Was bedeuten die NIS2-Änderungen konkret für Identity & Access Management (IAM)?
Mit der NIS2-Richtlinie ist vieles klarer geworden – und gleichzeitig vieles offener als erhofft. Seit dem 17.01.2025, dem Zeitpunkt der formalen Veröffentlichung bzw. Abrufbarkeit, stellen sich Unternehmen dieselbe Frage: Was bedeutet NIS2 nun ganz konkret – insbesondere für Identity & Access Management (IAM)?
Mit der Verabschiedung des KRITIS-Dachgesetzes am 29.01.2026 und der Umsetzung der CER-Richtlinie verschärft sich der regulatorische Rahmen zusätzlich zur NIS2 deutlich. Für viele Unternehmen bedeutet das: Sicherheits- und Governance-Prozesse müssen nicht nur existieren, sondern belastbar dokumentiert, überprüfbar und wirksam sein.
Dieser Artikel gibt einen kompakten Rückblick auf die Entwicklungen seit Januar, ordnet die häufig als „zu generisch“ empfundenen Anforderungen ein und leitet daraus konkrete Auswirkungen und Handlungsfelder für IAM ab. Ziel ist es, Orientierung zu geben – ohne auf noch ausstehende nationale Detailregelungen zu warten.
Rückblick: Was ist seit dem 17.01. passiert?
Nach Veröffentlichung der NIS2-Richtlinie wurde schnell deutlich: Die Anforderungen sind bewusst technologieneutral und abstrakt formuliert. NIS2 definiert was erreicht werden soll, nicht wie. Gerade in der Anfangsphase führte das zu Unsicherheit in vielen Organisationen.
In der Praxis lassen sich seitdem drei Entwicklungen beobachten:
· Unternehmen warten nicht mehr ausschließlich auf nationale Umsetzungsgesetze.
· Bestehende ISMS- und Security-Strukturen werden gegen NIS2 gespiegelt.
· IAM rückt stärker in den Fokus, da Identitäten als zentrale Sicherheitskomponente erkannt werden.
Statt eines „Big Bang“ hat NIS2 somit vor allem einen Bewertungs- und Priorisierungsprozess ausgelöst.
NIS2Know #1: „Die Anforderungen sind zu generisch – was soll ich konkret tun?“
Diese Reaktion ist nachvollziehbar. Beim ersten Lesen der Richtlinie bleibt offen, welche Maßnahmen tatsächlich erwartet werden. Inzwischen existieren jedoch mehrere etablierte Orientierungshilfen, die NIS2 greifbarer machen.
Orientierung durch Implementing Acts und Standards
Ein wichtiger erster Schritt ist der NIS2 Implementing Act für den Sektor Digitale Infrastruktur. Er übersetzt die abstrakten Anforderungen erstmals in konkretere Maßnahmen (Controls) – unter anderem zu Zugriffskontrolle, Authentifizierung und Identitätsverwaltung.
Ergänzend greifen viele Organisationen auf etablierte Standards zurück:
· ISO/IEC 27001 mit klaren Vorgaben zu Access Control, Identity Lifecycle und Governance
· B3S für branchenspezifische Sicherheitsanforderungen
· Der BSI-KdA-Katalog für KRITIS-Unternehmen mit hoher operativer Tiefe
Diese Rahmenwerke zeigen deutlich: Die meisten NIS2-Anforderungen lassen sich nicht neu erfinden, sondern systematisch aus bestehenden Best Practices ableiten.
OpenKRITIS: Von Anforderungen zu Maßnahmen
Einen besonders praxisnahen Ansatz bietet OpenKRITIS. Dort werden die Anforderungen der NIS2-Richtlinie auf konkrete Maßnahmen aus Implementing Act, ISO 27001 und BSI gemappt.
Gerade im IAM-Kontext wird so sichtbar, dass hinter einzelnen NIS2-Artikeln oft eine Vielzahl konkreter Controls steht – etwa zu Rollenmodellen, Berechtigungsprüfungen oder Protokollierung. Das nimmt der Richtlinie ihre Abstraktheit und erleichtert die Priorisierung.
Was bedeutet NIS2 konkret für IAM?
Auch wenn IAM in NIS2 kein eigenes Kapitel hat, durchzieht es nahezu alle sicherheitsrelevanten Anforderungen. In der Praxis kristallisieren sich seit Januar vier zentrale Handlungsfelder heraus:
Identitäten als Sicherheitsgrenze
Der Fokus verschiebt sich von reinem Perimeterschutz hin zur Frage, wer Zugriff auf Systeme und Daten hat. Benutzer-, Service- und Maschinenidentitäten müssen klar unterschieden und gesteuert werden.
Starke Authentifizierung
Mehrfaktor-Authentifizierung wird zunehmend als Mindeststandard betrachtet – nicht nur für Administratoren, sondern für kritische Geschäftsprozesse und sensible Zugriffe.
