Die 10 NIS2-Risikomanagementmaßnahmen auf Azure
Alle 10 Risikomanagementmaßnahmen nach NIS2 Artikel 21 auf konkrete Azure-Kontrollen abbilden — inklusive Umsetzungs-Checkliste.
Die NIS2-Richtlinie ist kein Punkt mehr auf der Roadmap. In Deutschland gilt das Umsetzungsgesetz — das NIS2UmsG — seit dem 6. Dezember 2025 ohne Übergangsfrist, das Registrierungsportal des BSI öffnete am 6. Januar 2026, und die Registrierungsfrist zum 6. März 2026 ist bereits verstrichen (eine verspätete Registrierung bleibt verpflichtend und ratsam). Was Geschäftsleitungen jetzt brauchen, ist keine weitere Erläuterung der Richtlinienabsicht, sondern eine präzise Abbildung vom Gesetzestext auf funktionierende technische Kontrollen.
Genau das leistet dieser Beitrag für Microsoft Azure. Wir nehmen die zehn Risikomanagementmaßnahmen aus NIS2 Artikel 21 Absatz 2 und zeigen Maßnahme für Maßnahme, welche Azure-Funktionen sie umsetzen — und wo die Plattform endet und Ihre Verantwortung beginnt.
TL;DR / Die wichtigsten Punkte
- NIS2 Artikel 21 Absatz 2 definiert zehn Mindestmaßnahmen; das deutsche NIS2UmsG setzt diese mit persönlicher Haftung der Geschäftsleitung um.
- Azure liefert die Bausteine, doch Konformität ist ein Ergebnis geteilter Verantwortung — Werkzeuge allein erfüllen keine Maßnahme nach Artikel 21.
- Ein Kernstack aus Defender for Cloud, Sentinel, Entra ID (Conditional Access + PIM), Azure Policy und Azure Backup deckt den Großteil der technischen Fläche ab.
- Die Maßnahmen sind ebenso organisatorisch und prozessual wie technisch: Nachweispflichten, Verantwortlichkeiten und Prüfrhythmus prüfen Auditoren und das BSI.
- Beginnen Sie mit Governance und einem Identitäts-Baseline, dann ergänzen Sie Erkennung, Verschlüsselung und kontinuierliche Policy-Durchsetzung.
Artikel 21 auf Azure lesen
NIS2 fordert einen "Gefahrenübergreifenden Ansatz", der dem Risikoprofil der Einrichtung "angemessen" ist. Dieses Wort — angemessen — ist entscheidend. Eine besonders wichtige Einrichtung (>=250 Beschäftigte oder >50 Mio. EUR Umsatz und >43 Mio. EUR Bilanzsumme) wird an einem höheren Maßstab gemessen als eine wichtige Einrichtung (>=50 Beschäftigte oder >10 Mio. EUR Umsatz). Azure erlaubt es, denselben Kontrollsatz zu skalieren, weshalb sich ein cloud-natives Kontrollmodell so sauber auf die Richtlinie abbilden lässt.
Die folgende Tabelle fasst die Zuordnung zusammen. Die Abschnitte danach liefern die Praxisdetails.
| # | Maßnahme nach Artikel 21 Abs. 2 | Wichtigste Azure-Kontrollen | Ihre Verantwortung |
|---|---|---|---|
| a | Risikoanalyse & Sicherheitskonzepte | Defender for Cloud Secure Score, Azure Policy | Dokumentiertes Risikoframework, benannte Owner |
| b | Bewältigung von Vorfällen | Sentinel, Defender for Cloud, Logic-Apps-Playbooks | Meldeentscheidungen 24h/72h/1 Monat |
| c | Betriebskontinuität & Krisenmanagement | Azure Backup, Azure Site Recovery, unveränderliche Tresore | RPO/RTO-Definitionen, getestete Wiederherstellung |
| d | Sicherheit der Lieferkette | Entra B2B, PIM, Conditional Access, GitHub Advanced Security | Lieferantenbewertung & Verträge |
| e | Sicherheit bei Erwerb/Entwicklung | Defender for DevOps, IaC-Scanning, Private Endpoints | Sicherer SDLC, Änderungssteuerung |
| f | Wirksamkeitsbewertung | Defender-Compliance-Dashboard, Azure-Policy-Compliance | Prüfrhythmus, Aufbewahrung der Nachweise |
| g | Cyberhygiene & Schulungen | Update Manager, Secure Score, Defender XDR Training | Sensibilisierung, Patch-SLAs |
| h | Kryptografie & Verschlüsselung | Azure Key Vault/Managed HSM, Verschlüsselung at rest & in transit | Schlüssel-Governance, kundenverwaltete Schlüssel |
| i | Personalsicherheit, Zugriff, Asset-Mgmt | Entra ID, Intune, Defender-for-Cloud-Inventar | Joiner/Mover/Leaver-Prozess |
| j | MFA & gesicherte Kommunikation | Entra Conditional Access, FIDO2/Passkeys, Private Link | Durchsetzungsumfang, Ausnahmesteuerung |
a. Risikoanalyse und Sicherheitskonzepte für Informationssysteme
Beginnen Sie mit einem lebenden Risikoframework (ISO 27005 oder NIST RMF) und einem vollständigen Asset-Inventar. Auf Azure erkennt Defender for Cloud Ressourcen automatisch und erzeugt einen quantifizierten Secure Score, den Sie über die Zeit verfolgen, während Azure Policy Ihre Sicherheits-Baseline als durchsetzbare Regeln codiert. Die Plattform inventarisiert die Assets; Ihnen gehören die Risikoakzeptanz-Entscheidungen, die Owner und die Prüftermine. Klären Sie zuerst Ihren Geltungsbereich — unser NIS2-Geltungsbereichstest zum NIS2UmsG führt durch die Schwellenwerte.
