Microsoft Cloud · Compliance
Das deutsche NIS2-Umsetzungsgesetz ist seit 6. Dezember 2025 in Kraft. Etwa 29.500 deutsche Unternehmen fallen erstmals unter die Pflicht. Wir bringen Mittelstand und KRITIS-Unternehmen in einen tragfähigen Compliance-Rahmen — auf Microsoft Purview, Microsoft Entra ID und Microsoft Defender. Pragmatisch, nicht überzeichnet.
NIS2 ist da
Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist die deutsche Umsetzung der EU-Richtlinie 2022/2555. Es ist am 6. Dezember 2025 in Kraft getreten und vergrößert den Kreis der pflichtigen Unternehmen drastisch. Etwa 29.500 deutsche Unternehmen fallen erstmals unter NIS2 — viele von ihnen mittelständische Maschinenbauer, Lebensmittelhersteller, IT-Dienstleister, regionale Energieversorger.
Die zentrale Neuerung gegenüber der ersten NIS-Richtlinie: NIS2 erfasst nicht mehr nur die klassischen KRITIS-Branchen, sondern auch wesentliche und wichtige Sektoren in der Breite — von Lebensmittelproduktion über Hersteller bestimmter Maschinen bis zu Anbietern verwalteter IT-Dienste. Wer ein mittleres Unternehmen ab 50 Mitarbeitern und 10 Mio. € Umsatz in einem der 18 NIS2-Sektoren betreibt, ist mit hoher Wahrscheinlichkeit betroffen.
Drei Konsequenzen sind besonders wirksam: Erstens, eine Incident-Reporting-Pflicht binnen 24 Stunden gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Zweitens, ein dokumentiertes Risiko-Management-System mit klaren technischen und organisatorischen Maßnahmen. Drittens — und das wird oft übersehen — eine direkte persönliche Haftung der Geschäftsführung. Wer das Thema delegiert und dann dokumentiert nicht überwacht hat, hat nach NIS2 ein persönliches Problem.
Vier Compliance-Bausteine
Microsoft hat in den letzten drei Jahren einen kohärenten Compliance-Stack aufgebaut. Vier Werkzeuge bilden die Grundlage — sie greifen ineinander, sind aber jeweils eigene Lizenz- und Konfigurations-Gegenstände.
Assessment, Gap-Analyse, Roadmap. Wir prüfen Ihre aktuelle Lage gegen die NIS2-Anforderungen, identifizieren die größten Lücken und priorisieren die Maßnahmen nach Risiko und Aufwand. Ergebnis: ein klar formuliertes Implementierungs-Programm, das Geschäftsführung und IT gemeinsam tragen.
Datenklassifizierung, Data Loss Prevention (DLP), Insider-Risk-Management, Audit. Microsoft Purview adressiert die Frage: Was sind unsere kritischen Daten, wer sieht sie und wer darf was damit tun. Zentral für DSGVO und für NIS2 gleichermaßen.
Identity- und Access-Management. Multi-Faktor-Authentifizierung, Conditional Access, Privileged Identity Management, Identity Protection. Wer NIS2-konform werden will, muss zuerst Identitäten in den Griff bekommen — das ist der höchste Hebel mit dem niedrigsten Risiko.
Endpoint-Security, E-Mail-Security, Cloud-Security, Identitäts-Security. Microsoft Defender XDR vereint die einzelnen Defender-Produkte zu einer Telemetrie-Plattform. Die Incident-Reporting-Pflicht aus NIS2 wird damit operativ erfüllbar — vorausgesetzt, der Stack ist sauber konfiguriert und das Team weiß, wie es ihn nutzt.
Unser Vorgehen
NIS2 ist kein 4-Wochen-Projekt. Aber es ist auch kein 24-Monats-Programm. Wir arbeiten mit unseren Kunden in vier klar getrennten Phasen — jede Phase liefert ein eigenständiges Ergebnis, das auch dann Wert hat, wenn die nächste Phase verschoben wird.
Vier Wochen. Wir prüfen Ihre Betroffenheit (Sektor, Größe, KRITIS-Einstufung), inventarisieren die kritischen Assets und nehmen den Ist-Stand in Microsoft 365, Entra ID und Defender auf. Ergebnis: ein klares Bild der Ausgangslage, ohne Schönreden.
