Consulting Briefing

29.05.2026 · boddenberg.de

Microsoft Purview als NIS2-Governance-Layer

Executive Summary

Kurzfassung für alle, die heute noch drei weitere Brandherde löschen müssen: NIS2 ist kein Zukunftsthema mehr, über das man in Workshops sinniert. Seit dem 6. Dezember 2025 ist das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Kraft – ohne Übergangsfrist, ohne Schonzeit, ohne „aber wir sind doch nur Mittelstand“. Rund 29.000 Unternehmen in Deutschland fallen neu unter die Kategorien „besonders wichtige“ und „wichtige Einrichtungen“. Die Registrierungsfrist beim BSI ist am 6. März 2026 abgelaufen. Mit anderen Worten: Wenn du das hier liest und noch nichts getan hast, bist du nicht früh dran, sondern bereits im Rückstand.

Die gute Nachricht für alle mit Microsoft-365-E5-Lizenz: Du sitzt vermutlich schon auf dem Werkzeug, das aus NIS2-Panik strukturierte Governance macht. Microsoft Purview bündelt Information Protection, Data Loss Prevention, Insider Risk Management, Data Security Posture Management und den Compliance Manager zu einer Plattform, die genau das liefert, was NIS2 verlangt: Sichtbarkeit, nachweisbare Kontrolle und ein Reporting, das die Geschäftsleitung versteht – und für das sie persönlich haftet. Der belgische HR-Konzern House of HR hat genau diesen Weg gewählt und Purview zur zentralen Sichtbarkeits- und Compliance-Plattform ausgebaut. Dieses Briefing zeigt dir, warum das kein Zufall ist und was du daraus mitnimmst.

Worum geht es im Detail? Hintergründe und Einordnung

Fangen wir bei der Wahrheit an, die viele Vorstände nicht hören wollten: NIS2 ist die EU-Richtlinie 2022/2555, die Europas Cybersicherheitsniveau vom Flickenteppich zur Pflicht hochzieht. Die Umsetzungsfrist für die Mitgliedstaaten war eigentlich der 17. Oktober 2024. Deutschland hat – überraschend für niemanden – deutlich länger gebraucht. Der Bundestag hat das Umsetzungsgesetz erst am 13. November 2025 verabschiedet, der Bundesrat zog am 20. November nach, und am 6. Dezember 2025 stand es im Bundesgesetzblatt. Seitdem ist es geltendes Recht. Das BSI-Meldeportal für erhebliche Sicherheitsvorfälle ging am 6. Januar 2026 in Betrieb. KRITIS-Betreiber haben bis Ende 2028 Zeit, ihre Maßnahmen vollständig nachzuweisen – alle anderen Pflichten gelten sofort.

Abbildung 1: Die NIS2-Zeitleiste – der Stichtag liegt längst hinter uns.

Inhaltlich verlangt NIS2 – in Deutschland über das modernisierte BSI-Gesetz und seinen Maßnahmenkatalog – ein technisches und organisatorisches Risikomanagement, das sich an Artikel 21 der Richtlinie orientiert. Das sind zehn Mindestbereiche: Risikoanalyse und Sicherheitskonzepte, Vorfallsbehandlung, Business Continuity inklusive Backup und Krisenmanagement, Lieferkettensicherheit, sichere Beschaffung und Entwicklung, Verfahren zur Wirksamkeitsmessung, Cyberhygiene und Schulung, Kryptografie und Verschlüsselung, Personalsicherheit mit Zugriffskontrolle und Asset-Management sowie Multifaktor-Authentifizierung und gesicherte Kommunikation. Klingt nach ISO 27001 light? Im Kern ja – aber mit Gesetzeskraft und mit einer Pointe, die viele übersehen: Die Verantwortung liegt explizit bei der Geschäftsleitung. Sie muss die Maßnahmen billigen, ihre Umsetzung überwachen und sich schulen lassen. Diese Pflicht lässt sich nicht an die IT „wegdelegieren“.

Und genau hier kommt die unbequeme Realität ins Spiel. Eine gemeinsame Erhebung von IDC und Microsoft zeichnet ein ernüchterndes Bild der europäischen NIS2-Bereitschaft: 74 Prozent der Organisationen kennen NIS2, aber nur 14 Prozent fühlen sich wirklich vorbereitet. 58 Prozent der Führungskräfte treiben die Compliance nicht aktiv voran, und 29 Prozent wissen nicht einmal, welche nationale Aufsichtsbehörde für sie zuständig ist. Das ist die Lücke zwischen „wir haben davon gehört“ und „wir können es nachweisen“ – und Aufsichtsbehörden interessiert nur Letzteres.

