Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft — ohne Übergangsfrist und ohne Ausnahmen für nicht vorbereitete Unternehmen. Rund 29.500 Unternehmen in Deutschland müssen jetzt zehn konkrete Sicherheitsmaßnahmen umsetzen, sich beim BSI registrieren und erhebliche Vorfälle innerhalb von 24 Stunden melden. Wer Microsoft 365 einsetzt, hat die technischen Voraussetzungen bereits: Entra ID, Defender, Purview und Intune decken fast alle §30-Anforderungen ab — sofern sie richtig konfiguriert sind. In der Praxis ist genau das das Problem. Dieser Leitfaden zeigt, welche M365-Funktionen welche NIS2-Pflichten erfüllen, welche Lizenz dafür ausreicht und welche acht Schritte Sie in den nächsten Wochen gehen sollten. Unternehmen in Nürnberg und der Region Franken begleiten wir als Microsoft Gold Partner durch den gesamten Umsetzungsprozess.
Was NIS2 für Ihr Unternehmen bedeutet
NIS2 ist kein freiwilliger Sicherheitsstandard — es ist geltendes deutsches Recht mit Bußgeldern bis zu 10 Millionen Euro und persönlicher Geschäftsführer-Haftung bei Fahrlässigkeit. Das NIS2UmsuCG gilt für Unternehmen ab 50 Mitarbeitern oder mehr als 10 Millionen Euro Jahresumsatz in einem der 18 betroffenen Sektoren. Dazu gehören IT-Dienstleistungen, Managed Services, Energie, Gesundheit, Transport und verarbeitendes Gewerbe. Besonders wichtige Einrichtungen — ab 250 Mitarbeitern oder 50 Millionen Euro Umsatz — unterliegen noch schärferen Anforderungen und höheren Bußgeldern.
Drei Kernpflichten gelten ab sofort: Erstens die BSI-Registrierung über das MITS-Portal (Meldeportal für Informationssicherheit). Zweitens die Umsetzung und Dokumentation der zehn Risikomanagementmaßnahmen gemäß §30 BSIG. Drittens die Meldepflicht bei erheblichen Sicherheitsvorfällen: Frühwarnung nach 24 Stunden, Folgemeldung nach 72 Stunden, Abschlussbericht nach einem Monat. Laut der Bitkom-Wirtschaftsschutzstudie 2025 wurden 87 Prozent der deutschen Unternehmen in den vergangenen zwölf Monaten Opfer von Cyberangriffen — 80 Prozent der Angriffe trafen KMU.
Welche Microsoft 365 Funktionen die zehn §30-Maßnahmen abdecken
Die zehn Risikomanagementmaßnahmen aus §30 BSIG lassen sich mit Microsoft 365 technisch abdecken — aber nicht automatisch. Die meisten Funktionen sind in einem Standard-Tenant deaktiviert oder nicht konfiguriert. Die folgende Tabelle zeigt, welches Microsoft-Tool welche Anforderung adressiert.
| §30-Maßnahme | Microsoft 365 / Entra Funktion |
|---|---|
| 1. Risikoanalyse und Sicherheitskonzepte | Microsoft Secure Score, Defender for Cloud Apps |
| 2. Bewältigung von Sicherheitsvorfällen | Microsoft Sentinel, Defender XDR Incident Queue |
| 3. Business Continuity und Backup | Azure Backup, M365 Backup, Exchange Online Archivierung |
| 4. Sicherheit der Lieferkette | Microsoft Purview Compliance Manager |
| 5. Schwachstellenmanagement | Defender Vulnerability Management, Microsoft Intune |
| 6. Wirksamkeitsbewertung der Maßnahmen | Microsoft Secure Score Dashboard, Purview Compliance Manager |
| 7. Schulungen und Sensibilisierung | Microsoft Security Awareness Training (Defender for Office 365 P2) |
| 8. Kryptographische Verfahren | BitLocker, S/MIME in Exchange, Azure Key Vault, TLS-Erzwingung |
| 9. Zugangskontrollen und Asset-Management | Microsoft Entra ID, Intune, Entra Access Reviews |
| 10. Multi-Faktor-Authentifizierung | Entra ID MFA + Conditional Access, Entra PIM (ab P2) |
Ein kritischer Punkt, den viele Tenants übersehen: Die Standard-Aufbewahrungsfrist für Audit-Logs in Microsoft 365 beträgt 90 Tage. NIS2 verlangt eine Mindestaufbewahrung von zwölf Monaten. Diese Einstellung muss explizit im Microsoft Purview Compliance Center angepasst werden — auch bei teuren E3- oder E5-Lizenzen ist sie nicht automatisch aktiv.