Drei bis vier Wochen. Pro NIS2-Anforderung und pro Microsoft-Werkzeug eine Lücken-Bewertung. Was ist heute erfüllt, was teilweise, was gar nicht. Pro Lücke eine Maßnahme, ein Aufwand, ein Risiko-Beitrag. Ergebnis: ein priorisierter Maßnahmen-Katalog.
4 bis 9 Monate. Implementation der priorisierten Maßnahmen — Quick Wins (MFA, Conditional Access, DLP-Basisregeln) zuerst, dann die strukturellen Themen (Insider-Risk, SIEM, Incident-Response). In Wellen, mit klaren Milestones.
Laufend. NIS2 ist kein Projekt-Endzustand, sondern eine laufende Disziplin. Quartalsweises Compliance-Review, jährliches Audit, kontinuierliche Tuning der Defender-Regeln. Wahlweise im Rahmen unserer Application-Care-Verträge.
Implementierungskosten — die ehrliche Zahl
Wir hören oft die Frage: „Was kostet uns NIS2?" Eine ehrliche Antwort braucht zwei Seiten. Auf der Beratungs- und Implementierungs-Seite kalkulieren wir für mittlere Unternehmen mit 50 bis 500 Mitarbeitenden ein Programm, dessen Kosten wir gemeinsam im Erstgespräch eingrenzen. Diese Spanne deckt Assessment, Gap-Analyse, Roll-out der Quick Wins, Konfiguration von Microsoft Purview/Entra ID/Defender und das Aufsetzen der Incident-Response-Prozesse ab.
Auf der Lizenz-Seite kommen Microsoft-Lizenz-Upgrades hinzu — typischerweise von Microsoft 365 E3 auf E5 oder ergänzende Defender- und Purview-Pakete. Wir kalkulieren das transparent über unseren License Cost Calculator. Pro Mitarbeitenden bedeutet das einen monatlichen Mehraufwand zwischen 8 € und 25 € — die Spannweite hängt stark von der Ausgangslage ab.
Was die Kosten nicht enthalten: Hardware-Erneuerungen (etwa für Endpoint-Härtung), externe Audits durch zertifizierte Prüfer, juristische Begleitung bei der Konformitätserklärung. Diese Posten kalkulieren wir auf Wunsch in einem Gesamt-Budget mit ein, vermitteln aber typischerweise an spezialisierte Partner.
Ehrliche Abgrenzung
Wir machen NIS2-Compliance auf Microsoft-Stack. Drei Bereiche, in denen wir bewusst Partner einbinden:
OT-Sicherheit (Operational Technology). Maschinensteuerungen, SCADA-Systeme, industrielle Sensorik — das ist eine eigene Disziplin mit eigenen Werkzeugen (Claroty, Nozomi, Microsoft Defender for IoT als Brücke). Bei produzierenden Kunden binden wir spezialisierte OT-Partner ein.
Physische Sicherheit. Zutritts-Steuerung, USV, Brandschutz, redundante Standorte — NIS2 verlangt das, wir liefern es nicht. Hier verweisen wir auf Facility-Management-Partner.
Konformitäts-Audits. Den juristischen Stempel auf der Konformitätserklärung setzt eine zertifizierte Prüfgesellschaft, nicht wir. Wir bereiten das Audit vor, dokumentieren die Maßnahmen und begleiten Sie durch die Prüfung — der Stempel kommt von dritter Seite.
Häufige Fragen
NIS2 (EU-Richtlinie 2022/2555) ist die zweite Auflage der Network and Information Security Directive. In Deutschland wurde sie über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt, das am 6. Dezember 2025 in Kraft getreten ist. Etwa 29.500 deutsche Unternehmen fallen erstmals unter die Pflicht.
Drei Kriterien führen zur Pflicht: Branche (18 in NIS2 genannte Sektoren wie Energie, Verkehr, Banken, Gesundheit, IT-Dienste, Hersteller bestimmter Produkte), Größe (mittlere Unternehmen ab 50 Mitarbeitern und 10 Mio. € Umsatz) und Kritikalität (KRITIS-Einstufung). Wir prüfen die Betroffenheit in der ersten Stunde des Erstgesprächs.
NIS2 sieht für besonders wichtige Einrichtungen Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes vor. Für wichtige Einrichtungen bis 7 Mio. € oder 1,4 % Umsatz. Hinzu kommt eine direkte Geschäftsführerhaftung — die Geschäftsleitung steht persönlich in der Pflicht, nicht nur die IT.
