Warum ein Office-/Makro-Inventar unter NIS2 Pflicht wird
NIS2 verlangt nachvollziehbare Informationen darüber, welche Systeme und Anwendungen sicherheitsrelevant sind – dazu gehören in vielen KMU, Kanzleien und Dienstleistern eben auch die Excel-, Word-, Access- und VBA-Lösungen, die täglich genutzt werden. Genau diese liegen aber oft verteilt in Shares, auf lokalen Rechnern oder kommen von Kunden/Lieferanten. Ohne Inventar bleibt unklar, welche Dateien gehärtet, signiert oder dokumentiert werden müssen.
Verteilte Dateien
Produktive Tools liegen in Abteilungs-Shares, Teams-Ordnern oder lokal. Ohne Erfassung werden genau diese bei Policy-Updates geblockt.
Keine Kennzeichnung
Oft ist nicht markiert, ob die Datei intern entwickelt, von einem Dienstleister geliefert oder von einem Kunden zugesandt wurde.
Policy zieht an
M365, Intune oder GPO stehen auf "nur signierte Makros". Ohne Inventar weiß niemand, welche Dateien nachsigniert werden müssen.
Lieferkette fragt nach
Kunden und Konzerne wollen wissen, ob auch Office-Automatisierungen kontrolliert betrieben werden. Genau hier liefern wir die technische Sicht.
-
Zentrale Liste Alle Office-/VBA-Dateien auf einen Blick.
-
Policy-fähig Markiert, was signiert/hart gemacht werden muss.
-
Weitergebbar Neutral formuliert für Kunden/Auditoren.
Was in ein NIS2 Office-/Makro-Inventar hinein muss
Nicht nur Dateiname und Ordner – sondern echte Betriebsdaten.
Datei, Typ, Fachbereich
Excel-Tool zur Angebotserstellung, Word-Vorlage mit Makro, Access-Anwendung – jeweils mit verantwortlichem Bereich.
Speicherort und Quelle
Share, Teams, OneDrive, lokaler Pfad, E-Mail-Anhang. Dazu: intern erstellt, von Dienstleister, vom Kunden geliefert.
Signatur- und MOTW-Status
Signiert oder nicht, V2 oder V3, Mark of the Web vorhanden oder entfernt – entscheidend für M365-/Intune-Policies.
Risikomarker
unsigniert, extern, nur lokal freigegeben – so werden Schatten-IT-Dateien sichtbar, ohne sie sofort zu verbieten.
Erforderliche Massnahmen
Nachsignieren, Trusted Publisher verteilen, Hardening-Regel anpassen oder in den Managed Service überführen.
Freigabe- und Nachweisbezug
Welche Datei wurde bereits freigegeben, welche wird nur geduldet, für welche Kunden oder Auditoren der Nachweis gebraucht wird.
Schatten-IT und Fachbereichs-Excel sichtbar machen
NIS2 will alle relevanten Office-/VBA-Assets – auch die nie offiziell beauftragten. Wir kennzeichnen diese bewusst technisch-organisatorisch (lokal, extern, unsigniert), ohne sie rechtlich zu bewerten. So kann die IT entscheiden, was gehärtet, signiert oder ersetzt wird.
So laufen unsere Inventarisierungen ab
Remote, strukturiert, technisch – nicht juristisch.
1. Kurz-Scoping
30–45 Minuten Remote: Ziel, Umfang, vorhandene Policies, betroffene Fachbereiche. Wir prüfen nicht, ob NIS2 rechtlich anwendbar ist.
2. Vorlage bereitstellen
Wir liefern eine Excel-/CSV-Vorlage mit allen für den Office-/VBA-Betrieb relevanten Feldern (Datei, Quelle, Speicherort, Signatur, Risiko).
3. Dateien erfassen
Gemeinsam oder durch uns: produktive Excel-, Word-, Access- und VBA-Dateien aufnehmen, externe Lieferungen kennzeichnen.
