NIS2 und Microsoft 365: Die 10 Bereiche aus §30 mit konkreten M365-Komponenten mappen
NIS2 §30 Absatz 2 listet 10 Bereiche, in denen betroffene Unternehmen Risikomanagement betreiben müssen. Auf 3 Sätzen, sehr abstrakt formuliert. Was für die Praxis fehlt: welche Microsoft-365-Komponenten welchen Bereich technisch abdecken. Dieser Artikel liefert das Mapping mit konkreten Konfigurationshinweisen.
Warum das NIS2-Mapping so schwer fällt
Rund 30.000 Unternehmen in Deutschland sind von NIS2 betroffen. Der häufigste Satz, den wir in Erstgesprächen hören: "Wir sind betroffen, aber wir wissen nicht, was das für unser M365-Setup heißt."
Das ist nachvollziehbar. NIS2 §30 ist generisch formuliert: "Konzepte für die Risikoanalyse und Sicherheit für Informationssysteme", "Bewältigung von Sicherheitsvorfällen", "Aufrechterhaltung des Betriebs". Was das konkret in Microsoft 365 bedeutet, steht nirgendwo. Auch nicht bei Microsoft.
Dieses Mapping schließt die Lücke. Pro Bereich: was die Norm verlangt, welche M365-Komponenten das technisch abdecken, was konkret konfiguriert werden muss.
Risikoanalyse-Konzept und Vorfallsmanagement
Bereich 1 (Risikoanalyse-Konzept) verlangt eine dokumentierte Methodik zur Bewertung von ICT-Risiken. M365 liefert dafür Microsoft Secure Score, Microsoft Purview Compliance Manager und Defender Security Posture Management. Daraus wird kein vollständiges Risikomanagement, aber eine fundierte technische Basis.
Bereich 2 (Vorfallsmanagement) erfordert dokumentierte Erkennung, Behandlung und Meldung von Sicherheitsvorfällen. Microsoft Defender XDR, Sentinel und das Unified Audit Log decken die technische Seite ab. Plus: ein dokumentiertes IR-Playbook mit Eskalationspfaden, das in einer jährlichen Tabletop-Übung getestet wird.
Aktion: Compliance Manager als Risikoanalyse-Werkzeug aktivieren, Defender XDR und Sentinel für Vorfallserkennung produktiv schalten, IR-Playbook erarbeiten und Tabletop-Übung jährlich planen.
Backup und Resilienz
NIS2 verlangt eine Backup-Strategie, die auch im Falle einer Tenant-weiten Kompromittierung greift. Native Mechanismen (Recycle Bin, Retention Policies) reichen nicht aus, weil sie im selben Sicherheitskontext laufen.
Die NIS2-konforme Lösung ist ein Drittanbieter-Backup mit Air-Gap und Immutable Storage. Anbieter wie Veeam, AvePoint, Druva, Keepit oder Hornetsecurity decken Microsoft 365 inkl. Teams-Chats und Konfigurationen ab. RTO und RPO werden gemäß betrieblicher Continuity-Anforderungen definiert.
Aktion: Drittanbieter-Backup mit Air-Gap evaluieren und beschaffen, RTO und RPO im Continuity-Plan dokumentieren, Wiederherstellungstest jährlich durchführen.
Sicherheit der Lieferketten und Software-Beschaffung
Bereich 4 (Lieferkettensicherheit) ist für M365-Kunden in zwei Richtungen relevant. Microsoft selbst ist die größte Lieferkette: EU Data Boundary, Customer Lockbox und das Subprozessoren-Verzeichnis sind hier zu dokumentieren. Eingehende Lieferanten (CSPs, externe Dienstleister mit Tenant-Zugang) brauchen ein Drittanbieter-Risikoregister.
Bereich 5 (Sicherheit von ICT-Systemen) verlangt sichere Beschaffung und Konfiguration. Defender for Office 365, Defender for Endpoint und Conditional Access sind die zentralen Werkzeuge. Ergänzt durch Secure Configuration Baselines (Microsoft 365 Apps for Enterprise Security Baselines).
