NIS-2-Compliance für .NET-Entwickler

Dauer: 2 Tage

Zielgruppe

Dieser Workshop richtet sich an .NET-Entwickler, Softwarearchitekten und technische Teamleads, die in Organisationen arbeiten, die der NIS-2-Richtlinie (EU 2022/2555) unterliegen. Er eignet sich für Entwickler, die Anwendungen in Sektoren erstellen oder betreiben, die als wesentliche oder wichtige Einrichtungen nach NIS-2 eingestuft sind, sowie für Entwickler bei Managed-Service-Providern und Unternehmen der digitalen Infrastruktur mit EU-Geschäftstätigkeit.

Voraussetzungen

• Fundierte Kenntnisse in C# und .NET (6 oder höher)
• Grundkenntnisse in ASP.NET Core und REST-APIs
• Allgemeines Verständnis von Web-Applikationssicherheit (HTTPS, Authentifizierung, Autorisierung)
• Keine Vorkenntnisse zu NIS-2 oder Compliance erforderlich

Lernziele

Nach Abschluss dieses Workshops sind die Teilnehmer in der Lage:

• Umfang, Struktur und Pflichten der NIS-2-Richtlinie (EU 2022/2555) zu verstehen
• Die zehn Risikomanagementmaßnahmen aus Artikel 21 auf konkrete .NET-Implementierungsmuster abzubilden
• Sichere Authentifizierung und Autorisierung mit Microsoft Entra ID und ASP.NET Core umzusetzen
• Best Practices für Kryptografie und Schlüsselverwaltung mit .NET und Azure Key Vault anzuwenden
• Incident-Erkennung, Protokollierung und revisionssichere Audit-Trails gemäß Artikel 23 zu implementieren
• Supply-Chain-Sicherheit in .NET-Abhängigkeitsverwaltung und CI/CD-Pipelines umzusetzen
• Azure-Sicherheitsdienste (Defender for Cloud, Microsoft Sentinel, Azure Monitor) in .NET-Anwendungen zu integrieren
• Resiliente Systeme mit Backup-, Disaster-Recovery- und Business-Continuity-Funktionen zu entwerfen
• Sicherheitstests und Schwachstellenanalysen für .NET-Anwendungen durchzuführen
• Technische Dokumentation und Nachweise für NIS-2-Audits und Aufsichtsbehörden zu erstellen

Inhalte

Tag 1: NIS-2-Grundlagen und zentrale Sicherheitsmaßnahmen

Modul 1: Überblick über die NIS-2-Richtlinie

• Entstehung und Motivation: NIS-1 (2016) vs. NIS-2 (2022/2555)
• Wesentliche Einrichtungen (Anhang I) vs. wichtige Einrichtungen (Anhang II): Geltungsbereich und Schwellenwerte
• Die zehn Risikomanagementmaßnahmen aus Artikel 21 im Überblick
• Meldepflichten gemäß Artikel 23: 24-Stunden-Frühwarnung, 72-Stunden-Meldung, 1-Monats-Abschlussbericht
• Governance und Haftung: persönliche Haftung des Managements, Aufgaben des CISO
• Sanktionen: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen
• Zusammenspiel von NIS-2 mit DSGVO, DORA und sektorspezifischen Vorschriften

Modul 2: Risikoanalyse und Sicherheitsrichtlinien (Artikel 21.2.a)

• Aufbau eines formalen Risikoanalyseprozesses für .NET-Anwendungen
• Bedrohungsmodellierung mit STRIDE für ASP.NET Core Services
• Dokumentation von Informationssicherheitsrichtlinien: Vorlagen und Werkzeuge
• Integration der Risikobewertung in den Software-Entwicklungsprozess
• Hands-on: Bedrohungsmodell für eine ASP.NET Core API mit STRIDE erstellen

Modul 3: Identity, Zugriffskontrolle und Authentifizierung (Artikel 21.2.i und 21.2.j)

• Multi-Faktor-Authentifizierung (MFA) mit Microsoft Entra ID
• Conditional-Access-Richtlinien: Standort, Gerätezustand, Anmelderisiko
• Privileged Access Management und Least-Privilege-Prinzip in .NET Services
• Service-zu-Service-Authentifizierung mit Managed Identities und Workload Identity Federation
• ASP.NET Core Autorisierungsrichtlinien, Rollen und Claims
• Continuous Access Evaluation (CAE) für die Echtzeit-Sitzungsrevokation
• Hands-on: ASP.NET Core API mit Entra ID, MFA und Managed Identity absichern