4. Inventar übergeben
Ausgabe in neutralem Format, das an Auditoren, Kunden oder Konzerne weitergegeben werden kann – ohne interne Details preiszugeben.
5. Optional: Hardening / Signatur
Kritische oder unsignierte Dateien können direkt nachsigniert, per Trusted Publisher verteilt oder in den Managed Makro-Betrieb überführt werden.
6. Pflege & Updates
Neue oder geänderte Dateien laufen später durch denselben Prozess; das Inventar bleibt damit NIS2-fähig, ohne dass Sie komplett neu starten müssen.
NIS2-Pakete für Office-/VBA-Umgebungen
Drei klar abgegrenzte Leistungen – technisch/organisatorisch, nicht juristisch.
Paket 1: Office-/VBA-Inventar für NIS2
Zweck: Wenn NIS2 für Ihr Unternehmen / Ihren Kunden bereits gilt und Sie jetzt wissen müssen, welche Office-/VBA-Dateien überhaupt erfasst werden sollen.
Leistung: 30–45 Min. Remote, Bereitstellung Inventar-Vorlage, Erfassung der produktiven Excel-/Word-/Access-/VBA-Dateien (Quelle, Speicherort, Fachbereich), Kennzeichnung „intern“, „extern/Kunde“, „unsigniert“.
Ergebnis: Eine Liste, die Sie in Ihre NIS2-/ISMS-Doku übernehmen können – ohne rechtliche Bewertung.
Größere Umgebungen auf Anfrage.
Paket 2: NIS2 Office Compliance-Set
Zweck: Wenn Auditor, Kunde oder Konzern Nachweise zu Ihren Office-/VBA-Tools haben will.
Leistung: Übernahme des Inventars (oder Paket 1), Ausarbeitung von Freigabenotiz- und Änderungsdoku-Mustern, Abgleich mit Ihren M365-/Intune-/GPO-Policies („nur signierte Makros“), Empfehlung für Trusted Publisher / interne Resignierung.
Ergebnis: Auditfähiges Office-/VBA-Paket, das Sie direkt beilegen können („so betreiben wir unsere Makros unter NIS2“).
Abhängig vom Umfang.
Paket 3: Managed NIS2 Makro-Betrieb
Zweck: Wenn regelmäßig neue oder geänderte Makros kommen und diese unter Ihren Policies weiterlaufen sollen.
Leistung: Laufende Prüfung & Re-Signatur von Office-/VBA-Dateien, Pflege der Freigabenotizen, Ticket-/Change-Doku, jährlicher Policy-/M365-Review („hat sich was geändert?“).
Ergebnis: Durchgängig dokumentierter, NIS2-orientierter Makro-Betrieb – ohne dass Sie intern Spezialwissen aufbauen müssen.
Abhängig von der Umgebungsgröße.
Häufige Fragen zum Office-/Makro-Inventar
Fokus auf Betrieb und Dokumentation – nicht auf Gesetzesauslegung.
Nein. Erfasst werden produktive Office-/VBA-Dateien, also typischerweise Excel, Word, Access, ggf. PowerPoint mit Makros. Entscheidend ist, dass die Datei in einem Prozess genutzt wird und durch M365/Intune/GPO blockiert werden kann.
Nein. Wir setzen voraus, dass NIS2 oder eine gleichwertige Anforderung (z. B. durch Kunden oder Konzern) bereits gilt oder angekündigt ist. Wir liefern die technische und organisatorische Basis, um Office-/VBA-Tools nachweisbar zu betreiben. Eine rechtliche Prüfung kann auf Wunsch durch eine Kanzlei erfolgen.
Externe oder von Kunden gelieferte Dateien werden im Inventar eindeutig gekennzeichnet und als potenziell unsigniert markiert. Dann kann entschieden werden, ob ein interner Signaturprozess, eine Resignierung oder ein Trusted-Publisher-Rollout notwendig ist.
Ja. Die Vorlagen sind bewusst so gehalten, dass sie intern weitergeführt werden können. Alternativ übernehmen wir die laufende Pflege im Managed Service.
