· 10. Juli 2026

Was fordert NIS-2 beim Identity and Access Management?

NIS-2 verlangt von betroffenen Unternehmen klare Regeln für Zugriffe, Multi-Faktor-Authentifizierung und nachvollziehbare Berechtigungen. Was das konkret für Ihr IAM bedeutet – und wo Sie anfangen sollten.

Die NIS-2-Richtlinie hebt die Anforderungen an die Cybersicherheit in der EU deutlich an – und anders als viele Rahmenwerke zuvor wird sie beim Thema Zugriffe konkret. Wer unter NIS-2 fällt, muss den Umgang mit Identitäten, Berechtigungen und privilegierten Konten nicht nur regeln, sondern auch nachweisen können. Genau hier entscheidet sich in der Praxis, ob Identity and Access Management (IAM) als Pflichtübung oder als Fundament der eigenen Sicherheitsstrategie verstanden wird.

Warum stehen Identitäten im Zentrum von NIS-2?

Weil Angreifer selten dort bleiben, wo sie hereingekommen sind. Der Einstieg erfolgt inzwischen zwar häufiger über ausgenutzte Schwachstellen als über gestohlene Zugangsdaten – doch was danach passiert, läuft über Konten: Rechte eskalieren, sich seitlich durch das Netz bewegen, Daten abziehen. Ein kompromittiertes Konto mit zu vielen Rechten öffnet Angreifern Türen, die keine Firewall mehr schließt.

39 %

aller Sicherheitsverletzungen beinhalten gestohlene Zugangsdaten, wenn man die gesamte Angriffskette betrachtet – nicht nur den Einstieg.

Quelle: Verizon Data Breach Investigations Report 2026

Der Gesetzgeber zieht daraus die Konsequenz: Artikel 21 der NIS-2-Richtlinie nennt unter den verpflichtenden Risikomanagementmaßnahmen ausdrücklich Konzepte für die Zugriffskontrolle, den Einsatz von Multi-Faktor-Authentifizierung und Lösungen zur Sicherheit in der Lieferkette – alles Themen, die ohne gelebtes IAM nicht umsetzbar sind.

Welche IAM-Anforderungen stellt NIS-2 konkret?

Aus der Richtlinie und dem deutschen Umsetzungsgesetz lassen sich fünf Handlungsfelder ableiten:

  1. Zugriffskontrolle mit Konzept: Wer darf worauf zugreifen – und warum? Berechtigungen müssen einem dokumentierten Rollen- oder Regelwerk folgen, nicht historisch gewachsenen Einzelfreigaben.
  2. Multi-Faktor-Authentifizierung: MFA ist keine Kür mehr, sondern ausdrücklich gefordert – mindestens für kritische Systeme und privilegierte Zugriffe.
  3. Privilegierte Konten im Griff: Admin-Rechte, Service-Accounts und Notfallzugänge brauchen besondere Kontrolle, Protokollierung und zeitliche Begrenzung (PAM).
  4. Nachvollziehbarkeit: Zugriffe und Rechtevergaben müssen auditierbar dokumentiert sein – im Vorfall zählt, wer wann worauf zugreifen konnte.
  5. Lieferkette einbeziehen: Auch externe Dienstleister und deren Zugänge in Ihre Systeme fallen unter das Risikomanagement.

Verstöße sind empfindlich sanktioniert: Für wesentliche Einrichtungen sieht NIS-2 Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor – und die Geschäftsleitung haftet für die Billigung und Überwachung der Maßnahmen persönlich.

4,44 Mio. US-Dollar

kostet eine Datenpanne im weltweiten Durchschnitt – Vorfälle mit gestohlenen Zugangsdaten gehören zu den teuersten und am längsten unentdeckten.

Quelle: IBM Cost of a Data Breach Report 2025

Wie unterscheiden sich NIS-2, DORA und ISO 27001 beim Thema Zugriffe?

Viele Unternehmen müssen mehrere Regelwerke gleichzeitig bedienen. Die gute Nachricht: Ein sauber aufgesetztes IAM zahlt auf alle ein.

Zugriffs- und Identitätsanforderungen im Vergleich
NIS-2DORAISO 27001
GeltungsbereichKritische und wichtige Einrichtungen in 18 SektorenFinanzunternehmen und ihre IKT-DienstleisterFreiwillig, alle Branchen (Zertifizierung)
ZugriffskontrolleAusdrücklich gefordert (Art. 21)Detailliert gefordert, inkl. RechteverwaltungAnhang A: Zugangs­steuerung als Control-Familie
MFAAusdrücklich genanntStarke Authentifizierung gefordertEmpfohlen im Rahmen der Risikobehandlung
Privilegierte KontenÜber Risikomanagement erfasstExplizite Anforderungen an privilegierte ZugriffeEigene Controls für privilegierte Rechte
SanktionenBis 10 Mio. € / 2 % Umsatz, OrganhaftungAufsichtsmaßnahmen, Bußgelder national geregeltVerlust der Zertifizierung

Wer IAM-Prozesse einmal sauber aufsetzt – Rollenmodell, Rechtevergabe-Workflow, Rezertifizierung, PAM – erfüllt damit den Kern aller drei Regelwerke und reduziert den Nachweisaufwand erheblich.

Wo fangen Sie praktisch an?

Aus unserer Beratungspraxis hat sich eine Reihenfolge bewährt:

  1. Bestandsaufnahme: Alle Identitäten, Konten und Berechtigungen inventarisieren – inklusive technischer Accounts und externer Dienstleister. Ohne dieses Bild ist jede weitere Maßnahme Stochern im Nebel.
  2. Privilegierte Zugriffe zuerst: Admin- und Notfallkonten identifizieren, reduzieren und mit MFA sowie Protokollierung absichern – hier ist das Risiko pro Konto am höchsten.
  3. Rollenmodell und Prozesse: Rechtevergabe an Rollen und einen nachvollziehbaren Genehmigungsprozess binden; regelmäßige Rezertifizierung etablieren.
  4. Nachweisbarkeit herstellen: Reporting so aufsetzen, dass Audit-Fragen („Wer hatte am Stichtag Zugriff auf System X?“) ohne Wochenaufwand beantwortbar sind.

Der häufigste Fehler ist, mit einem Werkzeugkauf zu starten statt mit dem Konzept. NIS-2 fragt nicht, welche Software Sie einsetzen – sondern ob Ihre Zugriffe geregelt, begrenzt und nachvollziehbar sind.

Häufige Fragen

Bereit durchzustarten?

Sichern Sie sich jetzt Ihre kostenfreie Erstberatung! Kontaktieren Sie uns noch heute, um zu besprechen, wie wir Ihr Unternehmen unterstützen können.

Zum Weiterlesen