Modul 4: Kryptografie und Datenschutz (Artikel 21.2.h)

• .NET Kryptografie-APIs: symmetrische Verschlüsselung (AES), asymmetrische (RSA, ECDSA), Hashing
• ASP.NET Core Data Protection API: Schlüsselverwaltung, Schlüsselrotation, Purpose-Isolation
• Azure Key Vault Integration: Speicherung von Secrets, Schlüsseln und Zertifikaten
• TLS-Konfiguration in .NET: Mindestversionen, Cipher Suites, HSTS
• Datenverschlüsselung im Ruhezustand: Entity Framework Core mit spaltenbasierter Verschlüsselung
• Schlüssel-Lifecycle-Management: Rotation, Ablauf und Widerrufsworkflows
• Hands-on: Ende-zu-Ende-Datenschutz mit Azure Key Vault und ASP.NET Core Data Protection implementieren

Modul 5: Sichere Entwicklungspraktiken (Artikel 21.2.e)

• Secure Software Development Lifecycle (SSDLC) für .NET-Teams
• Abhängigkeitsverwaltung und SCA mit NuGet-Audit und Dependabot
• SAST mit Roslyn-Analyzern und sicherheitsorientierter Codeanalyse
• DAST und Penetrationstests in CI/CD-Pipelines
• Container-Sicherheit: .NET-Image-Härtung, Non-Root-Benutzer, Distroless-Base-Images
• GitHub Advanced Security und Azure DevOps Security Scanning
• Hands-on: NuGet-Audit-Pipeline konfigurieren und Roslyn Security Analyzer integrieren

---

Tag 2: Incident Response, Supply Chain, Resilienz und Compliance

Modul 6: Incident Handling und Erkennung (Artikel 21.2.b)

• NIS-2-Meldeworkflow gemäß Artikel 23: Zeitplan, Meldungsinhalt und Verantwortliche
• Strukturiertes Logging mit Serilog und Microsoft.Extensions.Logging für Audit-Trails
• Distributed Tracing mit OpenTelemetry in .NET: Incidents über Service-Grenzen hinweg korrelieren
• Anomalieerkennung und Alerting mit Azure Monitor und Application Insights
• Microsoft Sentinel: Detection-Regeln aus .NET-Anwendungslogs erstellen
• Incident-Response-Runbooks: Erkennung, Eindämmung, Wiederherstellung
• Hands-on: OpenTelemetry-basiertes Audit-Logging einrichten und eine Sentinel Detection Rule erstellen

Modul 7: Supply-Chain-Sicherheit (Artikel 21.2.d)

• NIS-2-Anforderungen an die Lieferkette: Bewertung direkter Lieferanten und Dienstleister
• NuGet-Paketsicherheit: Schwachstellen-Audit (dotnet nuget audit), Lock-Files, private Feeds
• Software Bill of Materials (SBOM): Generierung mit dotnet sbom-tool im CycloneDX-Format
• Risikobewertung von Drittanbieter-APIs und SDKs
• CI/CD-Pipeline-Sicherheit: Build-Secrets schützen, signierte Commits, Artifact-Signing mit Sigstore/notation
• Cloud-Provider-Bewertung nach NIS-2: Microsoft-Compliance-Zertifizierungen (ISO 27001, SOC 2, BSI C5)
• Hands-on: SBOM generieren, Schwachstellen-Audit durchführen und Paket-Signing in einer Pipeline konfigurieren

Modul 8: Business Continuity und Resilienz (Artikel 21.2.c)

• Backup-Strategien für .NET-Anwendungen: Azure Backup, georedundanter Speicher
• Disaster-Recovery-Muster: Active-Passive, Active-Active, Pilot Light
• Resilienz in .NET mit Microsoft.Extensions.Resilience (Polly v8): Retry, Circuit Breaker, Timeout, Hedging
• Health Checks in ASP.NET Core: Liveness-, Readiness- und Dependency-Health-Endpoints
• Grundlagen des Chaos Engineering: Resilienz testen mit Azure Chaos Studio
• Recovery Time Objective (RTO) und Recovery Point Objective (RPO) planen
• Hands-on: Microsoft.Extensions.Resilience-Richtlinien hinzufügen und Health-Check-Endpoints konfigurieren