Aktion: EU Data Boundary aktivieren, Customer Lockbox dokumentieren, Drittanbieter-Risikoregister anlegen, Secure Configuration Baselines aktivieren.
Wirksamkeitsbewertung und Cyberhygiene
Bereich 6 (Wirksamkeitsbewertung) verlangt regelmäßige Prüfung der ergriffenen Maßnahmen. M365 liefert dafür Microsoft Secure Score (kontinuierliche Bewertung), den Compliance Manager und Defender Vulnerability Management. Plus: jährliche externe Penetrationstests und ein Vulnerability-Management-Prozess.
Bereich 7 (Cyberhygiene und Schulung) deckt Awareness-Trainings und Phishing-Simulationen ab. Microsoft Attack Simulator führt diese in Microsoft 365 nativ durch. Wichtig ist nicht die Simulation an sich, sondern die messbare Reduktion der Klickraten über die Quartale.
Aktion: Secure Score Review monatlich, Attack Simulator-Kampagne quartalsweise, Klickraten-Reduktion als KPI in Compliance-Dashboard aufnehmen.
Krypto-Konzept und Zugriffsmanagement
Bereich 8 (Kryptografie und Krypto-Schlüsselmanagement) erfordert ein dokumentiertes Krypto-Konzept. Microsoft 365 verwendet TLS für Transport, BitLocker für Devices und Microsoft-managed Keys für Service Encryption. Für höhere Anforderungen ist Customer Key oder Double Key Encryption verfügbar.
Bereich 9 (Zugangskontrolle und Asset-Management) ist der größte M365-Bereich. Conditional Access, PIM, Access Reviews, Sensitivity Labels, Insider Risk Management decken das Spektrum ab. Hier liegt typisch der größte Hebel für die Compliance-Posture.
Aktion: Krypto-Konzept dokumentieren, Conditional Access Policies härten, PIM für privilegierte Rollen aktivieren, Access Reviews quartalsweise.
Authentifizierung und sichere Kommunikation
Bereich 10 verlangt phishing-resistente Authentifizierung für privilegierte Rollen. App-Push reicht nicht mehr aus. FIDO2-Schlüssel und Passkeys sind die NIS2-konforme Variante. Die Implementierung erfolgt über Authentication Strength Policies in Conditional Access.
Sichere Kommunikation umfasst zusätzlich verschlüsselte E-Mail (Office 365 Message Encryption), gesicherte Voice-Kommunikation in Teams (TLS 1.2+ Pflicht) und VPN-freier Zugang über Conditional Access. Die Einzelmaßnahmen sind technisch trivial. Der Aufwand liegt in der konsistenten Durchsetzung über alle User-Gruppen.
Aktion: FIDO2 für alle Tier-0-Accounts ausrollen, Authentication Strength für privilegierte Rollen erzwingen, E-Mail-Verschlüsselung für sensible Kommunikation aktivieren.
Faustregel: NIS2 §30 ist nicht durch eine einzelne M365-Komponente abgedeckt. Es ist die Kombination aus Konfiguration, Dokumentation und Wirksamkeitsnachweis. Eine Lizenz allein macht kein Unternehmen NIS2-konform.
Die 10 Bereiche lassen sich pragmatisch in 12 bis 16 Wochen abarbeiten, wenn priorisiert wird. Wer alles gleichzeitig angeht, scheitert an Ressourcen. Wer mit Bereich 10 (Authentifizierung) und Bereich 9 (Zugriffsmanagement) startet, schließt die größten Lücken zuerst. Eine ehrliche Self-Assessment-Tabelle pro Bereich ist der erste Schritt.
Microsoft 365 Compliance Check
In 5 Tagen bekommen Sie einen NIS2-Self-Assessment-Bericht für Ihren M365-Tenant. Pro Bereich: Soll-Stand, Ist-Stand, priorisierter Maßnahmenplan, Aufwand und Zeitfenster.
Zum Compliance Check