b. Bewältigung von Sicherheitsvorfällen
NIS2 schreibt einen strengen Takt vor: Frühwarnung innerhalb von 24 Stunden, detaillierter Bericht innerhalb von 72 Stunden und Abschlussbericht innerhalb eines Monats. Eine manuelle Ticket-Warteschlange hält keine 24-Stunden-Frist ein. Leiten Sie Defender-for-Cloud-, Entra-ID- und Ressourcenprotokolle in Microsoft Sentinel und erstellen Sie Logic-Apps-Playbooks, die die Schwere klassifizieren und die Behördenmeldung vorbefüllen. Die operative Seite beschreiben wir in unserem Runbook zur Meldung in 24/72 Stunden.
c. Aufrechterhaltung des Betriebs und Krisenmanagement
Definieren Sie RPO und RTO für jede kritische Workload und weisen Sie sie durch getestete Wiederherstellungen nach — nicht durch dokumentierte Absichten. Azure Backup mit unveränderlichen Tresoren und Soft Delete schützt vor ransomware-getriebener Löschung, und Azure Site Recovery übernimmt das regionale Failover. Führen Sie vierteljährlich Wiederherstellungsübungen durch und bewahren Sie die Nachweise auf; "wir haben Backups" ist erst dann eine Kontrolle, wenn Sie daraus wiederhergestellt haben.
d. Sicherheit der Lieferkette
Hier zeigt NIS2 Zähne. Artikel 21 Absatz 2 Buchstabe d macht Sie für die Sicherheit Ihrer direkten Lieferanten verantwortlich. Auf Azure steuern Sie Drittzugriffe über Entra ID B2B, zeitlich begrenzte Privileged-Identity-Management(PIM)-Rollen und Conditional Access. Validieren Sie Ihre Software-Lieferkette mit GitHub Advanced Security und SBOM-Erstellung in der CI/CD. Und denken Sie daran: Microsoft ist selbst ein kritischer Lieferant, den Sie bewerten und nicht ausnehmen dürfen.
e. Sicherheit bei Erwerb, Entwicklung und Wartung
Verankern Sie Sicherheit im SDLC. Defender for DevOps und Infrastructure-as-Code-Scanning fangen Fehlkonfigurationen vor dem Deployment ab, Private Endpoints halten den Datenverkehr der Data-Plane vom öffentlichen Internet fern, und die Änderungssteuerung bindet jede Produktionsänderung an einen genehmigten Antrag. Das ist DevSecOps im Dienste der Konformität, nicht als separate Übung.
f. Konzepte zur Bewertung der Wirksamkeit
Artikel 21 Absatz 2 Buchstabe f ist die Maßnahme, die Organisationen am häufigsten überspringen — und die das BSI prüfen wird. Sie müssen bewerten, ob Ihre Kontrollen tatsächlich wirken. Das Compliance-Dashboard von Defender for Cloud und die Azure-Policy-Compliance-Zustände liefern kontinuierliche, audittaugliche Nachweise statt einer Jahres-Momentaufnahme. Legen Sie einen Prüfrhythmus fest und bewahren Sie die Nachweise auf.
