NIS2 und Microsoft 365: Was betroffene Unternehmen jetzt konfigurieren müssen

Das NIS2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft, ohne Übergangsfrist. Rund 30.000 Unternehmen in Deutschland sind betroffen. Die gute Nachricht für alle, die Microsoft 365 nutzen: Die technischen Werkzeuge für die geforderten Risikomanagement-Maßnahmen sind in den bestehenden Lizenzen enthalten. Die schlechte: In den meisten Tenants sind sie nicht konfiguriert.

Wer ist von NIS2 betroffen?

Das Gesetz erfasst Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz in 18 definierten Sektoren. Dazu zählen Energie, Transport, Gesundheit, Finanzwesen, digitale Infrastruktur, öffentliche Verwaltung und weitere kritische Bereiche. Die Pflichten sind klar: Registrierung beim BSI, Risikomanagement in 10 Bereichen, Meldepflichten bei Sicherheitsvorfällen und persönliche Haftung der Geschäftsführung. Bußgelder können bis zu 10 Millionen Euro betragen.

Die 10 Risikomanagement-Bereiche und ihre M365-Umsetzung

§30 Absatz 2 des NIS2-Umsetzungsgesetzes definiert zehn Bereiche, in denen Unternehmen Maßnahmen ergreifen müssen. Für jeden dieser Bereiche bietet Microsoft 365 Lösungen, vorausgesetzt, sie werden korrekt konfiguriert.

1. Risikoanalyse und Sicherheitskonzepte

Der Purview Compliance Manager bietet vorgefertigte Assessments und einen Compliance Score. Er kann als Grundlage für die Risikoanalyse dienen und den Fortschritt der Umsetzung tracken. Ergänzend sollte ein ISMS nach ISO 27001 aufgebaut werden.

2. Bewältigung von Sicherheitsvorfällen

Microsoft Defender for Office 365 und Defender for Endpoint erkennen Bedrohungen automatisch. Microsoft Sentinel als SIEM sammelt Alerts und ermöglicht automatisierte Incident Response. Für die 24-Stunden-Meldepflicht an das BSI sollten klare Prozesse definiert und getestet werden.

3. Business Continuity und Krisenmanagement

Azure Backup und M365-native Backup-Funktionen sichern Daten. Azure Site Recovery ermöglicht Disaster Recovery. Business Continuity Plans sollten dokumentiert und regelmäßig getestet werden.

4. Sicherheit der Lieferkette

Microsoft stellt umfangreiche Compliance-Dokumentation bereit (SOC 2, ISO 27001, C5). Für weitere Drittanbieter sollte ein Vendor Risk Assessment Prozess etabliert werden.

5. Sicherheit bei Erwerb, Entwicklung und Wartung

Intune Device Compliance Policies stellen sicher, dass nur sichere, aktuelle Geräte Zugriff erhalten. Windows Update for Business automatisiert Patch Management. Defender Vulnerability Management identifiziert Schwachstellen.

6. Bewertung der Wirksamkeit

Secure Score und Compliance Score bieten laufende Messung. Access Reviews prüfen regelmäßig Berechtigungen. Simulated Phishing Attacks in Defender testen die Wirksamkeit der Awareness-Maßnahmen.

7. Cyberhygiene und Schulung

Microsoft bietet Attack Simulation Training für Phishing-Awareness. Ergänzend sollten regelmäßige Schulungen zu Labeling, DLP und sicherem Umgang mit Daten stattfinden.

8. Kryptografie

M365 verschlüsselt Daten at rest und in transit. Sensitivity Labels können zusätzliche Verschlüsselung auf Dokumentebene erzwingen. Customer Key ermöglicht eigene Verschlüsselungsschlüssel.

9. Personalsicherheit und Zugriffskontrolle

Entra ID mit Conditional Access, MFA und PIM bilden das Fundament. Access Reviews automatisieren die Überprüfung. Identity Governance steuert Berechtigungen über den gesamten Lebenszyklus.

10. Multifaktor-Authentifizierung und sichere Kommunikation

MFA per Conditional Access für alle Benutzer und alle Apps. Phishing-resistente MFA-Methoden (FIDO2, Passkeys) für privilegierte Konten. Verschlüsselte E-Mail-Kommunikation über Purview Message Encryption.

Handlungsempfehlung

Starten Sie mit einer Bestandsaufnahme. Welche der zehn Bereiche sind technisch abgedeckt? Wo gibt es Gaps? Dokumentieren Sie den Status und erstellen Sie eine priorisierte Roadmap. Bei NIS2 zählt nicht nur die Umsetzung, sondern auch die Nachweisbarkeit.