Das neue NIS2-Gesetz ist seit Dezember 2025 in Kraft und die Uhr tickt: Bis zum 6. März 2026 müssen sich betroffene Unternehmen registrieren. Die Richtlinie fordert umfassende Cybersicherheits-Maßnahmen – von Firewalls bis zu Schulungen. Doch ein kritischer Aspekt wird oft übersehen: unkontrollierte Zugriffsrechte in Kollaborationsplattformen wie SharePoint. Als Geschäftsführer haftest Du persönlich – und hier gibt es ein Problem, das Du mit Bordmitteln nicht lösen kannst.
Der Druck ist da: NIS2 fordert ein umfassendes Maßnahmenpaket
Die neue EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) ist mehr als nur ein weiteres Regelwerk. Sie ist eine direkte Antwort auf die wachsende Bedrohung durch Cyberangriffe und betrifft in Deutschland rund 30.000 Unternehmen. Die Anforderungen sind umfassend: technische Sicherheitsmaßnahmen, Incident-Response-Prozesse, Schulungen, Risikomanagement, Lieferkettenmanagement und vieles mehr. Die Bußgelder sind empfindlich (bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes) und die Konsequenzen für die Geschäftsführung gravierend: Bei Verstößen haftest Du persönlich.
Viele Unternehmen rüsten technisch auf, investieren in Firewalls, Endpoint-Security und Intrusion-Detection-Systeme. Sie entwickeln Notfallpläne, schulen Mitarbeiter und dokumentieren Prozesse. Das ist wichtig und richtig – aber es ist nur ein Teil der Lösung. Denn was nützt die beste Festung, wenn die Schlüssel zur Vordertür unkontrolliert im Umlauf sind?
Ein kritischer Baustein: Zugriffskontrolle in Kollaborationsplattformen
NIS2 fordert explizit eine wirksame Zugriffskontrolle. Das bedeutet nicht nur, dass Du Zugänge vergeben musst, sondern auch, dass Du regelmäßig überprüfen musst, wer noch Zugriff hat und ob dieser noch gerechtfertigt ist. Berechtigungsmanagement ist dabei ein wichtiger Baustein – und SharePoint-Berechtigungen sind wiederum ein kritischer Teilaspekt davon.
Genau hier liegt ein oft unterschätztes, organisatorisches Risiko. In Systemen wie Microsoft SharePoint entstehen täglich neue Freigaben. Ein Projektteam braucht Zugriff auf einen Ordner, ein externer Partner auf eine Datei, ein neuer Mitarbeiter auf eine ganze Bibliothek. Diese Freigaben sind schnell erteilt, geraten im Arbeitsalltag aber oft in Vergessenheit. Sie bleiben bestehen, lange nachdem das Projekt abgeschlossen, der Partner gewechselt oder der Mitarbeiter das Unternehmen verlassen hat.
Über Jahre entsteht so ein unkontrollierbarer Wildwuchs an Berechtigungen. Niemand weiß mehr genau, wer worauf zugreifen darf. Das ist nicht nur ein Compliance-Albtraum, sondern auch ein massives Sicherheitsrisiko. Während technische Sicherheitslücken durch Patches geschlossen werden können, bleiben organisatorische Lücken oft jahrelang unentdeckt – weil sie von innen kommen und von außen unsichtbar sind.
Hier kommt das eigentliche Problem: SharePoint bietet mit seinen Bordmitteln keine Möglichkeit, individuelle Freigaben über Bibliotheken, Ordner und Dateien hinweg systematisch zu analysieren. Du kannst einzelne Berechtigungen ansehen, aber es gibt keine Gesamtübersicht, keinen Report, keine strukturierte Auswertung. Ohne diese Transparenz kannst Du als Geschäftsführer Deiner Sorgfaltspflicht nicht nachkommen – und haftest persönlich, wenn etwas schiefgeht.
Das unterscheidet diesen Aspekt von vielen anderen NIS2-Anforderungen. Für Firewalls, Virenscanner oder Backup-Lösungen gibt es etablierte Tools und Prozesse. Aber für die Analyse historisch gewachsener SharePoint-Berechtigungen fehlt die Lösung – zumindest im Standard.
Was NIS2 konkret von Dir als Geschäftsführer fordert
NIS2 verlangt von Dir ein proaktives Risikomanagement. Das bedeutet, Du musst die Risiken für Deine Netz- und Informationssysteme nicht nur kennen, sondern auch aktiv steuern. Im Bereich Zugriffskontrolle gehören dazu:
Zugriffskontrolle: Du musst sicherstellen, dass nur berechtigte Personen auf sensible Daten und Systeme zugreifen können. Das bedeutet nicht nur, Zugänge zu vergeben, sondern auch regelmäßig zu überprüfen, wer noch Zugriff hat und ob dieser noch gerechtfertigt ist.
Dokumentationspflicht: Du musst Deine Risikobewertungen und die daraus abgeleiteten Maßnahmen lückenlos dokumentieren. Bei einem Audit oder einer Datenschutzanfrage musst Du nachweisen können, dass Du Deine Sorgfaltspflicht erfüllt hast.
