Modul-Detail

NIS2-Dokumentation - tagesaktuell, revisionssicher, exportierbar.

Strukturierte technische Dokumentation Ihrer M365-Sicherheitsmaßnahmen - als Nachweis für Aufsichtsbehörden, Cyber-Versicherer und interne Audits.

NIS2DSGVOTOMsAudit-SpurReportingVersicherung

Was die NIS2-Dokumentation täglich abdeckt

NIS2 verlangt von wesentlichen und wichtigen Einrichtungen den Nachweis, dass angemessene technische und organisatorische Maßnahmen zur IT-Sicherheit umgesetzt sind. „Angemessen” ist juristisch unscharf, aber die Aufsicht (BSI) hat klargestellt: ohne tagesaktuelle Dokumentation gibt es keinen belastbaren Nachweis, und ohne Nachweis kein Schutz vor persönlicher Geschäftsführerhaftung.

Genau hier setzt das Modul an. clarios baut aus den täglichen Konfigurations-Checks, dem Audit-Log und der Drift-Historie eine strukturierte, exportierbare Dokumentation. Sie bekommen kein juristisches Gutachten - sondern die technische Datenbasis, auf der ein juristisches Gutachten erst sinnvoll möglich ist.

Im Folgenden vier typische Situationen, in denen sich diese Datenbasis auszahlt.

Szenario 1 - Cyber-Versicherer fordert vor Vertragsabschluss einen Nachweis

Trigger

Versicherer fordert vor Vertragsabschluss Sicherheitsnachweis.

Der Hintergrund

Der deutsche Cyber-Versicherungs-Markt hat sich in den letzten Jahren strukturell verändert. Wo früher ein Antrag mit selbst-ausgefüllter Checkliste reichte, fordern Versicherer heute strukturierte Sicherheitsnachweise - vor allem im Mittelstand-Segment ab 50 Mitarbeitern. Die Gründe sind verständlich: die Schadensfall-Quote ist stark gestiegen, Versicherer reagieren mit strengerer Risiko-Selektion und höheren Prämien.

Für IT-Verantwortliche bedeutet das: vor jedem Vertragsabschluss (oder bei jeder Vertragsverlängerung) ein Dokumentations-Sprint. Welche Sicherheits-Konfigurationen sind im Tenant aktiv? Welche TOMs sind umgesetzt? Welche Lieferanten haben Zugriff? Das wird in der Praxis oft in Excel und manuell zusammengetragen, oft mit Datenständen, die schon Wochen alt sind, und oft mit Lücken, die der Versicherer kritisch hinterfragt.

Was clarios konkret macht

Sie exportieren den aktuellen Sicherheitsstatus mit zwei Klicks als PDF: tagesaktuelle Konfigurationsübersicht (welche Conditional Access Policies sind aktiv, welche Compliance-Profile, welche DMARC-Policy, etc.), Drift-Historie der letzten 90 Tage (wie viele kritische Findings wurden behoben, wie schnell), und eine TOM-Übersicht (technische Maßnahmen mit Implementierungs-Datum, organisatorische TOMs sofern manuell ergänzt).

Der Export ist strukturiert nach den Kategorien, die deutsche Cyber-Versicherer typischerweise abfragen: Zugriffskontrolle, Endgeräte-Sicherheit, Mail-Sicherheit, Backup/Recovery, Vorfalls-Reaktion. Das macht es dem Underwriter leicht, die relevanten Informationen schnell zu finden - was die Police-Bewertung beschleunigt.

Das Ergebnis

Strukturierte Unterlagen statt nachträglicher Aufarbeitung. Sie sparen sich mehrere Tage an manueller Recherche pro Versicherungs-Vorgang. Versicherer haben eine klare technische Grundlage, was die Police-Verhandlung erleichtert und in vielen Fällen zu besseren Konditionen führt.

Szenario 2 - Aufsichtsbehörde fordert einen NIS2-Nachweis innerhalb von 14 Tagen

Trigger

Aufsichtsbehörde fordert NIS2-Nachweis innerhalb von 14 Tagen.

Der Hintergrund

NIS2-Aufsichtsmaßnahmen können anlassbezogen oder stichprobenhaft erfolgen. Das BSI hat angekündigt, in der Anfangsphase der NIS2-Umsetzung verstärkt mit Stichproben zu arbeiten - gerade bei „wichtigen Einrichtungen” (50–249 Mitarbeiter), die häufig erstmals NIS2-pflichtig werden und denen die Aufsicht zutraut, ihre Hausaufgaben noch nicht vollständig gemacht zu haben.

Wenn ein solches Anschreiben kommt, beginnt typischerweise ein zweiwöchiges Sprint-Projekt: alle Sicherheits-Konfigurationen sind nachzuweisen, mit historischer Tiefe (war das Setup auch vor drei Monaten so?), mit dokumentierten Änderungen und mit einer Begründung für Sicherheits-Entscheidungen. Ohne Vorarbeit ist das in 14 Tagen kaum sauber zu liefern - und unsaubere Antworten an die Aufsicht sind in der Regel der Beginn weiterer Auflagen.