Lifecycle-Management
Nachvollziehbare Joiner-, Mover- und Leaver-Prozesse gewinnen an Bedeutung. Zugriffe müssen zeitnah vergeben, angepasst und entzogen werden können – idealerweise automatisiert.
Governance und Nachweisbarkeit
Dokumentierte Rollen- und Berechtigungskonzepte, regelmäßige Rezertifizierungen und klare Verantwortlichkeiten werden zur Erwartung. IAM entwickelt sich damit vom IT-Werkzeug zu einem festen Bestandteil des ISMS.
Erste Best Practices aus Unternehmen
Seit dem 17.01. zeichnen sich erste Best Practices ab:
· Durchführung von Gap-Analysen auf Basis bestehender Standards
· Priorisierung von IAM-Themen mit hohem Risikohebel (MFA, privilegierte Konten)
· Engere Verzahnung von IAM-, ISMS- und Fachbereichen
· Fokus auf Prozesse und Governance statt reiner Tool-Einführungen
Fazit
NIS2 bringt keine völlig neuen IAM-Konzepte – aber sie macht deutlich, dass strukturiertes und überprüfbares Identity & Access Management kein optionales Thema mehr ist. Unternehmen, die heute auf bewährte Standards setzen und IAM als integralen Bestandteil ihres ISMS verstehen, schaffen nicht nur NIS2-Compliance, sondern eine nachhaltige Sicherheitsbasis.
Kurz gesagt: NIS2 verlangt kein neues IAM – sondern ein reifes.
Mit der Verabschiedung der NIS2-Richtlinie verschärft der Gesetzgeber nicht die Anforderungen an einzelne IAM-Werkzeuge, sondern an den Reifegrad der Identity- und Access-Prozesse. Im Fokus stehen Nachvollziehbarkeit, Automatisierung, klare Verantwortlichkeiten und ein risikobasierter Umgang mit Identitäten.
Ein tragfähiges IAM-Setup basiert dabei auf drei eng verzahnten Kernbausteinen:
Identity Governance & Administration (IGA)
IGA bildet das Fundament eines reifen IAM. Es sorgt für transparente, auditierbare und automatisierte Prozesse zur Verwaltung von Identitäten, Benutzerkonten, Rollen und Berechtigungen über den gesamten Lebenszyklus hinweg.
Unsere IGA-Ansätze sind darauf ausgelegt,
· einen hohen Automatisierungsgrad zu erreichen,
· regulatorische Anforderungen (z. B. NIS2, BAIT, VAIT, KRITIS, TISAX) zu erfüllen und
· gleichzeitig Effizienz und Datenqualität nachhaltig zu steigern.
Access Management (AM)
Access Management stellt sicher, dass Benutzer – menschlich wie technisch – zur richtigen Zeit auf die richtigen Ressourcen zugreifen können. Dazu gehören Authentifizierung, Autorisierung und Single Sign-on ebenso wie die Definition belastbarer Zugriffsregeln.
Gemeinsam mit unseren Kunden entwickeln wir Regelwerke, die bewährte Prinzipien wie Least Privilege, Need-to-Know und risikobasierte Zugriffskontrollen konsequent umsetzen – unabhängig von Cloud-, On-Prem- oder Hybrid-Umgebungen.
Privileged Access Management (PAM)
Privilegierte Konten stellen eines der größten Risiken für Organisationen dar – und stehen entsprechend stark im Fokus von NIS2. PAM adressiert diese Risiken mit spezialisierten Prozessen für administrative und hochprivilegierte Zugriffe.
Unsere PAM-Konzepte berücksichtigen erhöhte Sicherheitsanforderungen wie:
· strikte Trennung von Rollen,
· zeitlich begrenzte Privilegien,
· Nachvollziehbarkeit und Protokollierung sowie
· automatisierte Passwort- und Schlüsselrotation.
Als spezialisierte IAM-Boutique begleitet uniqkey Organisationen genau dort, wo sie heute stehen. Auf Basis eines eigenentwickelten IAM-Reifegradmodells holen wir unsere Kunden auf ihrem aktuellen Niveau ab und entwickeln gemeinsam eine realistische, priorisierte Roadmap hin zu NIS2-konformen IAM-Strukturen.
Unsere Erfahrung aus zahlreichen Projekten – insbesondere im Banken-, Versicherungs- und KRITIS-Umfeld – zeigt: Reifes IAM ist kein Big Bang, sondern ein konsequenter, strukturierter Weg. Referenzen aus dem Umfeld, u. a. bei Energieerzeugern und Netzbetreibern, unterstreichen diesen Ansatz.
NIS2 wird damit nicht zur zusätzlichen Belastung, sondern zum Katalysator für nachhaltige Sicherheit und Effizienz.