NIS2 mit Microsoft 365

von | Nov. 24, 2025 | CB-SecCompl, Consulting Briefing | 0 Kommentare

Table of Contents
2
3

Consulting Briefing: Thema des Tages

NIS2 ohne Panik, aber mit Plan

Wie Sie NIS2 mit Microsoft Entra, Defender, Sentinel und Purview in den Griff bekommen

NIS2 ist so etwas wie die neue Straßenverkehrsordnung für Ihre IT: mehr Regeln, höhere Strafen – aber am Ende geht es nur darum, dass keiner im Graben landet.

In diesem Briefing schauen wir uns an:

  • Wer unter NIS2 fällt (Spoiler: deutlich mehr Unternehmen und öffentliche Einrichtungen als früher).

  • Wie man juristische Paragraphen in ganz konkrete technische und organisatorische Maßnahmen übersetzt.

  • Wie Microsoft mit Entra, Defender, Sentinel und Purview hilft.

  • Wo typischerweise Lücken in mittelständischen und kommunalen Umgebungen klaffen.

  • Und wie ein pragmatischer Fahrplan von Gap-Analyse bis Reporting aussieht.

1. Worum geht es bei NIS2 – und wer ist betroffen?

NIS2 ist die EU-Richtlinie, die die Cybersicherheit in 18 kritischen Sektoren harmonisieren soll – von Energie, Transport, Gesundheit und Trinkwasserversorgung über digitale Infrastruktur, Cloud- und Rechenzentrumsbetreiber bis hin zu Teilen der öffentlichen Verwaltung.

Zentral sind zwei Kategorien:

  • Wesentliche Einrichtungen (essential entities)

  • Wichtige Einrichtungen (important entities)

Wer in welche Schublade fällt, hängt grob ab von:

  • Branche (kritischer Sektor oder nicht)

  • Unternehmensgröße (typisch ab 50 Mitarbeitern und 10 Mio. Euro Umsatz, aber der Teufel steckt im Detail)

  • Bedeutung für kritische Dienste, oft inklusive wichtiger Zulieferer.

Für Mittelstand und Kommunen bedeutet das übersetzt:

  • Viele IT-Dienstleister, Stadtwerke, Kliniken, Entsorger, Verkehrs- und Wohnungsunternehmen, Versorger sowie kommunale Rechenzentren sind jetzt im Spiel.

  • „Wir sind doch nur ein normaler Mittelständler“ ist kein valides Argument mehr – die Lieferkette zählt.

Und damit kommen wir zum Kern: Was verlangt NIS2 nun konkret von der IT?

2. Juristische Vorgaben in Klartext: Was NIS2 technisch und organisatorisch meint

Die Richtlinie verwendet die Klassiker „angemessene technische und organisatorische Maßnahmen“ – aber sie wird deutlich konkreter als ihr Vorgänger:

Kernthemen von NIS2 (vereinfacht)

  • Risikomanagement: Systematische Identifikation, Bewertung und Behandlung von Cyberrisiken.

  • Incident-Management & Meldepflichten:

    • Frühe Meldung schwerer Vorfälle an die Behörde innerhalb von 24 Stunden,

    • Detailbericht innerhalb von 72 Stunden,

    • Abschlussbericht innerhalb eines Monats.

  • Business Continuity / Notfallmanagement: Backup, Wiederanlauf, Krisenkommunikation.

  • Sicherheit der Lieferkette: Bewertung und Vorgaben für Dienstleister und kritische Lieferanten.

  • Governance & Verantwortung des Managements: Führungsebene haftet bei grober Vernachlässigung, muss geschult und eingebunden sein.

Übersetzung in konkrete Maßnahmen

Wenn man den Juristendeutsch-Filter drüberlegt, landet man bei:

  • Identitäten sichern:

    • Starke Authentifizierung (MFA überall, wo es wehtut).

    • Rollen- und Berechtigungskonzepte, die auch gelebt werden.

  • Systeme härten:

    • Patchmanagement mit Prozess, nicht nur „wenn Zeit ist“.

    • Endpoint-Schutz mit EDR statt nur einfachem Virenscanner.

  • Überwachung & Logging:

    • Zentrale Protokollierung sicherheitsrelevanter Ereignisse.

    • Korrelierte Auswertung und Alarme statt Log-Friedhof.

  • Datenschutz & Informationssicherheit:

    • Klassifikation von Informationen (öffentlich, intern, vertraulich, streng vertraulich).

    • Schutz besonders sensibler Daten (z. B. Gesundheits-, Versorgungs- oder Bürgerdaten).

  • Organisation:

    • Rollen wie Informationssicherheitsbeauftragter, klare Verantwortlichkeiten.

    • Richtlinien, Schulungen, Übungen (inkl. Incident-Drills).

Genau hier spielt der Microsoft-Security-Baukasten seine Stärken aus.