Abbildung 2: Bewusstsein ist nicht Bereitschaft – der NIS2-Reifegrad-Gap in Zahlen.

Wo Purview ins Bild kommt

Die fortgeschrittensten Organisationen behandeln NIS2 nicht als Checklistenübung, sondern betten sie in ein breiteres Governance-Framework ein – mit strukturierten Assessments, formellen Policy-Reviews und regelmäßigem Leadership-Reporting. Genau das ist der Punkt, an dem Microsoft Purview vom „Datenschutz-Tool“ zum Governance-Layer wird. Purview verbindet sich nativ mit Microsoft 365, Entra ID, Defender, Sentinel und Microsoft Fabric. Es sammelt Signale aus dem gesamten Stack, klassifiziert und schützt Daten, erkennt Insider-Risiken und übersetzt all das in einen Compliance-Score, den auch ein Aufsichtsrat lesen kann.

Das Herzstück für NIS2 ist der Purview Compliance Manager. Er bringt ein fertiges NIS2-Assessment-Template mit – eine Premium-Funktion, die an E5 gekoppelt ist. Du wählst die Richtlinie aus, benennst dein Assessment, wählst die relevanten Microsoft-365-Dienste, und das System erzeugt eine auf dich zugeschnittene Bewertung. Die NIS2-Kontrollen werden auf konkrete Microsoft-365-Fähigkeiten gemappt. Ein Teil der Verbesserungsmaßnahmen ist bereits durch Microsoft erledigt – geteilte Verantwortung sei Dank –, der Rest landet als To-do-Liste bei dir, exportierbar nach Excel für das Remediation-Tracking. Funktionen wie Audit-Logging, DLP, Verschlüsselung und Aufbewahrungsrichtlinien adressieren dabei direkt die Artikel-21-Anforderungen.

Ein Bild aus der Praxis, das du vermutlich wiedererkennst: Der Geschäftsführer eines mittelständischen Maschinenbauers fragt im Lenkungskreis, ob „dieses NIS2“ denn nun erledigt sei. Die IT-Leitung verweist auf das eingeschaltete Tenant-Audit-Log, der Datenschutzbeauftragte auf ein zwei Jahre altes Sicherheitskonzept, und der Einkauf hat von Lieferkettensicherheit noch nie gehört. Drei Verantwortliche, drei Wahrheiten, kein gemeinsamer Nachweis. Genau diese Szene löst Purview auf, wenn man es richtig nutzt: Der Compliance Manager zwingt zu einem einzigen, versionierten Stand der Dinge, an dem Verantwortliche, Fälligkeiten und Belege hängen. Aus drei Wahrheiten wird ein Dashboard – und aus „gefühlt sicher“ wird „gemessen und dokumentiert“.

Abbildung 3: Purview als Governance-Layer – von der Datenquelle zur nachweisbaren Pflichterfüllung.

Was sind Chancen? Was sind Risiken?

Die Chancen

Die größte Chance ist denkbar unromantisch: Du musst nichts Neues kaufen. Wer bereits Microsoft 365 E5 oder die passenden Compliance-Add-ons im Haus hat, besitzt Purview schon – es wartet nur darauf, aktiviert und konfiguriert zu werden. Statt eines weiteren Security-Tools mit eigenem Login, eigener Rechnung und eigenem Wartungsvertrag bekommst du eine integrierte Plattform, die Daten dort abholt, wo sie ohnehin liegen. Das spart nicht nur Lizenzkosten, sondern auch das berüchtigte Tool-Wildwuchs-Problem, bei dem am Ende niemand mehr weiß, welches Dashboard die Wahrheit sagt.

Die zweite Chance ist das Reporting. NIS2 verlangt, dass die Geschäftsleitung Verantwortung übernimmt – und Verantwortung braucht Zahlen, die man versteht. Der Compliance-Score und die Echtzeit-Dashboards von Purview übersetzen technische Kontrollen in eine Sprache, die im Vorstand funktioniert. Das verwandelt das lästige „Haftungsrisiko Geschäftsleitung“ in ein steuerbares Kennzahlenthema. Drittens: Wer Governance einmal sauber aufsetzt, erschlägt damit nicht nur NIS2, sondern legt das Fundament für DSGVO, ISO 27001, DORA und das nächste Regulierungs-Akronym, das garantiert kommt.

