Die NIS-2-Richtlinie hebt die Anforderungen an die Cybersicherheit in der EU deutlich an – und anders als viele Rahmenwerke zuvor wird sie beim Thema Zugriffe konkret. Wer unter NIS-2 fällt, muss den Umgang mit Identitäten, Berechtigungen und privilegierten Konten nicht nur regeln, sondern auch nachweisen können. Genau hier entscheidet sich in der Praxis, ob Identity and Access Management (IAM) als Pflichtübung oder als Fundament der eigenen Sicherheitsstrategie verstanden wird.
Warum stehen Identitäten im Zentrum von NIS-2?
Weil Angreifer selten dort bleiben, wo sie hereingekommen sind. Der Einstieg erfolgt inzwischen zwar häufiger über ausgenutzte Schwachstellen als über gestohlene Zugangsdaten – doch was danach passiert, läuft über Konten: Rechte eskalieren, sich seitlich durch das Netz bewegen, Daten abziehen. Ein kompromittiertes Konto mit zu vielen Rechten öffnet Angreifern Türen, die keine Firewall mehr schließt.
39 %
Der Gesetzgeber zieht daraus die Konsequenz: Artikel 21 der NIS-2-Richtlinie nennt unter den verpflichtenden Risikomanagementmaßnahmen ausdrücklich Konzepte für die Zugriffskontrolle, den Einsatz von Multi-Faktor-Authentifizierung und Lösungen zur Sicherheit in der Lieferkette – alles Themen, die ohne gelebtes IAM nicht umsetzbar sind.
Welche IAM-Anforderungen stellt NIS-2 konkret?
Aus der Richtlinie und dem deutschen Umsetzungsgesetz lassen sich fünf Handlungsfelder ableiten:
- Zugriffskontrolle mit Konzept: Wer darf worauf zugreifen – und warum? Berechtigungen müssen einem dokumentierten Rollen- oder Regelwerk folgen, nicht historisch gewachsenen Einzelfreigaben.
- Multi-Faktor-Authentifizierung: MFA ist keine Kür mehr, sondern ausdrücklich gefordert – mindestens für kritische Systeme und privilegierte Zugriffe.
- Privilegierte Konten im Griff: Admin-Rechte, Service-Accounts und Notfallzugänge brauchen besondere Kontrolle, Protokollierung und zeitliche Begrenzung (PAM).
- Nachvollziehbarkeit: Zugriffe und Rechtevergaben müssen auditierbar dokumentiert sein – im Vorfall zählt, wer wann worauf zugreifen konnte.
- Lieferkette einbeziehen: Auch externe Dienstleister und deren Zugänge in Ihre Systeme fallen unter das Risikomanagement.
Verstöße sind empfindlich sanktioniert: Für wesentliche Einrichtungen sieht NIS-2 Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor – und die Geschäftsleitung haftet für die Billigung und Überwachung der Maßnahmen persönlich.
4,44 Mio. US-Dollar
Wie unterscheiden sich NIS-2, DORA und ISO 27001 beim Thema Zugriffe?
Viele Unternehmen müssen mehrere Regelwerke gleichzeitig bedienen. Die gute Nachricht: Ein sauber aufgesetztes IAM zahlt auf alle ein.
| NIS-2 | DORA | ISO 27001 | |
|---|---|---|---|
| Geltungsbereich | Kritische und wichtige Einrichtungen in 18 Sektoren | Finanzunternehmen und ihre IKT-Dienstleister | Freiwillig, alle Branchen (Zertifizierung) |
| Zugriffskontrolle | Ausdrücklich gefordert (Art. 21) | Detailliert gefordert, inkl. Rechteverwaltung | Anhang A: Zugangssteuerung als Control-Familie |
| MFA | Ausdrücklich genannt | Starke Authentifizierung gefordert | Empfohlen im Rahmen der Risikobehandlung |
| Privilegierte Konten | Über Risikomanagement erfasst | Explizite Anforderungen an privilegierte Zugriffe | Eigene Controls für privilegierte Rechte |
| Sanktionen | Bis 10 Mio. € / 2 % Umsatz, Organhaftung | Aufsichtsmaßnahmen, Bußgelder national geregelt | Verlust der Zertifizierung |
Wer IAM-Prozesse einmal sauber aufsetzt – Rollenmodell, Rechtevergabe-Workflow, Rezertifizierung, PAM – erfüllt damit den Kern aller drei Regelwerke und reduziert den Nachweisaufwand erheblich.
Wo fangen Sie praktisch an?
Aus unserer Beratungspraxis hat sich eine Reihenfolge bewährt:
- Bestandsaufnahme: Alle Identitäten, Konten und Berechtigungen inventarisieren – inklusive technischer Accounts und externer Dienstleister. Ohne dieses Bild ist jede weitere Maßnahme Stochern im Nebel.
- Privilegierte Zugriffe zuerst: Admin- und Notfallkonten identifizieren, reduzieren und mit MFA sowie Protokollierung absichern – hier ist das Risiko pro Konto am höchsten.
- Rollenmodell und Prozesse: Rechtevergabe an Rollen und einen nachvollziehbaren Genehmigungsprozess binden; regelmäßige Rezertifizierung etablieren.
- Nachweisbarkeit herstellen: Reporting so aufsetzen, dass Audit-Fragen („Wer hatte am Stichtag Zugriff auf System X?“) ohne Wochenaufwand beantwortbar sind.
Der häufigste Fehler ist, mit einem Werkzeugkauf zu starten statt mit dem Konzept. NIS-2 fragt nicht, welche Software Sie einsetzen – sondern ob Ihre Zugriffe geregelt, begrenzt und nachvollziehbar sind.