NIS2-Compliance: Passwörter und MFA richtig umsetzen

SpecopsWerbung – Die NIS2-Richtlinie der EU verpflichtet über 29.000 Unternehmen dazu, Cybersicherheit ernst zu nehmen. Das bedeutet auch, die Verwaltung von Zugriffsrechten und Identitäten kritisch zu überprüfen. Wenn Sie für die IT-Sicherheit eines betroffenen Unternehmens verantwortlich sind, stellen Sie sich wahrscheinlich die Frage: Was genau muss ich in Bezug auf Passwörter und Authentifizierung tun? Werfen wir einen Blick darauf, welche Anforderungen NIS2 an Identitäts- und Zugriffskontrollen stellt und wie Sie eine praxisnahe Roadmap entwickeln, die in der Praxis funktioniert.

Was ist NIS2 und wer muss die Anforderungen erfüllen?

Die NIS2-Richtlinie (Network and Information Security Directive) hat im Januar 2023 die ursprüngliche NIS-Richtlinie abgelöst. Die EU-Mitgliedstaaten waren verpflichtet, die Richtlinie bis Oktober 2024 in nationales Recht umzusetzen. Deutschland hat die NIS2-Richtlinien in das neue BSI-Gesetz (BSIG) integriert, welches am 6. Dezember 2025 in Kraft getreten ist. Die Richtlinie gilt für mittlere und große Organisationen in 18 kritischen Sektoren, darunter Energieversorgung, Verkehr, Banken, Gesundheitswesen, digitale Infrastrukturen und öffentliche Verwaltung.

Wenn Ihr Unternehmen mehr als 50 Mitarbeitende beschäftigt oder einen Jahresumsatz von über 10 Millionen Euro erzielt und in einem dieser Sektoren tätig ist, müssen Sie mit hoher Wahrscheinlichkeit die Anforderungen von NIS2 erfüllen. Die Sanktionen bei Verstößen sind erheblich: Wesentliche Einrichtungen können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes belegt werden. Wichtige Einrichtungen müssen mit Strafen von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes rechnen.

Wesentliche und wichtige Einrichtungen

NIS2 unterteilt betroffene Organisationen in zwei Kategorien:

  • Wesentliche Einrichtungen: Hierzu zählen große Organisationen in besonders kritischen Sektoren (NIS2: Anhang I), beispielsweise Energieversorgung, Bankenwesen, Gesundheitswesen oder digitale Infrastruktur. Diese Unternehmen unterliegen einer proaktiven Aufsicht mit regelmäßigen Audits und Kontrollen. Die maximale Geldbuße beträgt 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
  • Wichtige Einrichtungen: Zu dieser Kategorie gehören Organisationen aus weiteren kritischen Bereichen (NIS2: Anhang II), beispielsweise Post- und Kurierdienste, Abfallwirtschaft oder Lebensmittelproduktion. Sie unterliegen einer nachgelagerten Aufsicht („Ex-post-Supervision"), das heißt, Kontrollen erfolgen in der Regel erst nach gemeldeten Verstößen oder Verdachtsfällen. Die maximale Geldbuße beträgt 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.

Beide Kategorien müssen die gleichen Cybersicherheitsanforderungen erfüllen. Der einzige Unterschied liegt ausschließlich im Umfang der Aufsicht und der Höhe möglicher Sanktionen.

NIS2: Identitäts- und Zugriffskontrollen sind entscheidend

NIS2 nennt Identitäts- und Zugriffsmanagement ausdrücklich als zentrale Sicherheitsmaßnahme. Gemäß Artikel 21 sind Organisationen dazu verpflichtet, geeignete Richtlinien für die Zugriffskontrolle umzusetzen. Damit wird deutlich, dass schwache Authentifizierungsverfahren nicht länger akzeptabel sind.

Angesichts der aktuellen Bedrohungslage ist das wenig überraschend. Laut dem Verizon Data Breach Investigations Report 2026 waren kompromittierte Zugangsdaten an 80 % aller Sicherheitsverletzungen beteiligt.

Wenn Angreifer mit gestohlenen Passwörtern problemlos durch die "Vordertür" gelangen können, verlieren viele andere Sicherheitsmaßnahmen erheblich an Wirksamkeit.

Die richtige Passwortstrategie

Eine starke Passwortrichtlinie bildet die erste Verteidigungslinie. Doch was bedeutet "stark" im Jahr 2026 tatsächlich?

Komplexität versus Länge

Das klassische Modell, Benutzer zu Passwörtern wie P@ssw0rd123! zu zwingen, gilt inzwischen als überholt. Die aktuellen Empfehlungen des NIST legen den Schwerpunkt auf Passwortlänge statt auf komplexe Sonderzeichenregeln. Eine 15 Zeichen lange Passphrase wie: "coffee-mountain-bicycle-sky " ist deutlich sicherer und zugleich leichter zu merken als "Tr0ub4dor&3".

SpecOps PW Policy

Für die NIS2-Compliance sollten mindestens folgende Anforderungen umgesetzt werden:

  • Mindestlänge von 15 Zeichen
  • Abgleich neuer Passwörter mit bekannten Datenlecks und Passwortdatenbanken
  • Blockierung gängiger Muster und Wörterbuchbegriffe
  • Verhinderung der Wiederverwendung von Passwörtern in kritischen Systemen

Die Frage der Passwortrotation

Früher galt die verpflichtende Passwortänderung alle 60 bis 90 Tage als Best Practice. Heute nicht mehr. Erzwungene Passwortwechsel führen häufig dazu, dass Anwender lediglich vorhersehbare Änderungen vornehmen (z. B. wird aus "Password1" "Password2") oder ihre Zugangsdaten notieren.

