Prüfen Sie, ob NIS2 bei uns rechtlich anwendbar ist?

Nein. Wir setzen voraus, dass NIS2 oder eine vergleichbare Vorgabe (Kunde, Konzern, KRITIS) bereits gilt oder angekündigt ist. Wir liefern die technisch-organisatorische Analyse für den Office-/VBA-Bereich, damit Sie wissen, welche Dateien in Inventar, Nachweis oder Hardening aufgenommen werden müssen.

Welche Dateien werden in der Betroffenheitsanalyse betrachtet?

Erfasst werden produktive Office-/VBA-Dateien, insbesondere Excel-, Word-, Access- und PowerPoint-Dateien mit Makros, die in geschäftlichen Prozessen genutzt werden oder von Kunden/Dienstleistern geliefert wurden und durch M365/Intune/GPO blockiert werden können.

Können externe oder von Kunden gelieferte Dateien eingeordnet werden?

Ja. Externe Dateien werden im Inventar eindeutig markiert (z. B. "extern", "unsigniert") und einem nächsten Schritt zugeordnet – etwa interner Resignierung oder Trusted-Publisher-Verteilung.

Bekommen wir eine weitergebbare Dokumentation?

Ja. Das Ergebnis wird in einem neutralen, technisch-organisatorischen Format geliefert, das Sie 1:1 an Kunden, Auditoren oder Konzerne weitergeben können – ohne interne Policy-Details offenlegen zu müssen.

Können Sie die im Bericht genannten Maßnahmen auch umsetzen?

Ja. Dateien, die als kritisch oder unsigniert gekennzeichnet wurden, können direkt in unsere NIS2-Bausteine (Inventar, Nachweise, Makro-/Office-Hardening) oder in den Managed VBA-Security Service überführt werden.

NIS2 Office-/VBA-Betroffenheitsanalyse – welche Makros wirklich in Inventar, Nachweis oder Hardening müssen

Warum eine Betroffenheitsanalyse für Office-/VBA nötig ist

In vielen KMU, Kanzleien und Dienstleistern laufen produktive Excel-/Word-/Access-Lösungen, die Fachbereiche selbst gebaut oder die Dienstleister geliefert haben. Sobald NIS2, ein Konzern-Sicherheitsstandard oder ein M365-/Intune-Hardening greift, soll das Unternehmen aber sagen können, welche dieser Dateien geschäftskritisch sind, welchen Sicherheitsstatus sie haben und wie sie betrieben werden. Oft fehlt genau diese Einordnung. Genau das liefert die Office-/VBA-Betroffenheitsanalyse.

Fokus nur Office/VBA

Nur Excel-, Word-, Access-, PowerPoint-mit-Makro und vergleichbare Office-Automatisierungen.

Policy bleibt hart

Ihre Vorgaben (z. B. „nur signierte Makros“) sollen bleiben – wir passen die Dateien daran an.

Lieferkette bedienen

Sie können Auftraggebern/Konzernen zeigen: „Diese Office-/VBA-Tools sind erfasst und dokumentiert.“

Kein Rechtsgutachten

Wir prüfen nicht, ob NIS2 für Ihr Unternehmen rechtlich anwendbar ist – wir setzen das voraus.

Inventar-fähig Alle relevanten Dateien benannt.
Nachweisbereit Direkt an Kunden/Auditoren weitergebbar.
Hardening-klar Welche Makros gesichert/signiert werden müssen.

Was wir prüfen – und was nicht

Technisch-organisatorische Einordnung statt juristischer Bewertung.

1. Relevante Office-/VBA-Dateien

Produktive Excel-, Word-, Access-, PowerPoint-Makros, die in Prozessen genutzt werden oder von Kunden kommen.

2. Quelle & Speicherort

Teams/SharePoint, Fileshare, OneDrive, lokaler Ordner, E-Mail-Anhang; intern erstellt, vom Dienstleister, vom Kunden geliefert.

