Der Geltungsbereich der Richtlinie hat sich entscheidend erweitert. Nicht nur Unternehmen der kritischen Infrastruktur sind betroffen, sondern auch "besonders wichtige Einrichtungen" und "wichtige Einrichtungen". Hierzu haben wir bereits in einem separaten Artikel informiert.
Die NIS2-Richtlinie fordert Cyberhygiene und Sicherheit der Lieferkette
Das Gesetz zur Umsetzung der NIS-2-Richtlinie (BGBl. 2025 I Nr. 301) erhöht das Niveau der Cybersicherheit in der EU maßgeblich. Für Unternehmen, die diesem Gesetz unterliegen, gelten eine Reihe von Mindestanforderungen an die IT-Sicherheit. Bei Verstößen drohen hohe Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes – im schlimmsten Fall sogar der Entzug der Betriebserlaubnis.
Cyberhygiene
NIS2 Mindestanforderung: Cyberhygiene
Neben einem funktionierenden Krisen- und Notfallmanagement sowie geforderten Konzepten zur Risikoanalyse und einer Früherkennung von Schwachstellen liegt ein entscheidender Baustein in der Cyberhygiene.Das Gesetz fordert als Mindestanforderung „grundlegende Verfahren im Bereich der Cyberhygiene". Die Europäische Kommission empfiehlt hier insbesondere ein vollumfängliches Identity- und Zugriffsmanagement in Unternehmen zu implementieren. Denn es ist entscheidend sicherzustellen, dass Mitarbeiter (interne wie externe Dienstleister und Lieferanten) nur die Berechtigungen haben, die sie auch wirklich haben dürfen ("Minimalprinzip"). Und nicht nur die Sicherstellung wird wichtig sein, sondern auch die Nachweisbarkeit und Dokumentation. Access Governance wird somit zur Pflicht, um Regulatorien und Richtlinien einzuhalten, nachzuweisen und kontinuierlich zu dokumentieren. Denn IT-Compliance wird zukünftig deutlich stärker geprüft - und die Geschäftsführung ist persönlich dafür verantwortlich.
Das Gesetz benennt „Personalsicherheit, Zugriffskontrolle und Anlagen-Management" explizit als eigenständige Mindestanforderung. Damit ist die Kontrolle von Zugriffsberechtigungen keine freiwillige Best Practice mehr, sondern gesetzlich verpflichtend.
Policies
NIS2 Mindestanforderung: Policies
Richtlinien (Policies) sind ein wichtiges Werkzeug, um vorzugeben, ab wann etwas kritisch werden könnte. NIS2 fordert Policies (Richtlinien) explizit als Mindestanforderung. In Richtlinien kann zum Beispiel festgelegt werden, wie viele Benutzerkonten mit Vollzugriff oder wie viele Domänen Admins erlaubt sind und ab wann die Anzahl kritisch wird und überprüft werden soll.
In der IAM-Software daccord werden standardmäßig Richtlinien mitgeliefert. Sie geben sogar Handlungsempfehlungen bei Missständen, so dass Sie einfach entscheiden können, wie Sie den Richtlinienverstoß beheben möchten. Und natürlich können Sie individuelle Anpassungen vornehmen und selbst vorgeben, ab welcher Größenordnung in Ihrem Unternehmen eine bestimmte Kritikalität erreicht ist.
Sicherheit der Lieferkette
NIS2 Mindestanforderung: Sicherheit der Lieferkette
Die geforderte Sicherheit der Lieferkette stellt viele Unternehmen in Europa noch vor große Herausforderungen. Gerade im Zuge des vermehrten mobilen Arbeitens ist die Zahl an externen Mitarbeitern, Partnern und Lieferanten in den meisten Unternehmen stark angestiegen. Studien zeigen aber, dass gerade diese Benutzerkonten oft nicht ausreichend geschützt sind und dadurch eine hohe Gefahrenquelle für Cyberangriffe oder Missbrauch darstellen. Oft sind Zugänge nur für eine bestimmte Zeit, z.B. für ein einzelnes Projekt notwendig. Der Entzug der Berechtigungen nach Ablauf des Zeitraums wird aber nicht ausreichend nachgehalten und kontrolliert.