Für mittlere Unternehmen kalkulieren wir realistisch mit einem Implementierungs-Budget zwischen 50.000 € und 150.000 €. Das umfasst Assessment, Gap-Analyse, Konfiguration der Microsoft-Werkzeuge (Purview, Entra ID, Defender), Schulung und Aufbau der Reporting-Pflichten. Laufende Kosten kommen über Lizenzen und kontinuierliche Überwachung dazu.
Für die meisten Anforderungen ja. Microsoft Purview, Microsoft Entra ID, Microsoft Defender und Microsoft Sentinel decken den Großteil der NIS2-Anforderungen ab. Lücken bleiben bei OT-Sicherheit (Operational Technology, Maschinensteuerung), spezifischen Branchen-Anforderungen und beim physischen Schutz. Diese Lücken adressieren wir über Partner.
Realistisch 6 bis 12 Monate für mittlere Unternehmen — vom ersten Assessment bis zum produktiven Betrieb der Compliance-Werkzeuge. Quick Wins (Multi-Faktor-Authentifizierung, Conditional Access, grundlegende DLP-Regeln) sind in 4 bis 8 Wochen umsetzbar. Die vollständige Reife inkl. Incident-Response-Prozessen braucht länger.
DSGVO schützt personenbezogene Daten. NIS2 schützt die Verfügbarkeit und Integrität kritischer Dienste — also Cybersicherheit im weiteren Sinn, mit klaren Pflichten zu Risiko-Management, Incident-Reporting (24-Stunden-Frist!) und Geschäftsführer-Haftung. Beide Verordnungen greifen ineinander, decken aber unterschiedliche Schutzgüter ab.
30 Min Erstgespräch oder 45 Min Architecture
Wir prüfen Betroffenheit, Reifegrad und größte Lücken in einem ersten Gespräch. Bei komplexen Setups mit mehreren Standorten, OT-Anteilen oder Konzern-Strukturen direkt in unserem 45-Min-Architecture-Call.
Begleitende Dienstleistungen
Engineering-Projekte stehen selten allein — Lizenz-Logik, Architektur-Klärung, Quality-Gates, Wissens-Transfer und Folge-Betrieb laufen meistens parallel. Hier die häufigsten Begleitleistungen, die wir in Discovery-Spike, Sprint-Festpreis oder Application-Care-Verträgen zubuchen.
Vorab · Architektur
Bevor implementiert wird: Tenant-Struktur, Datenmodell, Sicherheitskonzept, Integration-Mapping. Ergebnis ist ein Architektur-Dokument, mit dem jedes Engineering-Team weiterarbeiten kann — auch ein anderes als wir.
Ansehen →
Vorab · CSP
Welche Lizenz-Bundles für welche User, welche Add-on-SKUs notwendig sind, wo Sie über- oder unterlizenziert sind. Als Microsoft Lizenzierungspartner bezogen — mit der Option, CSP nur als Kontrolle ohne Margenmaximierung zu nutzen.
Ansehen →
Während · Quality-Gate
Unabhängige Zweit-Meinung während eines laufenden Implementations-Projekts — egal ob wir es selbst durchführen oder ein anderer Partner. CMMI-basierte Quality-Gates, Risk-Reviews, Festpreis pro Gate.
Während · Adoption
Nicht der klassische 2-Tage-Workshop, der nach einer Woche vergessen ist — sondern ein dynamisches Lernprogramm über 4–6 Wochen mit Erstschulung, Anwendungsphasen und Aufbau-Sessions. Schulungs-Matrix für Rollen und Themen.
Ansehen →
Danach · Betrieb
Nach Go-Live: planbarer Application-Care-Vertrag mit Monatspauschale, SLA-basiert. Inklusive Releases, Hotfixes, Erweiterungen, Tenant-Hardening — und kontinuierlicher Begleitung statt nur Reaktion auf Ticket.
Ansehen →
Danach · Wissen
Wenn die ursprünglichen Entwickler weg sind, der Vorgänger-Partner nicht mehr greifbar oder die Dokumentation veraltet — Reverse Engineering der bestehenden Lösung mit dokumentiertem Ergebnis: Code-Map, Datenmodell, Customization-Inventar.
Ansehen →
