Wissen Sie, was in Ihrer Software steckt?

NIS2-konform aufgestellt: Wie geschützte Identitäten und privilegierte Zugriffe Unternehmen den Weg ebnen

June 1, 2026 in Blog

feature-image

NIS2-konform aufgestellt: Wie geschützte Identitäten und privilegierte Zugriffe Unternehmen den Weg ebnen

Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Deutschland in Kraft. Damit geraten längst nicht mehr nur klassische KRITIS-Betreiber in den Fokus, sondern auch viele weitere “wichtige” und “besonders wichtige” Einrichtungen. Gut 30.000 Organisationen sind nun gefordert, Risikomanagement, Vorfallsmeldungen, technische Maßnahmen und Governance zu schärfen. Doch was konkret zu tun ist, bleibt für Verantwortliche meist ein Rätsel. Die Anforderung, geeignete, verhältnismäßige, technisch wirksame und organisatorische Maßnahmen zu ergreifen, ist nämlich bewusst offen formuliert. Gute Ansatzpunkte liefern Identity and Access Management (IAM) und Privileged Access Management (PAM).

ℹ️ Schon einen Schritt weiter?

Sie sind sich bereits bewusst, dass IAM und PAM bei der NIS2-Konformität Ihr Unternehmen voranbringen können? Dann können Sie direkt zu unserer Checkliste abbiegen.

Aller Anfang ist (nicht) schwer

IT-Infrastruktur und Prozesse schützen, Vertraulichkeit schaffen, Störungen vermeiden und im Falle von Sicherheitsvorfällen, Auswirkungen geringhalten – es sind edle Ziele, die die NIS2-Richtlinie verfolgt. Doch der Weg dorthin birgt noch Fragezeichen. Denn NIS2 beschreibt, was erreicht werden soll, nicht aber, wie dies gelingen kann. Wer sich also durch den Gesetzestext liest, wird auf keine konkreten Maßnahmen stoßen.

Klar ist nur, dass die Anforderungen risikobasiert gelten. Einrichtungen müssen selbst erwägen, was geeignete und verhältnismäßige Herangehensweisen sind. Welche Kontrolle ist angemessen? Welche Systeme sind besonders kritisch und erfordern schnelle Lösungen? Und wo lauern die größten Risiken?

ℹ️ Implementing Acts als Hilfestellungen

Für bestimmte digitale Dienste und Infrastrukturen gibt es jedoch schon eine Leitplanke: die Durchführungsverordnung (EU) 2024/2690. Hier sind EU-weite Anforderungen für Risikomanagementmaßnahmen festgehalten. Sie gilt beispielsweise für DNS-Diensteanbieter, Anbieter von Cloud-Computing-Diensten, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke.

Unternehmen sollten daher auch einschlägige Implementing Acts der EU sowie die begleitenden technischen Orientierungshilfen von ENISA im Blick behalten.

Nicht genannt, aber essenziell

Genau an dieser Stelle werden Identity and Access Management und Privileged Access Management relevant. NIS2 nennt diese Begriffe zwar nicht ausdrücklich, viele der geforderten Ziele lassen sich in der Praxis aber genau damit umsetzen. Insbesondere vier Handlungsfelder rücken in den Mittelpunkt.

Sicherheitsgrenzen im Wandel

Lange Zeit war Sicherheit eine Perimeterfrage. Existierten Firewalls, Netzgrenzen und Schutz für interne Netzwerke, galt die Infrastruktur als gesichert. Eine Logik, die angesichts der veränderten IT-Landschaft nicht mehr trägt. Heute dominieren Cloud-Dienste, mobile Arbeitsplätze, externe Dienstleister und Partner ebenso wie APIs, Service-Accounts und Maschinenidentitäten. Damit muss sich die Sicherheitsgrenze deutlich ausweiten.

