Mit NIS2 verschärft die EU die Anforderungen an Cybersicherheit und Resilienz. Besonders mittelständische Unternehmen stehen vor der Aufgabe, Technik und Organisation auf ein neues Niveau zu heben. In einem aktuellen Vorprojekt haben wir eine typische IT-Landschaft umfassend geprüft – technisch wie organisatorisch – und daraus eine klare Roadmap in Richtung NIS2-Compliance abgeleitet.
Was bereits gut läuft
Richtlinien & Notfallhandbuch sind vorhanden – das organisatorische Fundament steht.
Zentrales Gerätemanagement (Intune) sorgt für Verschlüsselung, Softwareverteilung und Basiscompliance.
Microsoft 365 ist etabliert (E-Mail, Teams, SharePoint) – inkl. Signatur/Verschlüsselung für E-Mails.
Perimeter-Schutz mit aktueller, hochverfügbarer Firewall und MFA.
USV sichert geordnetes Herunterfahren bei Stromausfall.
Wo Handlungsbedarf besteht
Server/Virtualisierung: Alte Einzel-Hosts ohne Cluster & zentralen Speicher – Ausfallrisiko.
Backups: Uneinheitlich, teils ohne kritische Systeme, zu kurze Aufbewahrungsfristen, seltene Restore-Tests.
Netzwerk & E-Mail: Gewachsen, teilweise alte Switches, breite Firewall-Regeln; M365 nutzt v. a. Basisschutz.
Endpoint Security: Basisschutz vorhanden, aber ohne zentrale, ganzheitliche Sicht und EDR/XDR.
Organisation: Policies existieren, werden aber nicht durchgängig gelebt (Kontrollen, Nachweise, Reviews).
Verfügbarkeit: Einzel-Hosts, fehlende Redundanz im Core-Netz – ein Ausfall kann Prozesse stoppen.
Datenverlust: Unvollständige/kurze Backups, keine Offsite-Strategie, seltene Wiederherstellungstests.
Angriffsfläche: Weit gefasste Firewall-Regeln, fehlende Segmentierung und BYOD-Nutzung.
Identitäten: MFA nicht konsequent für Admin-Logins, verwaiste Konten, lokale Adminrechte am Client.
Physik: Teilweise unverschlossene Racks/Technikräume, gemischte Nutzung von Sicherheits- und Arbeitsbereichen.
Server & Speicher modernisieren
Clusterfähige Virtualisierung mit zentralem Storage (HA, Live-Migration, geordnetes Failover).
Abbau veralteter Systeme, klare VM-Lifecycle-Strategie, aktueller Patchstand.
Backup-Strategie professionalisieren
Alle produktiven Systeme sichern, Offsite/Cloud-Backup etablieren, RTO/RPO definieren.
Tägliches Monitoring, regelmäßige Restore-Tests, klare Aufbewahrungszeiträume.
Netzwerk & Perimeter härten
Regelwerk bereinigen (keine ANY-Regeln), VLAN-Segmentierung durchgängig umsetzen.
Core-Redundanz (Switch-Stack), NAC einführen, WLAN trennen (Mitarbeiter/IoT/Gast) und RADIUS/WPA3 nutzen.
Endpoint Security vereinheitlichen
Entweder Defender for Business konsequent ausrollen oder Sophos XDR durchgängig nutzen.
Zentrale Sicht via Security-Konsole; optional MDR/SOC für 24/7-Erkennung & Response.
Identitäten & Zugriffe nachschärfen
MFA für alle Admins an Servern/Tools, Least Privilege und RBAC umsetzen.
Verwaiste Konten bereinigen, lokale Adminrechte entziehen, Kontenlebenszyklus steuern.
Cloud & E-Mail absichern
M365 Secure Score heben (Conditional Access, Safe Links, Anti-Phishing „Standard/Streng“).
SPF auf -all, DMARC von none → quarantine → reject, rechtssichere E-Mail-Archivierung.
Physische Sicherheit & Betrieb
Technikräume klar trennen, Racks verschließen, USV-Management härten (Passwörter, Alarmierung, Shutdown-Automation).
Monitoring von USV/Batterie & regelmäßige Tests.
Governance & ISMS-Integration
Policies feingliedrig und praxisnah (z. B. „Backup & Recovery“, „Cloud-Nutzung“, „E-Mail-Sicherheit“).
Awareness & Schulungen, regelmäßige Soll-Ist-Reviews und kontinuierliche Verbesserung.
Schwachstellenmanagement mit Scans, CVSS-Priorisierung und Reporting.
IT-Dokumentation konsolidieren (Systeme, Netze, Rechte, Verantwortlichkeiten, Abhängigkeiten).
Die Vorprüfung liefert dafür die Baseline. Der nächste Schritt ist die Verankerung im ISMS nach ISO 27001 – so wird Sicherheit messbar, auditierbar und nachhaltig.
Das Ergebnis ist mehr als Compliance: höhere Verfügbarkeit, weniger Sicherheitsvorfälle und schnellere Reaktion im Ernstfall.