NIS2-Compliance in Microsoft-Umgebungen umsetzen
ARTIKEL 21 IN DER PRAXIS
Was NIS2 fordert - abgebildet auf Ihre Microsoft-Umgebung
NIS2 Artikel 21 definiert zehn verbindliche Massnahmenkategorien. Für Microsoft-365- und Azure-Umgebungen hat jede Kategorie ein direktes technisches Äquivalent.
Risikomanagement & Sicherheitsrichtlinien Artikel 21(2)(a) - Defender for Cloud Secure Score als Posture-Baseline, dokumentierte Konfigurationsrichtlinien, definiertes Abweichungsmanagement. Vorfallserkennung & Reaktion Artikel 21(2)(b) - Microsoft Sentinel als SIEM, Defender XDR für Erkennung und automatisierte Reaktion, definierte Playbooks und Eskalationspfade. Betriebskontinuität Artikel 21(2)(c) - Backup- und Recovery-Konfigurationen, Notfall-Tenant-Zugang, dokumentierte Krisenreaktionsprozesse.
Lieferkettensicherheit Artikel 21(2)(d) - Entra ID External Access Governance, Conditional Access für Drittanbieterzugang, dokumentierte Anbieter-Risikobewertungen.
Zugangskontrolle & MFAArtikel 21(2)(i) - Entra ID Conditional Access, MFA-Durchsetzung, Privileged Identity Management, Zero-Trust-Architektur. Verschlüsselung & Datenschutz Artikel 21(2)(h) - Microsoft Purview Information Protection, BitLocker, TLS-Durchsetzung, Sensitivitätslabels. Schwachstellenmanagement Artikel 21(2)(e) - Defender Vulnerability Management, automatisiertes Patching via Intune, kontinuierliches Exposure-Monitoring.
Von regulatorischen Anforderungen zu umsetzbarer Sicherheit
Stehen Sie vor NIS2 Herausforderungen?
Anwendungsbereich
Ihr Unternehmen fällt unter den Anwendungsbereich von NIS2 (oder dies wird aktuell geprüft) und Sie benötigen Klarheit über die Auswirkungen auf Ihre IT.
Fehlendes Umsetzungsmodell
Konkrete technische Maßnahmen sind rechtlich gefordert, aber es existiert noch kein klares, auf Microsoft zugeschnittenes Architektur- oder Umsetzungsmodell.
Compliance vs. Betrieb
Regulatorische Vorgaben auf dem Papier müssen in die technische Realität Ihrer bestehenden IT-Umgebung übersetzt werden.
Haftungs- & Berichtspflichten
Gestiegene Haftungsrisiken für das Management oder bevorstehende externe Audits erfordern ab sofort belastbare und nachvollziehbare technische Grundlagen.
Unser Vorgehensmodell
Was wir im Rahmen von NIS2 umsetzen
Anwendbarkeits- & Gap-Einordnung
In Zusammenarbeit mit spezialisierten Partnern klären wir, welche NIS2-Anforderungen technisch für Sie relevant sind und wo konkrete Handlungsbedarfe bestehen.
Technische Ableitung
Wir übersetzen die regulatorischen Anforderungen in exakt umsetzbare Maßnahmen. Ohne theoretische Idealbilder, aber technisch belastbar.
Umsetzung & Verankerung
Implementierung der definierten Maßnahmen und saubere Einbettung in Ihre bestehende Betriebs- und Verantwortungsmodelle.
Pragmatismus statt Übererfüllung
Wir filtern die Maßnahmen so, dass sie gesetzliche Vorgaben erfüllen, ohne Ihre IT-Organisation durch Übererfüllung (Over-Engineering) zu lähmen.
Betriebliche Wirksamkeit
Unser Fokus liegt darauf, dass NIS2-Anforderungen operativ wirksam werden. Ziel ist nicht die einmalige Umsetzung, sondern die dauerhafte Stabilität.
Klares Ergebnis für Entscheider
Nach Abschluss ist klar dokumentiert, welche Anforderungen relevant sind, wie diese in Microsoft konkret umgesetzt wurden und wo organisatorische Restaufgaben liegen.
Unternhemen die uns vertrauen:
Whitepaper
TECHNISCHE WIRKSAMKEIT STATT COMPLIANCE-CHECKLISTE.