Und eine vierte, oft unterschätzte Chance: Geschwindigkeit im Audit. Wer schon einmal eine Behördenanfrage oder ein Kundenaudit unter Zeitdruck beantwortet hat, kennt das hektische Zusammensuchen von Screenshots, Excel-Listen und E-Mail-Verläufen. Mit einem gepflegten Purview-Setup ziehst du den Compliance-Bericht auf Knopfdruck und reichst ihn weiter, statt drei Tage lang Belege zu jagen. Das ist kein Luxus – im Schadensfall, wenn die 72-Stunden-Uhr läuft, ist genau diese Nachweisfähigkeit der Unterschied zwischen souveräner Meldung und Panik im Krisenraum.

Die Risiken

Jetzt der schwarze Humor, den du verdient hast: Das größte Risiko bei Purview ist nicht das Tool, sondern der Glaube, dass das Tool die Arbeit macht. Ein eingeschalteter Compliance Manager ohne hinterlegte Verantwortliche, ohne regelmäßige Reviews und ohne echte Remediation ist nichts weiter als ein sehr teures Ampelmännchen, das munter auf Gelb steht, während die Behörde schon an der Tür klopft. Der Compliance-Score bewertet zudem nur den Microsoft-365-Anteil deiner Welt – deine Linux-Server, die Schatten-IT in der Fachabteilung und der Cloud-Anbieter mit den drei Buchstaben tauchen dort nicht auf. Wer den Score für Vollständigkeit hält, baut sich eine gefährliche Scheinsicherheit.

Das zweite Risiko ist die Lieferkette. NIS2 macht dich auch für die Sicherheit deiner Dienstleister mitverantwortlich – und Purview kennt deine Lieferanten nicht. Hier brauchst du Verträge, Audits und Prozesse, die kein Dashboard ersetzt. Das dritte und teuerste Risiko ist schlicht Untätigkeit. Die Bußgelder sind kein Schreckgespenst: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen, bis zu 7 Millionen Euro oder 1,4 Prozent für wichtige Einrichtungen. Dazu kommt die persönliche Haftung der Geschäftsleitung. „Wir haben das nicht gewusst“ ist seit dem 6. Dezember 2025 keine Verteidigung mehr, sondern beinahe ein Schuldeingeständnis.

Was müssen wir jetzt schon vorbereiten?

Genug Theorie – hier ist die To-do-Liste für die nächsten Wochen, nicht für die nächsten Quartale. Erstens: Kläre die Betroffenheit. Fallt ihr unter „besonders wichtige“ oder „wichtige Einrichtung“? Das hängt an Sektor, Mitarbeiterzahl, Umsatz und Bilanzsumme. Wenn ihr es noch nicht wisst, ist das euer dringendster Termin – die Registrierungsfrist beim BSI ist bereits am 6. März 2026 abgelaufen, und eine nachgeholte Registrierung ist allemal besser als gar keine.

Zweitens: Benenne Verantwortliche und hol die Geschäftsleitung an Bord – nicht als Zaungast, sondern als haftenden Eigentümer des Themas. Richte eine bereichsübergreifende Task-Force aus IT, Recht, Compliance und Risikomanagement ein und plane feste Leadership-Briefings zu Lücken und Fortschritt. Drittens: Aktiviere den Purview Compliance Manager und starte das NIS2-Assessment. Du bekommst sofort eine Gap-Analyse und eine priorisierte Maßnahmenliste – das ist dein Fahrplan, und er steckt bereits in deiner Lizenz.

Viertens: Schalte die technischen Basics scharf. Multifaktor-Authentifizierung überall, Datenklassifizierung mit Information Protection, DLP-Richtlinien für die wirklich sensiblen Daten, Insider Risk Management für die Fälle, die von innen kommen, und das Audit-Log auf Dauer-Aufbewahrung. Fünftens: Bau dir einen Incident-Response-Prozess, der die NIS2-Meldefristen einhält – Erstmeldung binnen 24 Stunden, detaillierte Meldung binnen 72 Stunden, Abschlussbericht binnen eines Monats, alles über das BSI-Meldeportal, das seit dem 6. Januar 2026 läuft. Wer diesen Prozess erst im Ernstfall improvisiert, verliert das Rennen gegen die Uhr, bevor es richtig begonnen hat.

Und zum Schluss der ehrlichste Rat dieses Briefings: Fang an, auch wenn es unvollständig ist. NIS2 belohnt nachweisbaren, kontinuierlichen Fortschritt mehr als das ewige Warten auf den perfekten Plan. Ein dokumentiertes „wir arbeiten strukturiert daran, und hier ist der Beleg“ schlägt im Zweifel jedes „wir wollten gerade anfangen“ – vor der Behörde wie vor Gericht. Purview gibt dir den Beleg. Den Willen musst du selbst mitbringen.