3. Wie Microsoft Entra, Defender, Sentinel und Purview NIS2 stützen

Microsoft Entra (Identity & Access)

Entra ist Ihr Kontrollturm für Identitäten:

  • MFA und bedingter Zugriff: Erzwingen, dass sich Nutzer sicher anmelden und risikobasiert weitere Prüfungen greifen.

  • Rollenbasierte Zugriffe & Privileged Identity Management (PIM):

    • Kritische Adminrechte nur „just in time“ und nachvollziehbar.

    • Reduktion von Dauer-Admins – ein Traum für jeden Prüfer.

  • Identity Governance: Rezertifizierung von Berechtigungen, Joiner/Mover/Leaver-Prozesse.

Bezug zu NIS2: Identitäts- und Zugriffsmanagement und Schutz vor unbefugtem Zugriff auf Netz- und Informationssysteme.

Microsoft Defender (XDR & Cloud-Security-Familie)

Unter dem Defender-Dach stecken Produkte wie Defender for Endpoint, for Office 365, for Identity, for Cloud Apps und Defender for Cloud.

Sie liefern:

  • Erkennung und Abwehr von Angriffen auf Endpoints, Mails, Identitäten, Cloud-Ressourcen.

  • Schwachstellenmanagement und Härtungsempfehlungen (z. B. über Defender for Endpoint, Defender for Cloud).

  • Incident-Handling in einer integrierten Oberfläche, inklusive Angriffspfad-Analysen.

Bezug zu NIS2: Maßnahmen zum Umgang mit Sicherheitsvorfällen, Sicherheit von Systemen und Anlagen, Erkennung von Bedrohungen, Schutz vor Malware & Ransomware.

Microsoft Sentinel (Cloud-SIEM/SOAR)

Sentinel ist das zentrale Gehirn:

  • Aggregiert Logs aus Microsoft- und Drittsystemen.

  • Korrelierte Erkennung von Angriffsketten über Use Cases und Machine Learning.

  • Automatisierte Reaktionen (z. B. Benutzer sperren, System isolieren).

  • Dashboards und Workbooks, die sich sehr gut als Baustein für Nachweisführung und Reporting eignen.

Bezug zu NIS2: Überwachung, Erkennung, Reaktion, Evidenz für Meldungen an Behörden und Berichte ans Management.

Microsoft Purview (Daten- & Compliance-Plattform)

Purview kümmert sich um die Kronjuwelen: Ihre Daten.

  • Information Protection: Klassifikation und Labeling von Daten, Verschlüsselung, Rights Management.

  • DLP (Data Loss Prevention): Schutz vor Datenabfluss über Mail, Endgeräte, Cloud-Speicher.

  • Data Governance: Kataloge, Scans, Data Lineage – wer speichert was wo?

  • Audit & eDiscovery: Nachvollziehen von Zugriffen und Aktivitäten, Unterstützung bei Prüfungen und Forensik.

In Kombination mit Sentinel lassen sich Purview-Signale direkt in die Sicherheitsüberwachung einbeziehen.

Bezug zu NIS2: Schutz sensibler Daten, Nachweis von Kontrollmaßnahmen, Unterstützung bei Untersuchungen nach Vorfällen.

4. Typische NIS2-Lücken im Mittelstand und in Kommunen

In der Praxis sieht man erstaunlich ähnliche Muster:

  • Unklare Verantwortlichkeiten

    • Es gibt „die IT“, aber keinen definierten Verantwortlichen für Informationssicherheit oder NIS2.

  • Identitäts-Wildwuchs

    • Gemeinsame Adminkonten, keine MFA für VPN und RDP, Schatten-Accounts von Dienstleistern.

  • Patch- und Asset-Management nur auf Zuruf

    • Keiner weiß genau, welche Systeme wo laufen.

    • Patches werden „bei Gelegenheit“ eingespielt – oder nie, wenn das System „kritisch“ ist.

  • Kaum strukturierte Protokollierung

    • Logs liegen auf einzelnen Servern oder sind gar nicht erst aktiviert.

    • Kein SIEM, keine Use Cases, vieles fällt nur durch Zufall auf.

  • Backup ja, Wiederanlauf nein

    • Es gibt Backups, aber keine regelmäßig getestete Wiederherstellung oder abgestimmte Wiederanlaufpläne.

  • Lieferkette auf Vertrauensbasis

    • Externe Dienstleister haben VPN-Zugänge, aber es existiert kein formalisierter Sicherheitsrahmen.

  • Awareness und Prozesse

    • Keine klar definierten Meldewege bei Vorfällen.

    • Phishing-Simulationen und Schulungen sind „nice to have“, aber nicht Teil eines Programms.

Genau diese Lücken sind es, die Prüfer und Aufsichtsbehörden sich zuerst anschauen werden – und die sich mit einem sinnvollen Einsatz der Microsoft-Plattform und etwas Organisationsentwicklung schließen lassen.