Microsoft 365 Lizenz-Check: Was reicht für NIS2?
Nicht jede Microsoft-Lizenzstufe deckt alle NIS2-Anforderungen ab. Für Mittelstandsunternehmen mit 50 bis 300 Mitarbeitern zeigt die folgende Übersicht, was welche Lizenz leistet — und wo Lücken bleiben.
| Lizenz | Preis (ca.) | NIS2-Abdeckung | Verbleibende Lücken |
|---|---|---|---|
| M365 Business Basic / Standard | ab 6 € / Nutzer / Monat | Gering — kein Entra P1, kein Defender for Business | Conditional Access, MFA-Erzwingung, Endpoint-Schutz fehlen |
| M365 Business Premium | ca. 22 € / Nutzer / Monat | Gut — enthält Entra ID P1, Defender for Business, Intune | Entra PIM (privilegierte Konten), Microsoft Sentinel |
| M365 E3 + Entra ID P2 | ca. 36–45 € / Nutzer / Monat | Sehr gut — PIM, Identity Protection, Purview enthalten | Defender for Office 365 P2 (Security Awareness Training) |
| M365 E5 | ab 54 € / Nutzer / Monat | Vollständig — Sentinel, Defender XDR, Entra P2, Purview | Keine wesentlichen Lücken für NIS2 |
Für die meisten Mittelstandsunternehmen ist Microsoft 365 Business Premium der kosteneffiziente Einstieg in die NIS2-Compliance. Business Premium ist die einzige Business-Tier-Lizenz, für die Microsoft die ab Juli 2026 geplante Preiserhöhung ausgesetzt hat — Details dazu in unserem Beitrag zur Microsoft 365 Preiserhöhung 2026. Wer privilegierte Konten vollständig absichern muss, ergänzt Business Premium mit Entra ID P2 für ca. 8,94 Euro pro Nutzer und Monat — damit wird Privileged Identity Management (PIM) verfügbar, das §30 Maßnahme 10 für Administratoren-Konten explizit fordert. In unseren Projekten wechseln betroffene Mittelstandsunternehmen häufig von Microsoft 365 Business Standard auf Business Premium — und ergänzen für IT-Administratoren gezielt Entra ID P2. Das vermeidet ein kostspieliges Upgrade für alle Nutzer und konzentriert den Mehraufwand dort, wo das Risiko am höchsten ist: bei privilegierten Konten.
Die 8-Wochen-Roadmap zur NIS2-Umsetzung mit Microsoft 365
NIS2-Compliance ist ein Projekt mit definierten Phasen — kein einmaliger Konfigurationsschritt. Die folgende Roadmap hat sich in der Praxis für Mittelstandsunternehmen mit 50 bis 200 Mitarbeitern bewährt. In unseren Projekten liegt die Durchlaufzeit typischerweise bei 8 bis 12 Wochen — abhängig von der Tenant-Größe und dem vorhandenen Dokumentationsstand.
Phase 1: Analyse und Identitätshärtung (Woche 1–4)
- Woche 1–2: Gap-Analyse und Betroffenheitsprüfung — Stellen Sie fest, ob Ihr Unternehmen als wichtige oder besonders wichtige Einrichtung gilt. Nutzen Sie den BSI-Selbstcheck auf der BSI-Website und analysieren Sie Ihren M365-Tenant mit dem Microsoft Secure Score als Orientierungspunkt für den Ist-Zustand.
- Woche 3: Identitäts- und Zugangskontrollen härten — Aktivieren Sie Entra ID Conditional Access, erzwingen Sie MFA für alle Nutzer und setzen Sie phishing-resistente Authentifizierungsmethoden (FIDO2-Sicherheitsschlüssel, Microsoft Authenticator mit Number Matching) für Administratoren durch.
- Woche 4: Privilegierte Konten absichern — Richten Sie Entra ID Privileged Identity Management (PIM) für alle Administrator-Rollen ein (ab Entra P2). PIM erzwingt zeitlich begrenzte Rechtezuweisung mit Begründungspflicht — ein direktes Requirement aus §30 Maßnahme 10 für privilegierte Konten.