Modul 9: Cyber-Hygiene und Sicherheitsschulungen (Artikel 21.2.g)

• Grundlegende Cyber-Hygiene für .NET-Entwicklungsteams: Patch-Management, Endpoint-Security, Passwortrichtlinien
• Integration von Security Awareness in Onboarding und Sprint-Prozesse
• Penetrationstest- und Red-Team-Planung für .NET-Anwendungen
• Sicherheitsstatus messen: Secure Score in Microsoft Defender for Cloud
• Automatisierte Compliance-Prüfungen mit Azure Policy für .NET-Workloads
• Hands-on: Azure Policy für einen .NET-Workload konfigurieren und Secure Score Empfehlungen auswerten

Modul 10: Audit-Bereitschaft und NIS-2-Dokumentation

• Nachweissammlung für NIS-2-Audits: Logs, Richtlinien, Testergebnisse, Risikoregister
• Azure Compliance-Dokumentation: Compliance Manager, Auditberichte, Zertifizierungen
• Abbildung von .NET-Sicherheitsmaßnahmen auf die Anforderungen aus Artikel 21
• Interaktion mit Aufsichtsbehörden: Was bei einer Prüfung zu erwarten ist
• NIS-2-Compliance-Dashboard mit Azure Monitor Workbooks erstellen
• Fortlaufende Compliance: NIS-2-Prüfungen in Sprint-Reviews und Architecture Decision Records integrieren
• Hands-on: Compliance-Mapping-Dokument für eine .NET-Beispielanwendung erstellen

---

Praktische Übungen

Jedes Modul beinhaltet mindestens eine praktische Übung. Die Teilnehmer arbeiten mit einer realistischen .NET-Referenzanwendung (ASP.NET Core Web API, Hintergrunddienst und React-Frontend), die auf Azure bereitgestellt wird. Die Labs bauen aufeinander auf und ergeben am Ende ein schrittweise gehärtetes, NIS-2-konformes System.

Tag 1 – Labs:

• Lab 1: Bedrohungsmodell für eine ASP.NET Core API mit STRIDE erstellen
• Lab 2: API mit Microsoft Entra ID, MFA und Managed Identity absichern
• Lab 3: Datenschutz und Azure Key Vault Integration implementieren
• Lab 4: NuGet-Schwachstellen-Audit-Pipeline mit Roslyn Security Analyzern konfigurieren

Tag 2 – Labs:

• Lab 5: OpenTelemetry Audit Logging einrichten und eine Microsoft Sentinel Detection Rule erstellen
• Lab 6: SBOM generieren und Artifact-Signing in einer CI/CD-Pipeline konfigurieren
• Lab 7: Microsoft.Extensions.Resilience-Richtlinien und ASP.NET Core Health Checks hinzufügen
• Lab 8: NIS-2-Compliance-Mapping-Dokument und Azure Monitor Workbook erstellen

Ergebnisse

Nach Abschluss des Workshops sind die Teilnehmer in der Lage:

• Ihre .NET-Anwendungen gegen alle zehn Maßnahmen aus Artikel 21 der NIS-2-Richtlinie zu bewerten
• Konkrete Sicherheitsmaßnahmen in C# und ASP.NET Core für jede Anforderung umzusetzen
• NIS-2-Compliance-Aktivitäten in bestehende DevSecOps-Prozesse zu integrieren
• Azure-Sicherheitsdienste zur Erfüllung von NIS-2-Pflichten zu nutzen (Monitoring, Incident-Meldung, Audit)
• Auditfähige Dokumentation und Nachweise für Aufsichtsbehörden zu erstellen
• Als technischer NIS-2-Verantwortlicher im Entwicklungsteam zu agieren

Erweiterte Lernpfade

• Zero Trust Architecture mit .NET und Azure – Vertiefung identitätszentrierter Sicherheit über NIS-2-Grundlagen hinaus
• DORA Compliance für .NET im Finanzsektor – Anforderungen des Digital Operational Resilience Act für den Finanzsektor
• Azure Security Architecture – Defense-in-Depth für cloud-native .NET-Workloads entwerfen
• Secure DevOps und Supply-Chain-Sicherheit – Fortgeschrittenes SBOM, SLSA-Framework und Pipeline-Härtung