5. Ein pragmatischer Fahrplan: Von Gap-Analyse bis Reporting

Schritt 1: Scope & Rollen klären

  • Festlegen, welche Teile der Organisation unter NIS2 fallen.

  • Verantwortlichkeiten definieren: Management-Sponsor, Informationssicherheitsverantwortlicher, IT-Security, Betriebsverantwortliche.

  • Bestehende Regelwerke (ISMS, Datenschutz, BCM) mit NIS2 abgleichen.

Schritt 2: Gap-Analyse entlang der NIS2-Themen

Strukturiert bewerten:

  • Identitäts- und Zugriffsmanagement (Entra).

  • Endpunkt-, E-Mail-, Cloud-Sicherheit und Schwachstellenmanagement (Defender).

  • Logging, Monitoring, Incident-Handling (Sentinel).

  • Datensensitivität, -schutz, -governance (Purview).

Hilfreich sind hier:

  • Technische Kennzahlen (z. B. Secure Score, Compliance Score, Schwachstellenberichte).

  • Interviews mit IT, Fachbereichen und Management.

  • Sichtung vorhandener Richtlinien, Notfallkonzepte und Verträge mit Dienstleistern.

Ergebnis: eine priorisierte Liste von Gaps – idealerweise schon mit Risiko- und Aufwandsbewertung.

Schritt 3: Maßnahmenplan bauen

Der Maßnahmenplan sollte:

  • Technische und organisatorische Maßnahmen verbinden:

    • z. B. „MFA für alle externen Zugriffe“ (technisch) plus „Richtlinie für Remotezugriff aktualisieren“ (organisatorisch).

  • Nach Risiko und Machbarkeit priorisieren:

    • „Quick Wins“ (MFA, Basis-Logging, Admin-Konsolidierung)

    • „Big Rocks“ (SIEM-Einführung, Purview-Rollout, Lieferketten-Regelwerk).

  • Klare Verantwortliche, Budgets und Zeitpläne enthalten.

Schritt 4: Umsetzung mit Microsoft-Bausteinen

Typische erste Welle:

  • Entra:

    • MFA und bedingten Zugriff konsequent ausrollen.

    • Adminrollen über PIM absichern.

  • Defender:

    • EDR flächendeckend ausrollen, auch auf Servern.

    • Schutz für E-Mail und Kollaboration aktivieren und feinjustieren.

  • Sentinel:

    • Kritische Logs zentral einsammeln (Identität, E-Mail, Endpoints, AD, Firewalls, VPN).

    • Erste Use Cases aufsetzen (z. B. verdächtige Anmeldungen, Lateral Movement, Massendownloads).

  • Purview:

    • Daten klassifizieren, Labels definieren und automatisieren.

    • DLP-Regeln für besonders schützenswerte Daten implementieren.

Parallel dazu: organisatorische Maßnahmen (Richtlinien, Schulungen, Notfallhandbuch, Lieferantenbewertung).

Schritt 5: Reporting & kontinuierliche Verbesserung

NIS2 ist kein Projekt mit Enddatum, sondern ein Programm:

  • Regelmäßige Berichte an Management und ggf. Aufsicht:

    • Kennzahlen zu Sicherheitsvorfällen, Patchständen, MFA-Abdeckung, Schulungsquoten.

    • Reifegrad-Entwicklung in den NIS2-Domänen.

  • Übungen & Tests:

    • Geplante Notfallübungen und technische Tests (z. B. Restore-Tests, Table-Top-Exercises).

  • Feinjustierung:

    • Sentinel-Use-Cases erweitern, Playbooks verbessern, DLP-Regeln nachschärfen.

Die Microsoft-Plattform liefert dafür schon viele Dashboards und Audit-Funktionen – die Kunst besteht darin, diese gezielt auf die NIS2-Anforderungen zu mappen und daraus ein verständliches Management-Reporting zu machen.

Fazit: NIS2 als Chance statt nur als Pflichtprogramm

NIS2 ist kein lästiger EU-Bürokratiemonolith, sondern im Kern ein ziemlich sinnvolles Gerüst für robuste, moderne IT-Sicherheit.

Wer Microsoft 365 und Azure ohnehin im Einsatz hat, sitzt dabei auf einem halben Compliance-Goldschatz: Entra, Defender, Sentinel und Purview decken große Teile der technischen Anforderungen ab – wenn sie bewusst eingesetzt und durch klare Prozesse, Rollen und Dokumentation ergänzt werden.

Kurz gesagt:

  • Ohne Plan wirkt NIS2 wie ein Problem.

  • Mit Plan ist es der Anlass, die eigene Sicherheitslandschaft endlich auf das Niveau zu heben, das man ohnehin bräuchte – ganz unabhängig von jeder Richtlinie.

Anmelden zum Consulting Briefing per Mail

Wenn Sie kostenlos das tägliche Consulting Briefing von Ulrich Boddenberg per Mail erhalten möchten, melden Sie sich auf dieser Seite an.

Die zehn letzten Consulting Briefings