Phase 2: Endpunktschutz, Backup und Meldewege (Woche 5–8)
- Woche 5: Endpunktschutz und Geräteverwaltung — Registrieren Sie alle Unternehmensgeräte in Microsoft Intune. Aktivieren Sie Defender for Business. Erstellen Sie Compliance-Richtlinien, die nicht-konforme Geräte automatisch vom Zugriff auf Unternehmensdaten ausschließen.
- Woche 6: Backup, Archivierung und Audit-Logs — Konfigurieren Sie Azure Backup oder M365 Backup mit mindestens 12 Monaten Aufbewahrung. Verlängern Sie die Audit-Log-Aufbewahrung im Purview Compliance Center von 90 Tagen auf zwölf Monate. Dokumentieren Sie Ihre RTO- und RPO-Ziele schriftlich.
- Woche 7: Incident-Response-Prozess einrichten — Definieren Sie interne Zuständigkeiten für den Ernstfall. Erstellen Sie eine Dokumentationsvorlage für den 24-Stunden-Meldebogen an das BSI. Testen Sie, ob Microsoft Defender XDR-Warnungen die richtigen Personen rechtzeitig benachrichtigen.
- Woche 8: BSI-Registrierung und Sicherheitskonzept abschließen — Registrieren Sie sich im MITS-Portal des BSI. Erstellen Sie das Sicherheitskonzept gemäß §30 BSIG. Planen Sie die erste jährliche Wirksamkeitsüberprüfung ein. Häufiger Stolperstein aus der Praxis: Viele Unternehmen sind unsicher, ob sie als „wichtige“ oder „besonders wichtige“ Einrichtung gelten — dabei bestimmt genau diese Einordnung den Bußgeldrahmen und die geltenden Meldefristen. Eine falsche Selbsteinordnung kann im Prüffall teuer werden. Klären Sie dies vor der Registrierung im MITS-Portal.
Typische Konfigurationsfehler bei der NIS2-Umsetzung
Die häufigsten Compliance-Lücken entstehen nicht durch fehlende Lizenzen, sondern durch deaktivierte oder falsch konfigurierte Funktionen im bestehenden Tenant. Diese fünf Fehler sehen wir in der Praxis am häufigsten:
- Audit-Logs auf 90 Tage begrenzt: Die Standard-Einstellung in Microsoft 365 speichert Protokolle nur 90 Tage — NIS2 verlangt zwölf Monate. Diese Anpassung muss explizit im Purview Compliance Center vorgenommen werden.
- MFA aktiviert, aber nicht erzwungen: Viele Tenants haben MFA als Option, nicht als Pflicht. Conditional Access Policies fehlen oder decken nicht alle Cloud-Anwendungen ab — das lässt gezielte Umgehungsversuche offen.
- Privilegierte Konten ohne PIM: Globale Administratoren mit dauerhaft aktiven Rechten verstoßen gegen §30 Maßnahme 9. Entra PIM (ab Entra P2) erzwingt zeitlich begrenzte Rechtezuweisung mit Begründungspflicht.
- Keine Gerätekonformitäts-Richtlinien in Intune: Intune ist lizenziert, aber Geräte laufen ohne Compliance-Richtlinien. Private Geräte greifen auf Unternehmensdaten zu, ohne Mindest-Patch-Level oder Geräteverschlüsselung zu erfüllen.
- Kein dokumentierter Incident-Response-Plan: NIS2 verlangt eine BSI-Frühwarnung innerhalb von 24 Stunden nach Entdeckung. Wer keinen vorbereiteten Prozess und keine definierten Zuständigkeiten hat, wird diese Frist im Ernstfall nicht einhalten können.
Was AURUM für Sie übernimmt
Als Microsoft Gold Partner mit Standort in Nürnberg begleiten wir Mittelstandsunternehmen durch den gesamten NIS2-Umsetzungsprozess — von der ersten Betroffenheitsprüfung bis zur BSI-Registrierung und dem abgeschlossenen Sicherheitskonzept. Unser Vorgehen ist pragmatisch: Wir analysieren zunächst Ihren bestehenden Microsoft 365 Tenant und benennen konkrete Konfigurationslücken, bevor wir Lizenzerweiterungen empfehlen. In unseren Projekten steigt der Microsoft Secure Score — der zentrale Messwert für die Sicherheitslage eines Tenants — nach der strukturierten Umsetzung typischerweise von ca. 30 auf über 70 Punkte. Das gibt Geschäftsführung und IT-Verantwortlichen einen konkreten, nachvollziehbaren Fortschrittsnachweis gegenüber dem BSI.
