Was europäische IT-Teams konkret tun müssen — und in welcher Reihenfolge
Tobias Schüle ist Senior Microsoft 365-Architekt und Gründer von Opsora, mit über einem Jahrzehnt Erfahrung in der IT-Transformation europäischer mittelständischer Unternehmen.
NIS2 kam mit viel Lärm — Regulierungsbriefings, juristische Zusammenfassungen, Anbieter-Webinare, die versprachen, alles mit einem einzigen Produkt zu lösen. Die Realität für die meisten IT-Teams ist nüchterner: Die Richtlinie legt konkreten Verpflichtungen auf eine Vielzahl europäischer Unternehmen auf, die Strafen für Nicht-Compliance sind erheblich, und die meisten Microsoft 365-Umgebungen erfüllen die Anforderungen in der Standardkonfiguration nicht.
Dies ist eine praktische Roadmap — die technische und organisatorische Abfolge, die eine M365-Umgebung von der Standardkonfiguration zu einem dokumentierten, verteidigungsfähigen Compliance-Stand bringt. Die rechtliche Interpretation übernimmt Ihre Rechtsabteilung. Hier geht es um die IT-Arbeit.
NIS2 (EU 2022/2555) gilt für mittlere und große Unternehmen in wesentlichen und wichtigen Sektoren — Energie, Verkehr, Gesundheit, digitale Infrastruktur, Fertigung und andere. Die Richtlinie verlangt risikoangemessene Sicherheitsmaßnahmen in den Bereichen Incident Response, Geschäftskontinuität, Lieferkettensicherheit, Zugriffskontrolle, Kryptographie und Multi-Faktor-Authentifizierung.
Die Richtlinie schreibt keine spezifische Technologie vor — sie schreibt Ergebnisse vor. Das bedeutet in der Praxis: Sie müssen nachweisen, dass Sie Ihre Risiken identifiziert, verhältnismäßige Kontrollen implementiert und beides dokumentiert haben. Microsoft 365 kann bei korrekter Konfiguration einen erheblichen Teil dieser Anforderungen erfüllen — aber "korrekt konfiguriert" trägt in diesem Satz eine enorme Last.
Microsoft 365 wird mit vernünftigen Standardeinstellungen für ein generisches Unternehmen ausgeliefert — nicht vorkonfiguriert für NIS2. Die Lücke ist kein Produktfehler, sondern ein Missverhältnis zwischen dem Standard-Mandanten und den Anforderungen der Richtlinie.
Typische Probleme im Standardzustand: Legacy-Authentifizierungsprotokolle noch aktiviert, keine Conditional-Access-Richtlinien über einfache MFA-Abfragen hinaus, keine Überwachungsprotokollaufbewahrung über die standardmäßigen 90 Tage, keine Dateiklassifizierung, kein dokumentierter Incident-Response-Prozess, externe Freigabe ohne Governance. Jede dieser Lücken kann einen wesentlichen Verstoß gegen Artikel 21 der NIS2 darstellen. Die meisten Umgebungen weisen alle davon auf.
Opsora führt strukturierte Bewertungen für europäische IT-Teams durch. Sprechen Sie direkt mit einem erfahrenen Architekten — kein Vertriebsteam, keine vorbereitete Präsentation.
Briefing anfragenBevor Sie eine einzige Konfiguration ändern, legen Sie fest, was in den Geltungsbereich fällt. NIS2-Scope ist auf Unternehmensebene — wenn Ihr Unternehmen unter die Richtlinie fällt, gilt sie für die gesamte Organisation, nicht nur für einzelne Systeme.
Identifizieren Sie Ihre kritischen Workloads: Exchange Online für Kommunikation, SharePoint und OneDrive für Dokumentenmanagement, Teams für die Zusammenarbeit. Besondere Aufmerksamkeit verdient Ihre Identitäts- und Zugriffsinfrastruktur — Entra ID ist die Steuerungsebene für alles.
Dokumentieren Sie Ihren Scope formal. Das ist die Grundlage Ihres Risikoregisters, und Prüfer werden danach fragen.
Identität ist der Bereich, in dem die meiste NIS2-Arbeit in Microsoft 365 anfällt.
Multi-Faktor-Authentifizierung muss über Conditional-Access-Richtlinien erzwungen werden — nicht nur aktiviert. Legacy-Authentifizierungsprotokolle (SMTP AUTH, IMAP, POP3, Basic Auth) müssen vollständig blockiert werden — diese umgehen MFA unabhängig von Ihren Richtlinieneinstellungen.
Privilegierter Zugriff erfordert besondere Aufmerksamkeit. Globaler Administrator und ähnliche Rollen sollten mit separaten Konten, Privileged Identity Management (PIM) für zeitlich begrenzte Erhöhung und dedizierter phishing-resistenter MFA (FIDO2 oder zertifikatsbasiert) geschützt werden.