3. Sicherheits-/Signaturstatus

Signiert/nicht signiert, V2/V3, MOTW vorhanden, läuft nur nach manueller Freigabe.

4. Risikomarker

„unsigniert“, „extern“, „nur lokal freigegeben“, „nicht dokumentiert“ – Basis für Nachweis oder Hardening.

5. Zuordnung zu NIS2-Baustein

Inventar, Nachweis/Änderungsdoku oder Makro-/Office-Hardening – damit klar ist, was als nächstes passiert.

6. Kein Ersatz für Recht

Wir bestätigen nicht die rechtliche Anwendbarkeit von NIS2. Das erfolgt intern oder durch eine Kanzlei. Wir liefern die Office-/VBA-Grundlage.

NIS2-Pakete für Office-/VBA-Umgebungen

Drei klar abgegrenzte Leistungen – technisch/organisatorisch, nicht juristisch.

Paket 1: Office-/VBA-Inventar für NIS2

Zweck: Wenn NIS2 für Ihr Unternehmen / Ihren Kunden bereits gilt und Sie jetzt wissen müssen, welche Office-/VBA-Dateien überhaupt erfasst werden sollen.

Leistung: 30–45 Min. Remote, Bereitstellung Inventar-Vorlage, Erfassung der produktiven Excel-/Word-/Access-/VBA-Dateien (Quelle, Speicherort, Fachbereich), Kennzeichnung „intern“, „extern/Kunde“, „unsigniert“.

Ergebnis: Eine Liste, die Sie in Ihre NIS2-/ISMS-Doku übernehmen können – ohne rechtliche Bewertung.

Einmalig ab 750,- €1
Größere Umgebungen auf Anfrage.

Paket 1 anfragen

Paket 2: NIS2 Office Compliance-Set

Zweck: Wenn Auditor, Kunde oder Konzern Nachweise zu Ihren Office-/VBA-Tools haben will.

Leistung: Übernahme des Inventars (oder Paket 1), Ausarbeitung von Freigabenotiz- und Änderungsdoku-Mustern, Abgleich mit Ihren M365-/Intune-/GPO-Policies („nur signierte Makros“), Empfehlung für Trusted Publisher / interne Resignierung.

Ergebnis: Auditfähiges Office-/VBA-Paket, das Sie direkt beilegen können („so betreiben wir unsere Makros unter NIS2“).

Einmalig ab 1.490,- €1
Abhängig vom Umfang.

Paket 2 anfragen

Paket 3: Managed NIS2 Makro-Betrieb

Zweck: Wenn regelmäßig neue oder geänderte Makros kommen und diese unter Ihren Policies weiterlaufen sollen.

Leistung: Laufende Prüfung & Re-Signatur von Office-/VBA-Dateien, Pflege der Freigabenotizen, Ticket-/Change-Doku, jährlicher Policy-/M365-Review („hat sich was geändert?“).

Ergebnis: Durchgängig dokumentierter, NIS2-orientierter Makro-Betrieb – ohne dass Sie intern Spezialwissen aufbauen müssen.

Ab 290,- €1 / Monat
Abhängig von der Umgebungsgröße.

Managed Service ansehen

1 Hinweise: Sämtliche Preise verstehen sich zzgl. USt.. Unser Angebot richtet sich ausschließlich an Unternehmer i.S.v. § 14 BGB. Kein Verkauf an Verbraucher. Maßgeblich ist das individuelle Angebot. Hinweis zu NIS2: Wir setzen voraus, dass NIS2 (oder eine gleichwertige Vorgabe Ihres Kunden/Konzerns) für Ihr Unternehmen gilt oder gefordert wird. Die rechtliche Anwendbarkeit von NIS2 ist nicht Gegenstand dieses Angebots; wir liefern die technische und organisatorische Umsetzung für den Office-/VBA-Bereich. Maßgeblich ist stets das individuelle Angebot bzw. die Auftragsbestätigung.