NIS2 verlangt heute risikobasierte Schutzmaßnahmen. Es genügt nicht mehr, wenn Unternehmen nur ihre Systeme absichern. Sie müssen auch Zugriffe auf Systeme und Daten kontrollierbar machen. ENISA nennt in ihrer technischen Guidance ausdrücklich Themen wie “Rollen und Verantwortlichkeiten”, “Zugriffskontrolle”, “Zugriffsberechtigungen” und “Asset Management” als relevante Bausteine.

Der neue Leitsatz: Zugriffskontrollen werden nicht mehr über Netzgrenzen, sondern zunehmend über Identitäten und Berechtigungen organisiert.

Multi-Faktor-Authentifizierung

Benutzername plus Passwort ergibt Zugriff. Insbesondere in kritischen Kontexten sollte diese Formel nicht einzige Zugriffshürde sein. Eine starke Authentifizierung ist gefragt. NIS2 erwähnt in Artikel 21 Absatz 2 ausdrücklich die Multi-Faktor-Authentifizierung oder eine kontinuierliche Authentisierung. Unternehmen, die Wissen-, Besitz- und gegebenenfalls Biometriefaktoren kombinieren, arbeiten am sichersten.

Kritische Zugriffe, sensible Systeme und privilegierte Konten erfordern ein Umdenken. Die neue Mindestanforderung lautet somit Multi-Faktor-Authentifizierung.

Lifecycle Management

Identitäten werden einmal angelegt und geraten dann häufig in Vergessenheit. Werden Rechte zu spät entzogen, werden Berechtigungen nicht an veränderte Rollen angepasst oder bestehen Service-Accounts ohne klare Verantwortlichkeiten, kann das Schwachstellen eröffnen. Daher muss der gesamte Lebenszyklus einer Identität Berücksichtigung finden.

Die NIS2-Parallele: Die Richtlinie fordert Nachvollziehbarkeit, risikobasierten Schutz und wirksame Maßnahmen. All das lässt sich ausschließlich erzielen, wenn ein sauberes Lifecycle Management für Identitäten vorliegt. Joiner (neue Personen/neue Konten), Mover (veränderte Rollen/Funktionen/Verantwortungsbereiche), Leaver (Offboarding) sind das Dreigespann, auf das zu achten ist.

Governance und Nachweisbarkeit

Viele stempeln NIS2 als Technikthema ab – und greifen damit zu kurz. Denn vor allem zielt die Richtlinie auf Verantwortung der Leitungsorgane ab. Das heißt: Es reicht nicht, technisch “irgendwie abgesichert” zu sein. Unternehmen müssen Maßnahmen auch steuerbar, überprüfbar und organisatorisch verankert umsetzen.

Einerseits gewinnen dokumentierte Rollen, überprüfbare Rechte und klare Verantwortlichkeiten an Gewicht. Andererseits wird nicht nur Schutz, sondern auch Nachweisbarkeit wichtiger. Was viele Identity-Security-Experten seit langer Zeit predigen, wird hier deutlich: IAM und PAM sind operative Admin-Themen, müssen aber ebenso in der Governance verankert werden.

Basis legen – mit Identity Security

NIS2 umfasst natürlich weit mehr: Incident Handling, Business Continuity, Supply Chain Security und Cyber-Hygiene beziehungsweise Cyber-Trainings. Letztlich münden aber viele Anforderungen in Maßnahmen für Identitäten und Zugriffe. Vier Beispiele verdeutlichen das:

  • Incident Response braucht Klarheit über Accounts und Berechtigungen.
  • Business Continuity braucht robuste Zugangsmodelle.
  • Security Policies brauchen nachvollziehbare Rollen und Verantwortlichkeiten.
  • Auditierbarkeit scheitert oft an unklaren privilegierten Konten und Zugriffsrechten.

Doch Organisationen, die bereits auf IAM und PAM setzen, sollten sich nicht zu früh freuen. Wer NIS2-Anforderungen umsetzt, wird schnell erkennen, dass noch viele Schwachstellen vorherrschen, die überwiegend aus klassischen IAM- und PAM-Systemen resultieren.

