Warum ist NIS2 für SharePoint Online relevant?
SharePoint Online wird oft als zentraler Speicherort für sensible Informationen genutzt, darunter vertrauliche Dokumente, interne Prozesse und Kundendaten. Das NIS2-Regelwerk verlangt, dass diese Daten bestmöglich geschützt werden. Auch Drittanbieter-Anwendungen, die in SharePoint Online integriert sind, müssen hinsichtlich Sicherheitsrisiken überprüft werden, um den Anforderungen von NIS2 gerecht zu werden.
Beispiele für NIS2-relevante Daten, die in SharePoint gespeichert sein könnten:
- Vertrauliche Geschäftsdokumente: Strategiepläne, Finanzdaten, Projektentwürfe, Verträge
- Kundendaten: Personendaten, Verträge, Meeting-Protokolle
- Interne Prozesse: Prozessdokumentationen, Workflows, internes IT-Handbuch
- Forschung & Entwicklung: Forschungsergebnisse, Prototypen, technische Spezifikationen
- Sicherheitsprotokolle: Berichte zu Sicherheitsvorfällen, Richtlinien für Notfallmanagement
Wichtige Maßnahmen zur Umsetzung von NIS2 mit SharePoint Online
Risikomanagement
Die SharePoint-Online-Umgebung sollte regelmäßig auf Sicherheitslücken geprüft werden. Sicherheitsrichtlinien müssen stets aktuell gehalten und neue sicherheitsrelevante Einstellungen unmittelbar nach der Veröffentlichung konfiguriert werden. Aktuelles Beispiel: Copilot Admin-Settings. Tools wie Microsoft Defender for Cloud ermöglichen zudem automatisierte Sicherheitsüberprüfungen.
Zugriffsmanagement
Eine regelmäßige Überprüfung der Berechtigungen ist unerlässlich. Rollenbasierte Zugriffskonzepte sollten klar definieren, wer auf welche Inhalte zugreifen darf. Insbesondere externe Benutzerzugriffe müssen sorgfältig gesteuert und regelmäßig überprüft werden.
Protokollierung und Monitoring
NIS2 fordert ein aktives Monitoring von Zugriffen und Aktivitäten. In SharePoint Online lassen sich Protokollierungen und Berichte über das Microsoft Purview Compliance Portal aktivieren. Allgemeine Aktivitätsberichte können im SharePoint Admin-Center eingesehen werden.
Notfallpläne und Datenwiederherstellung
Regelmäßige Tests von Notfallplänen und Backup-Strategien sind essenziell. SharePoint bietet Funktionen wie Versionierung, mehrstufige Papierkörbe, Retention-Richtlinien und differenzierte Berechtigungslevel, um Datenverlust oder Manipulation vorzubeugen. Mit SharePoint Premium oder SharePoint Syntex steht zusätzlich integrierte Archivierung zur Verfügung. Für vollständige Backups wird in der Regel Drittanbietersoftware verwendet. Wichtig ist, dass Maßnahmen für den Ernstfall klar definiert und regelmäßig getestet werden.
Drittanbieter-Integrationen
Werden Drittanbieter-Tools oder Add-Ons verwendet, muss überprüft werden, ob diese den Sicherheitsanforderungen entsprechen. Sie können zwar nützlich sein, stellen aber ein Risiko dar, wenn Sicherheitsstandards nicht eingehalten werden. Regelmäßige Sicherheitsprüfungen dieser Integrationen sind daher unerlässlich.
Fazit: NIS2 betrifft SharePoint Online bei sensiblen Daten
NIS2 betrifft SharePoint Online direkt, wenn sensible Daten und interne Prozesse darüber verwaltet werden. Die Einhaltung der Sicherheitsanforderungen erfordert regelmäßige Überprüfungen und Anpassungen. Ein klarer Umsetzungsplan für NIS2 in SharePoint Online ist unverzichtbar, um Risiken zu minimieren und die Datenintegrität zu gewährleisten.