Die aktuelle Empfehlung lautet daher: Verzichten Sie auf verpflichtende Passwortrotationen, sofern keine Hinweise auf eine Kompromittierung vorliegen. Investieren Sie stattdessen in die Überwachung kompromittierter Zugangsdaten und fordern Sie Benutzer gezielt zur Änderung ihres Passworts auf, wenn dieses in bekannten Datenlecks auftaucht.

Der menschliche Faktor

Technische Sicherheitsmaßnahmen funktionieren nur, wenn sie von den Anwendern auch praktikabel umgesetzt werden können. Wenn eine Passwortrichtlinie so restriktiv ist, dass Benutzer Varianten von "password123" verwenden, wurde die Sicherheit nicht erhöht – es wurde lediglich eine Compliance-Anforderung formal erfüllt.

MFA: Vom optionalen Extra zur unverzichtbaren Sicherheitsmaßnahme

Die NIS2-Richtlinie schreibt die Multi-Faktor-Authentifizierung (MFA) im Gesetzestext ausdrücklich vor. In Artikel 21, Absatz 2, Punkt (j), wird die „Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung" aufgeführt.
Die Logik dahinter ist einfach: Selbst wenn Zugangsdaten kompromittiert werden, stellt MFA eine zusätzliche Sicherheitsbarriere dar. Laut Microsoft verhindert MFA 99,9 % aller automatisierten Angriffe auf Benutzerkonten.

Es ist jedoch wichtig zu beachten, dass nicht alle MFA-Verfahren denselben Schutz bieten. Unternehmen sollten deshalb Authentifizierungsfaktoren bevorzugen, die gegen Phishing-Angriffe und das sogenannte „MFA Prompt Bombing" resistent sind.

NIS2-Compliance-Roadmap

Die folgende Checkliste unterstützt Sie dabei, Ihre Authentifizierungs- und Zugriffskontrollen mit den NIS2-Anforderungen in Einklang zu bringen.

Solide Grundlagen schaffen

  • Überprüfen Sie Ihre bestehenden Passwortrichtlinien und passen Sie diese an aktuelle Sicherheitsstandards an. Nutzen Sie hierfür beispielsweise unser kostenloses Read-Only-Tool Specops Password Auditor
  • Implementieren Sie eine Lösung für das Passwortmanagement, die Passwortlänge, Komplexitätsanforderungen und weitere Sicherheitsrichtlinien zuverlässig durchsetzt
  • Führen Sie regelmäßige Überprüfungen privilegierter Konten und Zugriffsrechte durch Schutz vor identitätsbasierten Angriffen
  • Nutzen Sie Lösungen wie Specops Password Policy, um Ihr Active Directory kontinuierlich mit Milliarden kompromittierter Passwörter abzugleichen und gefährdete Kennwörter automatisch zu erkennen
  • Führen Sie zunächst für privilegierte Benutzerkonten und anschließend schrittweise für weitere Anwendergruppen eine phishing-resistente MFA ein
  • Aktivieren Sie Conditional-Access-Richtlinien, die Authentifizierungsanforderungen dynamisch an das jeweilige Risikoniveau anpassen

Anwender befähigen statt überfordern

  •  Befolgen Sie bei der Einführung neuer Passwortrichtlinien bewährte Vorgehensweisen
  •  Schulen Sie Benutzer regelmäßig zu den Themen Passwortsicherheit, Passphrasen und dem Einsatz von Passwortmanager
  • Kommunizieren Sie transparent, warum neue Sicherheitsmaßnahmen erforderlich sind. Compliance funktioniert deutlich besser, wenn Anwender die zugrunde liegenden Risiken verstehen.

Laufender Betrieb und kontinuierliche Verbesserung

  • Überwachen Sie die Authentifizierungsprotokolle auf verdächtige Aktivitäten
  • Überprüfen und aktualisieren Sie Richtlinien vierteljährlich
  • Testen Sie Ihre Incident-Response-Verfahren jährlich
  • Dokumentieren Sie alle Vorgänge für Compliance-Audits

Die richtigen Lösungen zur erfolgreichen NIS2-Compliance

Bei der NIS2-Compliance geht es nicht darum, jedes verfügbare Sicherheitsprodukt einzukaufen. Vielmehr ist es entscheidend, die richtigen Maßnahmen auszuwählen, um die Sicherheit nachhaltig zu verbessern, ohne die IT-Teams unnötig zu belasten. Die NIS2-Richtlinie bietet einen klaren Rahmen für den Aufbau wirksamer Authentifizierungs- und Zugriffskontrollen, die Ihre Organisation tatsächlich schützen. Beginnen Sie mit modernen Passwortrichtlinien, ergänzen Sie diese durch phishingresistente MFA und etablieren Sie skalierbare Prozesse, die langfristig funktionieren.

Benötigen Sie Unterstützung bei der Erfüllung der NIS2-Anforderungen? Sprechen Sie mit einem Specops-Experten darüber, wie Sie Ihre individuellen Herausforderungen meistern können.

Dieser Beitrag wurde unter Allgemein abgelegt und mit verschlagwortet. Setze ein Lesezeichen für den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.