Beitrag: NIS2 in der Praxis – Teil 11: Zugriffskontrolle – von „jeder kann alles“ zu Need-to-know

Auf einen Blick

Beitrag teilen

NIS2: Sind Sie vorbereitet?

Prüfen Sie, ob Ihr Unternehmen betroffen ist, und erfahren Sie, welche Maßnahmen nötig sind. Wir machen die Umsetzung für Sie einfach und praxisnah!

NIS2 in der Praxis – Teil 11: Zugriffskontrolle – von „jeder kann alles“ zu Need-to-know

1. Warum NIS2 das Thema Zugriffskontrolle so ernst nimmt

Mit NIS2 und dem neuen §30 BSIG rückt ein Thema in den Mittelpunkt, das in vielen Unternehmen jahrelang „mitgelaufen“ ist: Wer darf was – und warum?

Der Annex der NIS2-Umsetzungsverordnung (NIS2UmsVO) macht klar: Zugriffskontrolle ist kein Nice-to-have, sondern eine zentrale Maßnahme des Risikomanagements für alle Einrichtungen, die unter NIS2 fallen.

Kapitel 11 des Annex („Zugriffskontrolle“) umfasst dabei folgende Bausteine:

  • 11.1 Konzept für die Zugriffskontrolle
  • 11.2 Management von Zugangs- und Zugriffsrechten
  • 11.4 Systemverwaltungssysteme
  • 11.5 Identifizierung
  • 11.6 Authentifizierung
  • 11.7 Multifaktor-Authentifizierung (MFA)

In diesem Beitrag zeigen wir, wie Sie daraus eine praxisfähige Zugriffskontroll-Architektur ableiten – und wie die Inhalte auf nis2-umsetzung.com Sie dabei konkret unterstützen.

2. Der rechtliche Rahmen: Annex 11 & §30 BSIG

§30 BSIG verpflichtet besonders wichtige und wichtige Einrichtungen zu geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen. Dazu zählen explizit Konzepte zur Zugriffskontrolle und zur Verwaltung von IKT-Systemen.

Die EU-Durchführungsverordnung 2024/2690 (NIS2UmsVO) konkretisiert diese Pflichten im Annex – unter anderem mit direktem Bezug zu ISO 27001/27002.

Hilfreiche Einstiegsseiten:

3. Schritt 1: Dokumentiertes Zugriffskontrollkonzept (11.1)

NIS2 verlangt ein formal dokumentiertes Konzept für logische und physische Zugriffskontrolle. Dieses muss:

  • geschäftliche Anforderungen berücksichtigen
  • auf den Schutz von Netz- und Informationssystemen ausgerichtet sein
  • Personen und Systeme umfassen

Das Konzept stellt sicher, dass Zugriffe nur angemessen authentifizierten Nutzern erlaubt werden.

Vertiefung:


11.1 Konzept für die Zugriffskontrolle – Erklärung & Auditfragen

Praxis-Tipp:
Nutzen Sie dieses Konzept als Dachdokument für Rollen- und Rechtekonzepte, MFA-Regeln, Admin-Vorgaben und physische Zutrittsregelungen.

4. Schritt 2: Management von Zugangs- und Zugriffsrechten (11.2)

Alle Zugriffsrechte müssen nachvollziehbar beantragt, genehmigt, geändert, entzogen und dokumentiert werden.

Zentrale Prinzipien:

  • Need-to-know
  • Need-to-use
  • Aufgabentrennung

Weitere Anforderungen:

  • Rechteanpassung bei Rollenwechsel & Austritt
  • eingeschränkte Rechte für Externe
  • Register aller Zugriffsrechte
  • Protokollierung des Zugriffsmanagements

Mehr dazu:


11.2 Management von Zugangs- und Zugriffsrechten


NIS2-Glossar: Access Management, Berechtigungen, PAM

5. Schritt 3: Systemverwaltung & Admin-Konten (11.4)

NIS2 legt besonderen Fokus auf privilegierte Konten:

  • Admin-Konten nur für administrative Zwecke
  • Trennung von Admin- und Benutzerumgebungen
  • starke Authentifizierung & Verschlüsselung

Details:


11.4 Systemverwaltungssysteme

6. Schritt 4: Identitäten, Authentifizierung & MFA (11.5–11.7)

Ohne sauberes Identitätsmanagement ist Zugriffskontrolle nicht wirksam.

  • eindeutige Identitäten für Personen & Systeme
  • angemessene Authentifizierungsstärke
  • MFA für kritische Systeme & privilegierte Konten

Weiterführend:

7. Ein pragmatischer Fahrplan

  1. Ist-Aufnahme: Rollen, Rechte, kritische Systeme erfassen
  2. Zielbild definieren: Zugriffskontrollkonzept erstellen
  3. Rollen & Rechte umsetzen: Need-to-know verankern
  4. Admin-Konten absichern: MFA, Trennung, Logging
  5. Dokumentation: Konzepte, Register, Reviews

Unterstützende Werkzeuge:

8. Unterstützung bei der Umsetzung

Gerade im Mittelstand fehlt oft die Zeit für Bereinigungen, Dokumentation und Audits.

Unsere Angebote:

  • Online-Coaching & Umsetzungsfahrplan
  • Mapping §30 BSIG ↔ Annex NIS2UmsVO
  • Musterdokumente & Checklisten


Übersicht NIS2 Coaching & Pakete

9. Ausblick

Dieser Beitrag ist Teil unserer Reihe „NIS2 in der Praxis“.

Im nächsten Teil widmen wir uns dem Thema Asset Management – denn ohne sauberes Inventar ist Zugriffskontrolle kaum wirksam.

Abschlussfrage:
Haben Sie heute bereits ein dokumentiertes Zugriffskontrollkonzept nach Annex 11 – oder arbeiten Sie noch mit historisch gewachsenen Berechtigungen?

Über den Autor:

Bild von Ralf Becker

Ralf Becker

Geschäftsführer & Datenschutz- / Informationssicherheitsbeauftragter

Ralf Becker begann seine berufliche Laufbahn bei einer Strategie-Beratung, war in unterschiedlichen leiten-den Positionen im Telekom-Konzern tätig, bevor es ihn 2007 wieder in die Beratung zog. Seit 2009 ist er Geschäftsführer der daschug GmbH. Sowohl als zertifizierter Datenschutzbeauftrag-ter wie auch als externer Informationssicherheitsbeauftragter ist er seit mehr als 15 Jahren im Bereich IT-Compliance aktiv. Von ihm und seinem Team werden eine Reihe deutscher mittel-ständischer Unternehmen „hands-on“ betreut. Er verfügt über mehr als 10jährige Erfahrung mit ISO27001-Zertifizierung auch in kleinen Organisationen und dem Aufbau bzw. der Pflege von pragmatischen, tool-gestützten Informationssicherheits-Managementsystemen (ISMS) für KMUs.