Typische Auslöser für die Analyse

Wenn jetzt jemand Nachweise sehen will.

Konzern-/Kundenabfrage

„Bitte listen Sie alle von Ihnen betriebenen Office-/VBA-Automatisierungen auf und beschreiben Sie deren Schutzmaßnahmen.“

IT härtet M365/Intune/GPO

Nach einem Policy-Update laufen Makros nicht mehr – es muss entschieden werden, was signiert/resigniert wird.

ISMS/NIS2-Projekt

ISMS will alle „relevanten Assets“ sehen – inkl. der inoffiziellen Excel-Tools der Fachbereiche.

Kurzer Time-to-Answer

Aufträge oder Vergaben hängen daran, dass man in 1–2 Tagen eine prüfbare Liste liefern kann.

So läuft die Office-/VBA-Betroffenheitsanalyse ab

Remote, strukturiert, herausgeberneutral.

1. Kurz-Scoping

30–45 Min. Remote: wer fordert was, welche Policies gelten, welche Fachbereiche sind betroffen.

2. Vorlage liefern

Excel-/CSV-Vorlage mit allen Feldern für Office-/VBA-Betrieb (Datei, Quelle, Speicherort, Signatur, Risiko, nächster Schritt).

3. Dateien aufnehmen

Gemeinsam oder durch uns werden produktive Dateien, externe Lieferungen und Schatten-IT-Tools erfasst.

4. Zuordnung zu Bausteinen

Pro Datei wird festgelegt: Inventar, Nachweis/Änderungsdoku oder Hardening/Signatur nötig.

5. Ergebnis übergeben

Neutrales, weitergebbares Format – nutzbar für Auditoren, Kunden, Konzerne – ohne interne Policy-Details offenzulegen.

6. Optional: in Managed Service

Wenn immer neue Makros kommen, wird der gleiche Prozess laufend gefahren – inkl. Re-Signaturen und Doku.

Lieferkette verlangt NIS2 – Sie haben die Liste

Wir liefern nur den Office-/VBA-Teil, aber so, dass Sie ihn 1:1 beilegen können – mit Kennzeichnung „extern“, „unsigniert“, „Hardening empfohlen“.

Office-/VBA-Betroffenheitsanalyse anfragen

Häufige Fragen zur Office-/VBA-Betroffenheitsanalyse

Technische Sicht – keine Rechtsberatung.

Prüfen Sie, ob NIS2 bei uns gilt?

Nein. Wir setzen voraus, dass NIS2 oder eine gleichwertige Vorgabe (Kunde, Konzern, KRITIS) bereits verlangt wird. Wir liefern nur die technische und organisatorische Einordnung der Office-/VBA-Dateien.

Was ist, wenn wir viele alte Excel-Tools haben?

Dann werden sie im Inventar gekennzeichnet und einer Maßnahme zugeordnet (Nachweis nachziehen, Hardening/Signatur, Ersatz). Wichtig ist, dass sie sichtbar sind – nicht, dass sie sofort umgebaut werden.

Können externe Dateien so erfasst werden, dass sie später freigegeben werden können?

Ja. Externe Dateien werden als „von Kunden/Dienstleister geliefert“ markiert. Dann kann entschieden werden, ob intern resigniert oder ein Trusted Publisher verteilt wird.

Bekommen wir ein Format, das wir weitergeben können?

Ja. Die Ausgabe erfolgt in einem neutralen, technisch-organisatorischen Format (z. B. Excel/CSV/PDF), das ohne interne Details an Kunden, Auditoren oder Konzerne gesendet werden kann.

Können Sie die nächsten Schritte gleich mit umsetzen?

Ja. Die betroffenen Dateien können direkt in unsere NIS2-Pakete für Nachweise oder in das Office-/Makro-Hardening überführt werden. Bei vielen Änderungen empfiehlt sich der Managed Service.