g. Grundlegende Cyberhygiene und Schulungen
Patchen, Härten und Sensibilisierung. Azure Update Manager steuert das Patchen von Betriebssystem und Workloads mit SLAs, der Secure Score fördert die Konfigurationshygiene, und Defender XDR bietet Angriffssimulations-Trainings. Cyberhygiene ist unspektakulär und überproportional wirksam; die meisten Vorfälle, die wir analysieren, gehen auf ein ungepatchtes System oder eine fehlende Baseline zurück, nicht auf einen exotischen Zero-Day.
h. Kryptografie und Verschlüsselung
Azure verschlüsselt Daten standardmäßig im Ruhezustand und bei der Übertragung, doch NIS2 erwartet ein bewusstes Kryptografie-Konzept. Nutzen Sie Azure Key Vault oder Managed HSM für die Schlüssel-Governance, setzen Sie kundenverwaltete Schlüssel (CMK) ein, wo Datensensibilität oder Souveränität es erfordern, und erzwingen Sie überall TLS 1.2+. Die Kontrolle lautet nicht "Verschlüsselung existiert", sondern "wir steuern unsere Schlüssel und können das nachweisen".
i. Personalsicherheit, Zugriffskontrolle und Asset-Management
Verknüpfen Sie den Identitätslebenszyklus mit der Personalabteilung. Entra ID steuert Joiner/Mover/Leaver-Abläufe, Intune erzwingt Gerätekonformität, und Defender for Cloud pflegt das Asset-Inventar. Least-Privilege-Zugriff und ein sauberer Leaver-Prozess schließen zwei der häufigsten Audit-Feststellungen. Zu Zero Trust als verbindender Architektur über diese Kontrollen hinweg siehe unseren Zero-Trust-Service.
j. Multi-Faktor-Authentifizierung und gesicherte Kommunikation
MFA wird in Artikel 21 Absatz 2 Buchstabe j ausdrücklich genannt und ist faktisch verpflichtend. Erzwingen Sie sie über Entra ID Conditional Access, mit phishing-resistenten FIDO2-Schlüsseln oder Passkeys für privilegierte Konten, und blockieren Sie veraltete Authentifizierung, die MFA umgeht. Sichern Sie Maschine-zu-Maschine- und Dienstverkehr über Private Link und Managed Identities statt über geteilte Geheimnisse.
Eine praxiserprobte Umsetzungsreihenfolge
Die Reihenfolge ist entscheidend. Werden die Maßnahmen in falscher Folge umgesetzt, kostet das Aufwand und hinterlässt Lücken. Die Reihenfolge, die wir in der Umsetzung nutzen:
- Governance und Geltungsbereich. Bestätigen Sie Ihre Einstufung, benennen Sie Owner und holen Sie die Billigung der Geschäftsleitung ein. Die Haftung liegt bei der Geschäftsleitung, daher ist dieser Schritt nicht verhandelbar.
- Ausgangslage. Aktivieren Sie Defender for Cloud und das Compliance-Dashboard, erstellen Sie das Asset-Inventar und messen Sie Ihren anfänglichen Secure Score.
- Identität. Erzwingen Sie phishing-resistente MFA, führen Sie PIM für Just-in-Time-Admin ein und schalten Sie veraltete Authentifizierung ab. Identität ist die wirksamste Kontrolle der Richtlinie.
- Erkennung und Meldung. Binden Sie alles in Sentinel ein und bauen Sie Playbooks, die an den Fristen 24h/72h/1 Monat ausgerichtet sind.
- Resilienz und Kryptografie. Unveränderliche Backups, getestete Wiederherstellungen, Schlüssel-Governance.
- Kontinuierliche Governance. Codieren Sie Kontrollen als Azure Policy, warnen Sie bei Drift und führen Sie Wirksamkeitsbewertungen und Tabletop-Übungen durch.
Wenn Sie zur Registrierung bereit sind, führt unser BSI-Registrierungsleitfaden Schritt für Schritt durch das Portal.
Wo Azure endet und Ihre Verantwortung beginnt
Der wiederkehrende Fehler, den wir sehen, ist, NIS2 als Beschaffungsproblem zu behandeln — Lizenzen kaufen, Funktionen aktivieren, Sieg verkünden. Artikel 21 ist ebenso organisatorisch und prozessual wie technisch. Sentinel entscheidet nicht, ob ein Vorfall meldepflichtig ist; das tun Ihr Playbook und Ihre Mitarbeitenden. Defender for Cloud misst Ihren Status; Ihre Geschäftsleitung trägt das Risiko. Die Plattform verschafft Ihnen Hebelwirkung, aber Verantwortung ist keine SKU.