Meldepflicht: Bei Sicherheitsvorfällen musst Du diese innerhalb von 24 Stunden an die zuständigen Behörden melden. Das setzt voraus, dass Du überhaupt erkennst, wenn ein Vorfall stattfindet – was bei unkontrollierten Berechtigungen schwierig wird.
Die persönliche Haftung bedeutet: Wenn Du diese Pflichten vernachlässigst und es zu einem Vorfall kommt, kannst Du persönlich zur Verantwortung gezogen werden. Unwissenheit schützt hier nicht vor Strafe.
Die Lösung für diesen spezifischen Baustein: Strukturierte Analyse
Wie also bekommst Du Kontrolle über diesen Berechtigungsdschungel in SharePoint? Der erste und wichtigste Schritt ist Transparenz. Du musst wissen, wo Du stehst. Eine strukturierte Berechtigungsanalyse liefert Dir genau diese Transparenz. Bei advantegy haben wir dafür einen bewährten 3-Stufen-Ansatz entwickelt:
Analyse: Wir werten alle individuellen SharePoint-Freigaben systematisch aus und erstellen einen verständlichen Report. Dabei unterscheiden wir klar zwischen internen und externen Zugriffen. Wichtig: Wir lesen keine Inhalte, der laufende Betrieb wird nicht gestört.
Bewertung: Gemeinsam mit Dir und Deinen Fachverantwortlichen bewerten wir die Ergebnisse. Welche Freigaben sind noch notwendig? Wo gibt es Risiken? Welche Berechtigungen können zurückgenommen werden?
Bereinigung (optional): Auf Wunsch stellen wir die Berechtigungsvererbung kontrolliert und gezielt wieder her. Keine Änderung erfolgt ohne Deine explizite Freigabe.
Dieser Ansatz löst ein spezifisches Problem, das mit SharePoint-Bordmitteln nicht lösbar ist. Er gibt Dir eine belastbare Entscheidungsgrundlage für diesen wichtigen Baustein Deiner NIS2-Compliance und reduziert Dein persönliches Haftungsrisiko in diesem Bereich.
Dein Weg zur NIS2-Compliance: Ein Baustein unter vielen
Die Zeit drängt. Die NIS2-Registrierungsfrist endet bald und die Behörden werden mit Audits beginnen. NIS2 ist umfassend und fordert viele Maßnahmen. SharePoint-Berechtigungsmanagement ist dabei ein wichtiger Baustein – aber eben nur einer von vielen.
Entwickle eine Gesamtstrategie: NIS2 erfordert ein umfassendes Maßnahmenpaket. Berechtigungsmanagement ist ein wichtiger Teil davon, aber Du brauchst auch technische Sicherheitsmaßnahmen, Incident-Response-Prozesse, Schulungen und vieles mehr.
Identifiziere kritische Lücken: Wo hast Du die größten Risiken? Wo fehlen Dir Transparenz und Kontrolle? SharePoint-Berechtigungen sind oft so eine Lücke, weil es keine Standardlösung gibt.
Schaffe Transparenz bei SharePoint-Berechtigungen: Beginne mit einer strukturierten Analyse Deiner SharePoint-Berechtigungen. Nur wenn Du weißt, wer worauf zugreifen kann, kannst Du fundierte Entscheidungen treffen.
Bewerte die Risiken: Identifiziere, wo Du die größten Lücken hast. Priorisiere die Bereiche mit den sensibelsten Daten oder den meisten externen Zugriffen.
Leite Maßnahmen ab: Erstelle einen klaren Plan zur Bereinigung und Dokumentation. Definiere, wer für welche Bereiche verantwortlich ist und bis wann die Maßnahmen umgesetzt werden sollen.
Etabliere einen Prozess: Mache die Berechtigungsanalyse zu einer wiederkehrenden Maßnahme. Nach Projekten, Reorganisationen oder mindestens einmal jährlich solltest Du überprüfen, ob Deine Berechtigungsstrukturen noch aktuell sind.
Du willst wissen, wie das in der Praxis funktioniert? In unserem technischen Blogbeitrag Technische Details: Analyse und Bereinigung von SharePoint-Berechtigungen findest Du alle Details zu unserem Vorgehen, den verwendeten Tools und den technischen Voraussetzungen.
Oder sprich direkt mit uns. Wir helfen Dir, diesen wichtigen Baustein Deiner NIS2-Compliance zu adressieren und Dein Unternehmen in diesem Bereich sicherer zu machen. Kontaktiere uns für eine unverbindliche Erstberatung.
1. Ist SharePoint-Berechtigungsmanagement alles, was ich für NIS2 tun muss?
Nein, auf keinen Fall. NIS2 fordert ein umfassendes Maßnahmenpaket: technische Sicherheitsmaßnahmen, Incident-Response-Prozesse, Schulungen, Risikomanagement, Lieferkettenmanagement und vieles mehr. Berechtigungsmanagement ist ein wichtiger Baustein davon, und SharePoint-Berechtigungen sind wiederum ein Teilaspekt des Berechtigungsmanagements. Unsere Lösung adressiert diesen spezifischen Baustein.