Wie kann diese Herausforderung gelöst werden? Wir empfehlen folgende Vorgehensweise:
- Etablierung eines Rollenmodells
Ein Rollenmodell bringt sofort mehr Ordnung in Ihre Rechtestrukturen. Je nach Rolle im Unternehmen werden bestimmte Berechtigungen vergeben. Ändert sich die Rolle, werden die Berechtigungen verändert, nicht mehr benötigte Berechtigungen gelöscht und/oder neue vergeben. Dies gilt eben auch für zeitlich begrenzte Rollen. Der Rolebuilder führt Sie schnell und einfach durch diesen Prozess und unterstützt Sie auf Basis Ihres Ist-Zustands zu einem Soll-Rollenmodell zu gelangen. - Definition von Verantwortlichkeiten
Haben Sie die Rollen und Funktionen in Ihrem Unternehmen definiert, empfehlen wir dringend, Verantwortlichkeiten festzulegen. Wer ist für welches System zuständig, wer für welche Rolle, etc.? Verlagern Sie Verantwortlichkeiten am besten in Fachabteilungen. Dies entlastet die IT-Abteilung enorm und sie geben denen die Verantwortung, die fachlich die Entscheidungen am besten treffen können. - Rollenbasierte Rezertifizierung
Legen Sie Zyklen fest, in denen die Rollen und damit verbundenen Berechtigungen regelmäßig kontrolliert und von Verantwortlichen rezertifiziert werden. So stellen Sie kontinuierlich sicher, dass die Berechtigungsvergaben noch benötigt werden und dass Ihre Mitarbeiter bestenfalls nur die Berechtigungen haben, die sie auch wirklich benötigen (Need-to-know Prinzip). Eine rollenbasierte Zertifizierung spart nicht nur Zeit, sondern ist letztlich auch die sicherste Form einer nachhaltigen Kontrolle. - Lückenlose Dokumentation
Für Prüfer wird es entscheidend sein, dass Sie nachweisen können, wer wann welche Berechtigung erhalten oder entzogen bekommen hat. Nutzen Sie somit eine Software, die Veränderungen dokumentiert, Ihnen historische Daten liefert und bestenfalls sogar Reports zur Verfügung stellt. Sozusagen ein Nachweis auf Knopfdruck.
Mit dem NIS2-Gesetz ist die Dokumentationspflicht kein optionaler Baustein mehr: Betroffene Unternehmen müssen sich beim BSI registrieren, erhebliche Sicherheitsvorfälle aktiv melden und die Umsetzung ihrer Maßnahmen nachweisen. Wer hier nicht revisionssicher dokumentiert, riskiert empfindliche Bußgelder. Eine IAM-Software, die lückenlose Audit-Trails liefert, ist damit nicht nur ein Komfort-Feature – sondern ein Compliance-Muss.
Quellen
Quellen
- Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, BGBl. 2025 I Nr. 301, ausgefertigt 02.12.2025
- Bundesamt für Sicherheit in der Informationstechnik (BSI): NIS-2-regulierte Unternehmen
Erklärfilm
Als CISO perfekt für das Audit vorbereitet
Als CISO kennen Sie die gesetzlichen Anforderungen an die IT-Compliance sicher ganz genau. Aber wissen Sie auch, wie Sie mit einer rollenbasierten Rezertifizierung deutlich Zeit, Kosten und Nerven sparen können? Und wie einfach es sein kann, ein eigenes Rollenmodell zu entwickeln?
Unser Erklärfilm zeigt die wesentlichen Vorteile für Sie als CISO. Schauen Sie doch mal rein!
Können wir weiterhelfen?
Access Governance als wesentlicher Baustein
daccord erfüllt wesentliche Anforderungen von NIS2 im Hinblick auf die Kontrolle der Zugriffsberechtigungen Ihrer Mitarbeiter. Access Governance wird ein wesentlicher Baustein, um die Anforderungen von NIS2 zu erfüllen. Eine kontinuierliche, rollenbasierte Rezertifizierung von Berechtigungen minimiert Risiken im Hinblick auf einen möglichen Missbrauch oder auf Cyberangriffe.
Können Sie schon sicherstellen, dass nur die Mitarbeiter Zugriff auf wesentliche Informationen haben, die es im Sinne des Need-to-know Prinzips auch dürten?