Wie die Lücke zwischen dokumentierter NIS2-Compliance und technisch wirksamer Umsetzung in Microsoft 365 entsteht und wie nachweisbare Compliance aussieht. Für CISOs und Compliance-Verantwortliche in betroffenen Organisationen.
Häufig gestellte Fragen
FAQ
Was ist NIS2 und welche Unternehmen sind betroffen?
NIS2 gilt für Organisationen in kritischen und wichtigen Sektoren in der EU - Energie, Verkehr, Gesundheitswesen, Finanzdienstleistungen, digitale Infrastruktur und verarbeitendes Gewerbe. In Deutschland sind seit Dezember 2025 mehr als 30.000 Unternehmen erfasst. Die Schwelle liegt bei 50+ Mitarbeitenden oder 10 Mio. EUR Jahresumsatz in betroffenen Sektoren.
Welche Sanktionen drohen bei NIS2-Verstoß?
Wesentliche Einrichtungen: bis zu 10 Millionen EUR oder 2% des globalen Jahresumsatzes. Wichtige Einrichtungen: bis zu 7 Millionen EUR oder 1,4%. Artikel 20 begründet zudem die persönliche Haftung der Geschäftsführung - einschliesslich möglicher Verbote der Ausübung von Führungsfunktionen.
Was fordert NIS2 Artikel 21 konkret?
Zehn verbindliche Kategorien: Risikoanalyse und Sicherheitsrichtlinien, Vorfallsbehandlung, Betriebskontinuität, Lieferkettensicherheit, Systemsicherheit, Wirksamkeitsbewertung, Cyber-Hygiene, Cybersicherheitsschulungen, Verschlüsselung sowie Zugangskontrolle mit MFA. Das sind Betriebsanforderungen - keine Dokumentationspflichten.
Wie betrifft NIS2 die Haftung der Geschäftsführung?
Artikel 20 verpflichtet Führungskräfte, Cybersicherheitsmassnahmen zu genehmigen und deren Umsetzung zu überwachen. Bei Compliance-Versagen gilt persönliche Haftung - einschliesslich Bussgelder und möglicher Führungsverbote. NIS2 kann nicht vollständig an die IT delegiert werden.
Was ist der Unterschied zwischen NIS2-Compliance und NIS2-Dokumentation?
NIS2 fordert wirksame Maßnahmen - keine dokumentierten Absichten. Eine Richtlinie, die auf dem Papier existiert, aber nicht in den tatsächlichen Systemen konfiguriert ist, erfüllt NIS2 nicht. cycura implementiert die erforderlichen Konfigurationen direkt in Ihrem Microsoft-Tenant und dokumentiert die Umsetzung für das Regulierungs-Reporting.
Gilt NIS2 auch für Microsoft-365- und Azure-Umgebungen?
Ja. Die in Artikel 21 definierten Massnahmen müssen in der tatsächlichen IT-Umgebung implementiert sein. Microsoft Defender XDR, Sentinel, Entra ID und Purview können viele Artikel-21-Anforderungen erfüllen - aber nur wenn korrekt konfiguriert und gepflegt.
Wie lange dauert die NIS2 Umsetzung?
Abhängig vom Ausgangsstand und der Größe des Unternehmens typischerweise 3-6 Monate für die technische Umsetzung der relevanten Maßnahmen in Microsoft 365 & Azure. Die Gap-Einordnung dauert 2-4 Wochen.
Wer ist bei NIS2 verantwortlich im Unternehmen?
Das Management trägt die Haftung (Artikel 20). Die technische Umsetzung obliegt dem CISO bzw. IT-Leiter. Wir unterstützen bei der technischen Umsetzung und dokumentieren diese für die Meldung an die Behörden.
Reicht es, wenn wir NIS2 dokumentieren?
Nein. NIS2 verlangt wirksame technische und organisatorische Maßnahmen. Wir implementieren konkrete Sicherheitskonfigurationen in Ihrem Microsoft Tenant, statt nur Richtlinien auf dem Papier zu erstellen.
NIS2 Ready?
Der Einstieg erfolgt über eine strukturierte Einordnung Ihrer NIS2-Relevanz und technischen Ausgangslage. Nicht über pauschale Maßnahmenpakete, sondern über Klarheit zu Anforderungen, Abhängigkeiten und Umsetzbarkeit.