2. Warum ist gerade SharePoint-Berechtigungsmanagement so wichtig?
Weil SharePoint in vielen Unternehmen das zentrale System für die Zusammenarbeit und Dokumentenverwaltung ist. Hier liegen oft die sensibelsten Daten – und hier entstehen über Jahre unkontrollierte Freigaben, die niemand mehr überblickt. Das Problem: SharePoint bietet mit Bordmitteln keine Möglichkeit, diese systematisch zu analysieren.
3. Bin ich als Geschäftsführer wirklich persönlich von NIS2 betroffen?
Ja. NIS2 sieht eine persönliche Haftung der Geschäftsführung vor, wenn die geforderten Cybersicherheits-Maßnahmen nicht umgesetzt werden. Das bedeutet, Du kannst persönlich zur Verantwortung gezogen werden, wenn es zu Verstößen kommt – auch im Bereich Zugriffskontrolle.
4. Welche Unternehmen sind von NIS2 betroffen?
In Deutschland sind rund 30.000 Unternehmen betroffen, vor allem in kritischen Sektoren wie Energie, Gesundheit, Verkehr, Finanzwesen und digitale Infrastruktur. Aber auch viele mittelständische Unternehmen fallen unter die Regelung, wenn sie bestimmte Schwellenwerte überschreiten oder als wichtige Dienstleister gelten.
5.Was passiert, wenn ich die NIS2-Anforderungen nicht erfülle?
Die Bußgelder können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen. Hinzu kommen mögliche Reputationsschäden, Haftungsansprüche und im schlimmsten Fall strafrechtliche Konsequenzen für die Geschäftsführung.
6. Wie lange dauert eine SharePoint-Berechtigungsanalyse?
Das hängt vom Umfang Deiner SharePoint-Umgebung ab. In der Regel dauert die Analyse wenige Minuten pro Bibliothek. Die Bewertung und Entscheidungsfindung nimmt dann zusätzliche Zeit in Anspruch, je nachdem, wie komplex Deine Berechtigungsstrukturen sind.
7. Werden bei der Analyse Inhalte gelesen oder kopiert?
Nein. Die Analyse beschränkt sich ausschließlich auf Berechtigungsinformationen (Metadaten). Inhalte von Dateien werden weder gelesen noch kopiert. Der laufende Betrieb bleibt unberührt.
8. Was passiert mit externen Freigaben?
Externe Freigaben werden im Analyse-Report klar gekennzeichnet. Du entscheidest dann gemeinsam mit den Fachverantwortlichen, welche externen Zugriffe noch notwendig sind und welche zurückgenommen werden können. Keine Änderung erfolgt ohne Deine explizite Freigabe.
9. Kann ich die Bereinigung auch selektiv durchführen?
Ja. Die Bereinigung kann für einzelne Bibliotheken, für komplette Sites oder mit definierten Ausnahmen erfolgen. Der Umfang wird vorab festgelegt und dokumentiert.
10. Besteht ein Risiko für die Funktionalität meiner SharePoint-Sites?
Nein, sofern die Bereinigung nach Analyse und Abstimmung erfolgt. Systemrelevante Bibliotheken werden standardmäßig ausgeschlossen. Globale Rollen, Gruppen und Site-Berechtigungen bleiben unverändert.
11. Ist das ein einmaliger Vorgang oder sollte ich das regelmäßig durchführen?
Beides ist möglich. Eine einmalige Analyse schafft Dir die notwendige Transparenz für die NIS2-Registrierung. Strategisch sinnvoller ist es jedoch, die Berechtigungsanalyse als wiederkehrende Maßnahme zu etablieren – zum Beispiel nach Projekten, Reorganisationen oder mindestens einmal jährlich.
12. Besteht ein Risiko für die Funktionalität meiner SharePoint-Sites?
Die Analyse erzeugt einen nachvollziehbaren Report über alle bestehenden Berechtigungen. Dieser Report kann als Dokumentation für interne Prüfungen oder externe Audits genutzt werden. Zusammen mit der Dokumentation der Bewertung und der durchgeführten Bereinigungsmaßnahmen hast Du eine lückenlose Nachweiskette für diesen Baustein Deiner NIS2-Compliance.
13. Deckt diese Lösung alle Berechtigungsmanagement-Anforderungen von NIS2 ab?
Nein. Diese Lösung adressiert spezifisch die Analyse und Bereinigung von SharePoint-Berechtigungen. Berechtigungsmanagement umfasst auch andere Systeme (Active Directory, Cloud-Dienste, Anwendungen etc.). Für ein ganzheitliches Berechtigungsmanagement brauchst Du weitere Maßnahmen und Tools.
14. Was kostet eine Berechtigungsanalyse?
Das hängt vom Umfang Deiner SharePoint-Umgebung und den gewünschten Leistungen ab. Kontaktiere uns für ein individuelles Angebot. In jedem Fall ist die Investition deutlich geringer als die möglichen Bußgelder oder Haftungsrisiken bei Nichteinhaltung von NIS2.
Für mehr Informationen freuen wir uns über eine Kontaktaufnahme über unser Formular.