Zugriffsüberprüfungen müssen regelmäßig durchgeführt und dokumentiert werden. Entra ID Access Reviews können den Zeitplan automatisieren.
NIS2 verfordert verhältnismäßige Maßnahmen zur Endpunktsicherheit. Mit Microsoft Intune müssen Ihre Geräte-Compliance-Richtlinien erzwingen: Festplattenverschlüsselung (BitLocker/FileVault), aktuelle Betriebssystem- und Patch-Stände, Endpoint Detection and Response sowie Bildschirmsperre nach Inaktivität.
Conditional Access sollte dann so konfiguriert sein, dass für den Zugriff auf sensible Anwendungen ein konformer Gerätestatus erforderlich ist. Nicht verwaltete Geräte werden entweder vollständig blockiert oder erhalten nur eingeschränkten Lesezugriff mit Sitzungskontrollen.
NIS2 verlangt eine Incident-Response-Fähigkeit und eine Benachrichtigung der zuständigen Behörden innerhalb von 24 Stunden nach Bekanntwerden eines erheblichen Vorfalls (vollständiger Bericht innerhalb von 72 Stunden). Dies ist eine der operativ anspruchsvollsten Anforderungen.
In M365-Begriffen bedeutet das: Einheitliches Überwachungsprotokoll aktiviert und mindestens 12 Monate aufbewahrt, Microsoft Sentinel oder gleichwertiges SIEM verbunden, ein dokumentierter Incident-Response-Plan mit klaren Rollen und Eskalationswegen sowie mindestens eine durchgeführte Tabellenübung.
Die 24-Stunden-Meldepflicht ist keine Empfehlung — sie ist gesetzlich. Wenn Sie keinen Prozess haben, um Vorfälle in diesem Zeitfenster zu erkennen, zu eskalieren und zu melden, ist diese Lücke selbst ein Compliance-Verstoß.
NIS2 ist nicht selbstzertifizierend. Sie müssen die Compliance nachweisen: Risikobeurteilung, Kontrollzuordnung, Zugriffsüberprüfungsaufzeichnungen, Incident-Response-Plan und Nachweise zur Richtliniendurchsetzung.
Erweitern Sie die Aufbewahrung der Überwachungsprotokolle auf 12 Monate. Führen Sie ein Register Ihrer wichtigsten Konfigurationen — wenn Sie eine Conditional-Access-Richtlinie ändern, dokumentieren Sie warum, wann und wer es genehmigt hat.
MFA aktiviert, aber nicht erzwungen. Die M365-Einstellungen zeigen MFA als "aktiviert" an, aber keine Conditional-Access-Richtlinie erzwingt sie. Ein häufiger Zustand und eine kritische Lücke.
Überwachungsprotokolle nicht aufbewahrt. Die Standard-Aufbewahrung beträgt 90 Tage. NIS2-Konformität erfordert mindestens 12 Monate — eine Konfigurationsentscheidung, kein Produktlimit.
Keine Lieferkettenbewertung. Artikel 21 der NIS2 umfasst explizit die Lieferkettensicherheit. Drittanbieter-SaaS-Anwendungen via OAuth und externe Auftragnehmer mit privilegiertem Zugriff müssen bewertet und dokumentiert werden.
Eine NIS2-konforme M365-Posture bedeutet: MFA für alle Benutzer über Conditional Access erzwungen, Legacy-Authentifizierung blockiert, privilegierter Zugriff mit PIM geregelt und regelmäßig überprüft, verwaltete Geräte für den Datenzugriff erforderlich, Überwachungsprotokolle 12 Monate aufbewahrt, Incident-Response-Plan dokumentiert und getestet sowie ein Risikoregister, das Ihre Kontrollen den Anforderungen der Richtlinie zuordnet.
Dies ist für die meisten mittelständischen Unternehmen innerhalb von 8–12 Wochen fokussierter Arbeit erreichbar. Was es erfordert, sind Priorisierung, Sequenzierung und Dokumentationsdisziplin.
Wenn Sie ein NIS2-Bereitschaftsprogramm durchführen und eine strukturierte Bewertung Ihrer aktuellen M365-Posture benötigen, ist das genau der Rahmen, in dem Opsora arbeitet. Erfahren Sie mehr über unsere NIS2-Compliance- und Sicherheitsdienste.
Copilot gibt Daten zurück, auf die Ihre Benutzer bereits Zugriff haben. Wenn Berechtigungen und Klassifizierung falsch sind, macht Copilot das sichtbar — und zwar schnell.
Nach der Bewertung von mehr als 50 M365-Umgebungen tauchen immer wieder dieselben fünf Governance-Lücken auf — und jede davon schafft echte betriebliche und Compliance-Risiken.
Opsora begleitet europäische IT-Führungskräfte bei genau diesen Herausforderungen. Ein typisches Engagement beginnt mit einem 30-minütigen Briefing und einem klaren Projektumfang innerhalb einer Woche.