanzsektor, ISO als GrundlageBSI IT-GrundschutzBaustein CON.3Formaler Konvergenzmechanismus, gegenseitig anerkannt--- ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### Business Continuity Management Business Continuity Management (BCM) ist der organisatorische Rahmen, der sicherstellt, dass kritische Geschäftsprozesse auch bei schwerwiegenden IT-Ausfällen, Cyberangriffen oder anderen Krisen aufrechterhalten oder in definierten Zeitrahmen wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/business-continuity-management) ### Immutable Storage Immutable Storage bezeichnet Speichertechnologien, die gespeicherte Daten vor nachträglicher Veränderung oder Löschung schützen — wobei der entscheidende Unterschied darin liegt, ob dieser Schutz auf Hardware-Ebene (nicht umgehbar) oder auf Software-Ebene (durch Administratoren mit ausreichenden Rechten umgehbar) durchgesetzt wird. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/immutable-storage) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Immutable Storage Immutable Storage bezeichnet Speichertechnologien, die gespeicherte Daten vor nachträglicher Veränderung oder Löschung schützen — wobei der entscheidende Unterschied darin liegt, ob dieser Schutz auf Hardware-Ebene (nicht umgehbar) oder auf Software-Ebene (durch Administratoren mit ausreichenden Rechten umgehbar) durchgesetzt wird. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/immutable-storage) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### BSI IT-Grundschutz Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk mit standardisierten Sicherheitsanforderungen für IT-Systeme — für KRITIS-Betreiber, NIS2-betroffene Organisationen und Behörden ist er die zentrale Referenz für nachweisbare IT-Sicherheitsmaßnahmen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/bsi-it-grundschutz) ### BSI IT-Grundschutz Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk mit standardisierten Sicherheitsanforderungen für IT-Systeme — für KRITIS-Betreiber, NIS2-betroffene Organisationen und Behörden ist er die zentrale Referenz für nachweisbare IT-Sicherheitsmaßnahmen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/bsi-it-grundschutz) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### NIS2 Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/nis2) ### NIS2 Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/nis2) ### NIS2 Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/nis2) ### NIS2 Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/nis2) ### Business Continuity Management Business Continuity Management (BCM) ist der organisatorische Rahmen, der sicherstellt, dass kritische Geschäftsprozesse auch bei schwerwiegenden IT-Ausfällen, Cyberangriffen oder anderen Krisen aufrechterhalten oder in definierten Zeitrahmen wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/business-continuity-management) ### NIS2 Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/nis2) ### NIS2 Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/nis2) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### IT-Resilienz IT-Resilienz ist die Fähigkeit einer IT-Infrastruktur, unter widrigen Bedingungen — von Cyberangriffen über Hardwareausfälle bis zu Naturkatastrophen — funktionsfähig zu bleiben oder die Funktionsfähigkeit in definierter Zeit wiederherzustellen, sodass kritische Geschäftsprozesse aufrechterhalten werden. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/it-resilienz) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### BSI IT-Grundschutz Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk mit standardisierten Sicherheitsanforderungen für IT-Systeme — für KRITIS-Betreiber, NIS2-betroffene Organisationen und Behörden ist er die zentrale Referenz für nachweisbare IT-Sicherheitsmaßnahmen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/bsi-it-grundschutz) ### BSI IT-Grundschutz Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk mit standardisierten Sicherheitsanforderungen für IT-Systeme — für KRITIS-Betreiber, NIS2-betroffene Organisationen und Behörden ist er die zentrale Referenz für nachweisbare IT-Sicherheitsmaßnahmen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/bsi-it-grundschutz) ### BSI IT-Grundschutz Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk mit standardisierten Sicherheitsanforderungen für IT-Systeme — für KRITIS-Betreiber, NIS2-betroffene Organisationen und Behörden ist er die zentrale Referenz für nachweisbare IT-Sicherheitsmaßnahmen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/bsi-it-grundschutz) ### BSI IT-Grundschutz Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk mit standardisierten Sicherheitsanforderungen für IT-Systeme — für KRITIS-Betreiber, NIS2-betroffene Organisationen und Behörden ist er die zentrale Referenz für nachweisbare IT-Sicherheitsmaßnahmen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/bsi-it-grundschutz) ### BSI IT-Grundschutz Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk mit standardisierten Sicherheitsanforderungen für IT-Systeme — für KRITIS-Betreiber, NIS2-betroffene Organisationen und Behörden ist er die zentrale Referenz für nachweisbare IT-Sicherheitsmaßnahmen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/bsi-it-grundschutz) ### BSI IT-Grundschutz Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk mit standardisierten Sicherheitsanforderungen für IT-Systeme — für KRITIS-Betreiber, NIS2-betroffene Organisationen und Behörden ist er die zentrale Referenz für nachweisbare IT-Sicherheitsmaßnahmen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/bsi-it-grundschutz)