Was clarios konkret macht

clarios liefert die Dokumentation revisionssicher mit Zeitstempel. Sie sehen pro TOM nicht nur den aktuellen Zustand, sondern auch die Historie der letzten 12 Monate: wann wurde die Maßnahme aktiviert, gab es zwischendurch Drift-Ereignisse, wie wurden sie behoben, wie lange dauerten die Drift-Fenster. Bei jedem Drift-Ereignis ist die Wiederherstellungs-Maßnahme verlinkt, sodass der Auditor die Reaktions-Qualität nachvollziehen kann.

Der Export für eine BSI-Anfrage ist nicht ein einzelnes PDF, sondern ein Set aus Dokumenten: eine Executive Summary (1 Seite), eine TOM-Übersicht (5-10 Seiten je nach Tenant-Größe), Detail-Anhänge pro Modul (Tenant, Device, Mail), und ein Audit-Trail-CSV mit allen wesentlichen Sicherheits-Events der letzten 12 Monate. Alle Dokumente sind versionsstempelt und mit kryptografischen Hashes versehen, sodass Manipulation nachweisbar wäre.

Das Ergebnis

Vollständiger technischer Nachweis ohne 14 Tage Beraterprojekt. Sie konzentrieren sich darauf, die organisatorischen TOMs (Schulungen, Notfallpläne, Lieferantenverträge) zu dokumentieren, während die technischen TOMs aus clarios kommen.

Szenario 3 - Es gab einen Vorfall, und Sie müssen Sorgfalt nachweisen

Trigger

Es gab einen Vorfall. Geschäftsführung muss Sorgfalt nachweisen.

Der Hintergrund

Im Schadensfall - sei es ein erfolgreicher Phishing-Angriff, ein Datenleck oder ein Ransomware-Vorfall - kommt nach der akuten Reaktionsphase die juristische Aufarbeitung. Drei Parteien stellen Fragen: die Cyber-Versicherung (war das Setup zum Vorfalls-Zeitpunkt angemessen, sodass die Police greift?), die Aufsichtsbehörde im NIS2-Kontext (wurden die geforderten TOMs umgesetzt?) und potenziell betroffene Geschädigte (im Zivilrecht, wenn personenbezogene Daten geleakt sind).

Die zentrale Frage in allen drei Verfahren ist immer dieselbe: was war zum Zeitpunkt des Vorfalls technisch im Tenant umgesetzt? Wer das ohne Dokumentation rekonstruieren muss, hat ein massives Beweisproblem. Erinnerungsprotokolle und nachträgliche Konfigurationsbeschreibungen werden im Zweifel wenig bis nichts wert sein.

Was clarios konkret macht

clarios hält die täglichen Konfigurations-Snapshots mit Zeitstempel vor. Sie können punktgenau zeigen: am Tag des Vorfalls waren folgende Conditional Access Policies aktiv, MFA war für alle Admins erzwungen, die Compliance-Quote der Geräte lag bei 96 Prozent, die DMARC-Policy stand auf „reject”. Drift-Historie zeigt, dass die Konfiguration in den 90 Tagen vor dem Vorfall stabil und konsistent war.

Die Audit-Spur dokumentiert zusätzlich, welche Fix-It-Aktionen wann durchgeführt wurden - also nicht nur „der Zustand war so”, sondern „wir haben aktiv und kontinuierlich an Sicherheit gearbeitet”. Für die Beweisführung im Zivil- oder Aufsichtsverfahren ist das ein wesentlicher Unterschied.

Das Ergebnis

Dokumentierte Sorgfaltspflicht statt nachträglicher Rekonstruktion. Welche juristische Wirkung das im konkreten Einzelfall hat, hängt vom Verfahren und der Rechtsprechung ab - aber ohne diese Datenbasis ist Ihre Verteidigungsposition deutlich schwächer.

Szenario 4 - Vorstand fragt „Sind wir eigentlich NIS2-konform?”

Trigger

„Sind wir eigentlich NIS2-konform?” - beim nächsten Vorstandsmeeting.

Der Hintergrund

NIS2 ist Vorstandsthema, weil die persönliche Haftung der Geschäftsführung an die Erfüllung der Pflichten geknüpft ist. Vorstände wollen das in Quartalsmeetings vorgelegt bekommen, in einer Form, die sie verstehen - ohne 80-seitiges Gutachten, ohne IT-Detailtiefe, aber mit belastbaren Aussagen.

Was passiert in der Praxis: der IT-Leiter wird gefragt, antwortet nach bestem Wissen „im Wesentlichen ja, wir arbeiten dran”, und es entsteht eine Diskussion ohne saubere Datengrundlage. Der Vorstand bleibt unsicher, der IT-Leiter bleibt unsicher, externe Berater werden hinzugezogen, ein Projekt startet. Ein Projekt, das ohne Datengrundlage zwei Monate dauert.