Wir übernehmen: Gap-Analyse gegen §30 BSIG, Konfiguration von Entra ID Conditional Access und Cloud Security, Intune-Rollout und Gerätekonformität, Aufbau des Incident-Response-Prozesses sowie Erstellung des dokumentierten Sicherheitskonzepts. Für Unternehmen, die ihre Identitäts- und Zugriffssteuerung grundlegend modernisieren müssen, bieten wir außerdem eine dedizierte IAM-Beratung an.
Häufige Fragen zu NIS2 und Microsoft 365
Gilt NIS2 für mein Unternehmen?
NIS2 gilt für Unternehmen ab 50 Mitarbeitern oder mehr als 10 Millionen Euro Jahresumsatz in einem der 18 geregelten Sektoren. Dazu gehören IT-Dienstleister, Managed Service Provider sowie Branchen wie Energie, Gesundheit, Transport und verarbeitendes Gewerbe. Die persönliche Geschäftsführer-Haftung greift auch dann, wenn das Unternehmen seine eigene Betroffenheit nicht kannte. Einen offiziellen Selbstcheck zur Einordnung stellt das BSI auf seiner Website bereit.
Reicht Microsoft 365 Business Premium für NIS2-Compliance?
Microsoft 365 Business Premium ist für Mittelstandsunternehmen bis 300 Nutzer ein guter NIS2-Startpunkt. Die Lizenz enthält Entra ID P1 (Conditional Access, SSPR), Defender for Business und Microsoft Intune. Für vollständige NIS2-Compliance fehlen Entra ID P2 (Privileged Identity Management) und Microsoft Sentinel (SIEM/Incident Detection). Ergänzend empfehlen wir Entra ID P2 für ca. 8,94 Euro pro Nutzer und Monat für alle Administrator-Konten.
Bis wann muss ich mich beim BSI registrieren?
Die Registrierungspflicht gilt seit dem 6. Dezember 2025 — dem Tag des Inkrafttretens des NIS2UmsuCG. Eine offizielle Nachfrist gibt es nicht. Die Registrierung erfolgt über das MITS-Portal des BSI. Benötigt werden: Einrichtungsklasse (wichtig / besonders wichtig), Sektorzugehörigkeit, Kontaktdaten und benannte Ansprechpartner für Sicherheitsvorfälle. Das BSI kann fehlende Registrierungen ohne Vorwarnung sanktionieren.
Weitere häufige Fragen zu NIS2 und Microsoft 365
Welche Fristen gelten nach einem Sicherheitsvorfall?
Bei erheblichen Sicherheitsvorfällen gelten drei Meldefristen gegenüber dem BSI: Frühwarnung innerhalb von 24 Stunden (Klassifizierung, Schadensabschätzung, Verdacht auf Ursache). Folgemeldung innerhalb von 72 Stunden (Analyse, eingeleitete Gegenmaßnahmen). Abschlussbericht nach einem Monat (vollständige Dokumentation, Schlussfolgerungen). Wer keinen vorbereiteten Incident-Response-Prozess hat, wird die 24-Stunden-Frist in einer Krisensituation nicht einhalten können.
Kann ich NIS2-Compliance an einen IT-Dienstleister auslagern?
Die technische Umsetzung kann an einen zertifizierten IT-Partner ausgelagert werden. Die rechtliche Verantwortung verbleibt jedoch beim Geschäftsführer des betroffenen Unternehmens — auch wenn ein externer Dienstleister die Konfiguration übernimmt. NIS2 verpflichtet zudem zur Bewertung und Dokumentation von IT-Dienstleistern im Rahmen der Lieferkettensicherheit (§30 Maßnahme 4). Der Dienstleister wird damit Teil Ihrer eigenen Compliance-Dokumentation.
Fazit: NIS2-Compliance ist ein Konfigurationsprojekt — kein Lizenzkauf
Microsoft 365 liefert die technischen Bausteine für NIS2-Compliance. Kein Tenant erfüllt die §30-Anforderungen ohne gezielte Konfiguration — unabhängig von der Lizenzstufe. Wer jetzt handelt, reduziert das Haftungsrisiko der Geschäftsführung und macht seinen M365-Tenant widerstandsfähiger gegen die Angriffe, die laut Bitkom-Studie 2025 bereits 87 Prozent der deutschen Unternehmen getroffen haben. Sprechen Sie uns an — wir bewerten Ihren Tenant und zeigen Ihnen konkret, wo die Lücken liegen.
