NIS2 verlangt sichere Konfiguration Ihrer IT-Systeme. M365 und Google Workspace sind Ihre kritischsten — haben Sie Nachweise?

Marcel Rieger

Managing Director, Cyber Risk

NIS2 ist seit Oktober 2024 anwendbar. Artikel 21 fordert von wesentlichen und wichtigen Einrichtungen explizit 'Maßnahmen zur Sicherstellung der Cybersicherheit der Lieferkette und der Sicherheit von Beschaffung, Entwicklung und Wartung von Informationssystemen' — inklusive Konfigurationsmanagement.

Was das konkret heißt

Sie müssen nachweisen können, dass Ihre IT-Systeme nach einem anerkannten Sicherheitsstandard konfiguriert sind. Für Cloud-Plattformen wie M365 und Google Workspace ist der CIS-Benchmark der etablierte Maßstab. Ein eigenes Schreiben Ihres IT-Leiters reicht nicht — Sie brauchen einen reproduzierbaren, externen Nachweis.

Was unser Report Ihnen liefert

• CIS-Status für alle 110 (M365) bzw. 109 (GWS) Controls — Pass/Fail/Partial.
• Mapping jedes Controls auf NIS2-Anforderung (Art. 21 Punkte 2a-i).
• ISO-27001-Mapping (A.5 bis A.18) für ergänzende Audits.
• Versionierte Berichte für die jährliche Wiederholungsprüfung.

Doppelte Audit-Verwertbarkeit

Der Report dient gleichzeitig als Nachweis für NIS2 und als Vorbereitung für eine ISO-27001-Zertifizierung. Wenn Sie ohnehin in Richtung ISO 27001 gehen, sparen Sie sich später die separate Cloud-Konfigurations-Prüfung.

Was Sie nach dem Check haben

Einen versionierten, datierten, signierten PDF-Report, den Sie Ihrem ISMS-Manager, Ihrem Auditor oder einer Aufsichtsbehörde vorlegen können. Plus einen klaren Plan, welche Findings Sie in welcher Reihenfolge schließen sollten — risiko-priorisiert.