  • über Jahre gewachsene Rechte- und Rollenkonzepte
  • fehlende Rezertifizierungen
  • keine saubere Trennung privilegierter und unprivilegierter Konten
  • gemeinsam genutzte Admin-Konten
  • unklare Verantwortlichkeiten für Service-Accounts
  • fehlendes Offboarding
  • fehlende Dokumentation von Ausnahmen
  • privilegierte Zugriffe ohne ausreichende Kontrolle oder Nachvollziehbarkeit
  • unzureichend erfasste technische Identitäten und Non-Human Identities

Pragmatischer NIS2-Start

Ein sinnvoller erster Schritt hin zur NIS2-Konformität kann in der Modernisierung von IAM und PAM liegen. Auch wenn das nicht klar als Pflicht festgehalten ist, nähern sich Unternehmen durch die Umsetzung der einzelnen To-dos dem Ziel deutlich.

IAM-To-dos

  • Rollen und Verantwortlichkeiten sauber definieren
  • Rechtevergabe stärker risikoorientiert aufsetzen
  • Need-to-know / Least Privilege konsequent umsetzen
  • Joiner-Mover-Leaver-Prozesse prüfen
  • Authentisierung für kritische Zugriffe neu bewerten
  • Management Approval und Governance verankern
  • regelmäßige Überprüfung statt Einmalprojekt

PAM-To-dos

  • Inventarisierung privilegierter Konten
  • Trennung administrativer und normaler Zugriffe
  • Session-Kontrolle und Nachvollziehbarkeit
  • Reduktion dauerhaft hoher Rechte
  • dokumentierte Freigaben und Ausnahmen
  • Überwachung privilegierter Zugriffe

Das sieht nach einer langen Liste aus? Keine Sorge. Zuerst gilt es, Transparenz zu schaffen. Verantwortliche sollten eine Ist-Analyse bezüglich kritischer Systeme, privilegierter Konten und sensibler Rollen erstellen. Dann folgt eine Priorisierung. Systeme oder Zugriffe, bei denen Missbrauch oder eine Fehlbedienung besonders gravierende Folgen nach sich ziehen würden, sollten zuerst bearbeitet werden. Anschließend gilt es, schrittweise Richtlinien, Rollenmodelle, Rezertifizierungen, Session-Kontrollen und technische Identitäten zu verbessern.

ℹ️ NIS2 und Software Supply Chain Security

NIS2 lenkt den Blick nicht nur auf Identitäten, Rechte und privilegierte Zugriffe. Auch Transparenz über eingesetzte Software-Komponenten wird wichtiger. SBOMs, Security-Reports und Schwachstellenanalysen helfen dabei, Risiken in der Softwarelieferkette frühzeitig sichtbar zu machen und Nachweise belastbarer zu führen.

Mehr dazu erfahren Sie auf unserer Seite “Because binaries don’t tell lies”.

IAM und PAM für NIS2

NIS2 erhöht den Anspruch an Steuerbarkeit, Nachvollziehbarkeit, Verantwortlichkeit und risikobasierten Zugriffskontrollen. Eine Optimierung von IAM und PAM wird dabei nicht explizit erwähnt. Aber Unternehmen, die diese Aspekte als Teil ihrer NIS2-Readiness betrachten, kommen dem großen Ganzen schnell näher.

Ist Ihr IAM und PAM NIS2-ready? Unsere Checkliste gibt Ihnen Aufschluss darüber.


NIS2 beschäftigt Sie schon deslängeren, aber der Anfang fällt Ihnen schwer? Lassen Sie uns gemeinsam geeignete Schutzmaßnahmen identifizieren.

Jetzt Termin vereinbaren

umbrella.associates

  • Mergenthalerallee 73-75
    65760 Eschborn/Frankfurt
  • +49 (0) 6196 204 8237

Navigation

We take your security to the next level

...und tun alles, um neuen Identitäten Schutz zu gewähren. Seien es Mitarbeiter oder Kunden, Partnerfirmen oder Admins - bis hin zu Geräten und Anlagen. Wir erstellen die Management Ebene, für ALLE Identity Anforderungen.

© 2026 umbrella.associates