Bei CC Conceptualise haben wir diese Kontrollen für europäische Unternehmen umgesetzt, die NIS2, DORA und BSI C5 parallel unterliegen, und das Muster bestätigt sich: Organisationen, die die zehn Maßnahmen als kontinuierliches Betriebsmodell begreifen — nicht als einmaliges Projekt — bestehen Audits und, wichtiger noch, halten Vorfällen stand.
FAQ
Was sind die 10 Risikomanagementmaßnahmen nach NIS2? Artikel 21 Absatz 2 NIS2 nennt zehn Mindestmaßnahmen: Risikoanalyse und Sicherheit der Informationssysteme; Bewältigung von Sicherheitsvorfällen; Aufrechterhaltung des Betriebs und Krisenmanagement; Sicherheit der Lieferkette; Sicherheit bei Erwerb, Entwicklung und Wartung; Konzepte zur Bewertung der Wirksamkeit; grundlegende Cyberhygiene und Schulungen; Kryptografie und Verschlüsselung; Personalsicherheit, Zugriffskontrolle und Asset-Management; sowie Multi-Faktor-Authentifizierung und gesicherte Kommunikation. Das deutsche NIS2UmsG setzt diese Maßnahmen um.
Sind wir durch die Nutzung von Azure automatisch NIS2-konform? Nein. Azure liefert die technischen Bausteine, doch NIS2-Konformität ist ein Ergebnis geteilter Verantwortung. Microsoft sichert die Plattform; Sie bleiben für die korrekte Konfiguration von Identität, Protokollierung, Verschlüsselung, Lieferantensteuerung und Governance verantwortlich. Die Maßnahmen nach Artikel 21 sind ebenso organisatorisch und prozessual wie technisch, weshalb Werkzeuge allein nie ausreichen.
Welche Azure-Dienste decken die meisten NIS2-Maßnahmen ab? Microsoft Defender for Cloud, Microsoft Sentinel, Entra ID (Conditional Access und PIM), Azure Policy und Azure Backup decken zusammen den Großteil der technischen Anforderungen ab. Das Compliance-Dashboard von Defender for Cloud bildet Ihre Umgebung gegen Frameworks ab, die sich stark mit NIS2 überschneiden, und liefert so eine kontinuierliche statt einer punktuellen Sicht auf den Kontrollstatus.
Wie behandelt NIS2 die Multi-Faktor-Authentifizierung? MFA wird in Artikel 21 Absatz 2 Buchstabe j ausdrücklich genannt und ist faktisch verpflichtend. Auf Azure setzen Sie sie über Entra ID Conditional Access durch, idealerweise mit phishing-resistenten Verfahren wie FIDO2-Sicherheitsschlüsseln oder Passkeys für privilegierte Konten. Veraltete Authentifizierungsprotokolle, die MFA umgehen, müssen blockiert werden.
Was verlangt NIS2 für die Sicherheit der Lieferkette auf Azure? Artikel 21 Absatz 2 Buchstabe d verpflichtet Sie, Sicherheitsrisiken bei Ihren direkten Lieferanten und Dienstleistern zu steuern. Auf Azure bedeutet das: Steuerung von Drittzugriffen über Entra ID B2B, zeitlich begrenzte PIM-Rollen und Conditional Access, Absicherung der Software-Lieferkette in der CI/CD-Pipeline sowie Überwachung der Sicherheitslage von SaaS- und Managed-Service-Abhängigkeiten. Microsoft selbst ist ein kritischer Lieferant, den Sie bewerten müssen.
Haftet die Geschäftsleitung nach deutschem NIS2-Recht persönlich für diese Maßnahmen? Ja. Nach dem NIS2UmsG muss die Geschäftsleitung die Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen und kann für Versäumnisse bei der Aufsicht persönlich haftbar gemacht werden. Diese Pflicht ist nicht an die IT delegierbar. Geschäftsleitungen sollten dokumentierte Nachweise verlangen, dass jede Maßnahme nach Artikel 21 umgesetzt, getestet und überprüft ist.
Fazit
Die zehn Maßnahmen aus Artikel 21 sind anspruchsvoll, aber auf Azure beherrschbar, sobald man sie richtig sequenziert und als Betriebsmodell statt als Checkliste begreift. Wenn ein erfahrener Architect Ihre Umgebung gegen NIS2 abbilden und den Umsetzungsplan erstellen soll, entdecken Sie unsere Zero-Trust- und Sicherheitsberatung — wir arbeiten als strategischer Engineering-Partner, nicht als Body-Shop.
Themen