Was clarios konkret macht

clarios generiert eine einseitige Executive-Übersicht, die Vorstands-tauglich ist: aktueller Sicherheits-Score, kritische Findings (Anzahl und Tendenz der letzten 90 Tage), Fix-Quote (wie viele Findings wurden innerhalb der SLA behoben), Drift-Ereignisse (wie viele kritische Verschlechterungen gab es), Coverage-Übersicht (welche NIS2-relevanten TOMs sind technisch abgedeckt).

Die Übersicht ist nach NIS2-Kategorien strukturiert (Zugriffskontrolle, Endgeräte-Sicherheit, Mail-Sicherheit, Recovery), sodass der Vorstand pro Kategorie sieht: „grün” (im Soll), „gelb” (Aufmerksamkeit erforderlich), „rot” (Handlungsbedarf). Bei Bedarf kann pro Kategorie tiefer drilled werden, aber der Standard-Bericht passt auf eine A4-Seite.

Das Ergebnis

Reporting-fähig in 5 Minuten statt Beraterprojekt. Der Vorstand bekommt belastbare Aussagen, der IT-Leiter steht nicht mehr ohne Datengrundlage da, und die NIS2-Diskussion wird vom „weiß keiner so genau” zum „hier sind die Zahlen” verschoben.

Häufige Fragen

Häufige Fragen zu nis2-dokumentation fragen.

Ersetzt clarios meine NIS2-Beratung oder einen externen Audit?

Nein. clarios liefert die technische Dokumentationsbasis - also tagesaktuelle Belege, welche Microsoft-365-Sicherheitsmaßnahmen umgesetzt sind. NIS2-Compliance ist breiter: organisatorische Maßnahmen, Lieferanten-Verträge, Notfallpläne, Schulungen, Risikoanalyse. Ihr externer NIS2-Berater oder Auditor bekommt mit clarios eine deutlich bessere Datengrundlage für seinen Teil der Arbeit.

In welchen Formaten kann ich die Dokumentation exportieren?

Standardmäßig PDF (für Aufsichts- und Versicherungs-Vorlagen), strukturiertes JSON (für Weiterverarbeitung in eigenen Compliance-Tools), und CSV (für Tabellen-Auswertung). Auf Anfrage liefern wir auch maschinenlesbare Formate für GRC-Tools (Audit Trail JSON gemäß CSAF-ähnlichem Schema). Der Export ist filterbar nach Zeitraum, Modul und Schweregrad.

Werden auch organisatorische TOMs erfasst, oder nur technische?

clarios dokumentiert technische TOMs automatisch (Konfigurationen, die wir aus dem M365-Tenant auslesen können). Organisatorische TOMs (Schulungen, Verträge, Vier-Augen-Prinzip-Definitionen) können Sie als manuelle Einträge ergänzen - sie erscheinen dann zusammen mit den technischen TOMs im Export. So haben Sie ein einheitliches Dokument, statt mehrerer Quellen kombinieren zu müssen.

Was ist mit historischen Daten vor Vertragsbeginn?

clarios beginnt mit der Dokumentation ab dem Tag, an dem der Tenant verbunden wird. Was vor diesem Zeitpunkt war, ist nicht rekonstruierbar - Microsoft hält Konfigurationshistorien begrenzt vor. Bei NIS2-Audits zählt aber primär der Zustand zum Audit-Zeitpunkt plus der Nachweis kontinuierlicher Verbesserung - beides liefert clarios ab dem ersten Tag.

Wie hilft das konkret bei der Cyber-Versicherung?

Cyber-Versicherer fordern vor Vertragsabschluss zunehmend strukturierte Sicherheitsnachweise. Mit dem clarios-Export geben Sie dem Versicherer eine tagesaktuelle, technisch validierte Übersicht statt einer selbstdeklarierten Checkliste. Das beschleunigt die Police-Bewertung und kann zu besseren Konditionen führen. Im Schadensfall belegt die Audit-Spur, welche Maßnahmen zum Vorfalls-Zeitpunkt umgesetzt waren - wichtig für Leistungs-Akzeptanz des Versicherers.

Weitere Module

Sehen Sie sich auch die anderen Module an.

Tenant-Check

280+ Konfigurations-Checks für Entra ID, Conditional Access, Exchange, Defender.

Modul ansehen →

Device-Modul

Geräte-Hygiene, BitLocker- und LAPS-Key-Backup, Stale-Device-Erkennung.

Modul ansehen →

Mail-Modul

DMARC-Reporting, SPF, DKIM - Spoofing-Versuche auf Ihre Domain sichtbar machen.

Modul ansehen →

Zuletzt aktualisiert: 2026-05-23