Die Frist ist längst verstrichen. NIS2 (die überarbeitete Cybersicherheitsrichtlinie der EU) musste bis zum 17. Oktober 2024 in allen Mitgliedstaaten in nationales Recht überführt werden. Wenn Ihre Organisation wesentliche Dienste erbringt oder in einem der erfassten Sektoren eine bedeutende Rolle spielt, lautet die Frage nicht länger, ob die Vorgaben gelten, sondern ob Sie einer Aufsichtsbehörde nachweisen können, dass Ihre Zugangskontrollen sie erfüllen. Und diese Frage landet erstmals auf dem Tisch der Geschäftsleitung, nicht mehr allein in der IT-Abteilung.
Authentifizierung steht jetzt im Gesetz, nicht mehr nur in der Empfehlung
Frühere Best-Practice-Rahmenwerke empfahlen Multi-Faktor-Authentifizierung. NIS2 geht weiter. Die grundlegenden Risikomanagementmaßnahmen (Artikel 21) verpflichten Organisationen zu technischen Kontrollen wie Zugangskontrollrichtlinien, Kryptografie und, ausdrücklich benannt, dem Einsatz von Multi-Faktor-Authentifizierung oder Lösungen zur kontinuierlichen Authentifizierung, sofern angemessen.
In der Praxis ist ein schwacher oder optionaler zweiter Faktor damit keine haltbare Position mehr. Wenn ein Prüfer wissen will, wie sich ein privilegierter Administrator an Ihrem VPN, Ihren Windows-Servern oder Ihrer Verwaltungskonsole anmeldet, ist „ein Passwort und manchmal ein SMS-Code“ die Antwort, die zu einer Beanstandung führt.
Für wen das gilt
NIS2 teilt Organisationen in wesentliche und wichtige Einrichtungen über ein breites Spektrum an Sektoren ein: Energie, Verkehr, Bankwesen und Finanzmarktinfrastrukturen, Gesundheitswesen, Trink- und Abwasser, digitale Infrastruktur, öffentliche Verwaltung und mehr, ergänzt um eine zweite Ebene, die Postdienste, Abfallwirtschaft, verarbeitendes Gewerbe, Lebensmittel, Chemie und digitale Anbieter erfasst. Viele Organisationen, die außerhalb der ursprünglichen NIS-Richtlinie lagen, fallen nun klar unter deren Nachfolgerin.
Zwei Änderungen heben das über ein bloßes Compliance-Häkchen hinaus:
- Verantwortung der Leitungsorgane. Geschäftsleitungen müssen die Cybersicherheits-Risikomanagementmaßnahmen billigen und überwachen und können bei Versäumnissen persönlich haftbar gemacht werden.
- Empfindliche Sanktionen. Aufsichtsbehörden können erhebliche Bußgelder verhängen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist, für wesentliche Einrichtungen.
Wie „NIS2-taugliche“ Authentifizierung tatsächlich aussieht
Irgendeine MFA zu haben ist nicht dasselbe, wie dem Sinn der Richtlinie gerecht zu werden. Drei Punkte unterscheiden eine Kontrolle, die einen Prüfer überzeugt, von einer, die nur auf der Folie gut aussieht:
- Phishing-Resistenz. SMS-Codes lassen sich abfangen oder per SIM-Swap übernehmen, und sowohl sie als auch einfache Ein-Tipp-Push-Verfahren fallen einem Adversary-in-the-Middle-Relay zum Opfer. Ein Schlüssel, der an die Hardware im Gerät des Nutzers gebunden ist (einer, der sich weder kopieren noch wiedereinspielen lässt) beseitigt diese Risikoklasse. Push-Fatigue ist ein eigenständiges Problem, und kein Schlüssel und keine Biometrie hält sie auf, sobald die Aufforderung das Telefon erreicht: Sie wird allein durch das besiegt, was die Aufforderung anzeigt (eine präzise, verständliche Beschreibung genau dessen, was freigegeben werden soll), sodass niemals etwas blind freigegeben wird.
- Abdeckung privilegierter und entfernter Zugänge. Die Anforderung lautet nicht „MFA für das Webmail“. Sie umfasst jeden Weg, den ein Angreifer tatsächlich nutzen würde: VPN, Remote-Desktop, Server-Anmeldungen, Admin-Konsolen.
- Nachweisbarkeit. Bei NIS2 geht es ebenso sehr darum, Kontrolle nachzuweisen, wie sie zu besitzen. Jede Authentifizierung sollte einen prüfbaren, manipulationssicheren Nachweis hinterlassen, wer was wann freigegeben hat.
Wo Notakey ins Bild passt
Notakey ist genau für dieses Profil von Organisation gebaut: reguliert, sicherheitsbewusst und gegenüber Prüfern rechenschaftspflichtig.
- Der Schlüssel des Nutzers wird in der sicheren Hardware des Telefons erzeugt und verlässt sie nie. Es gibt kein gemeinsames Geheimnis, das gestohlen, und nichts, das gephisht werden könnte.
- Jede Anmeldung und jede Transaktion ist ein kryptografisch signiertes, mit Zeitstempel versehenes Ereignis: der Prüfpfad, den eine NIS2-Bewertung verlangt, automatisch erzeugt statt nachträglich rekonstruiert.
- Es deckt die Zugangswege ab, auf die es ankommt, über die Protokolle, die Ihre Systeme ohnehin sprechen. Sehen Sie sich die praxisnahen Anleitungen zu 2FA am VPN über RADIUS, Windows-Remotedesktop und Linux-SSH an.
- Es läuft in Ihrer eigenen Infrastruktur oder in der Cloud, sodass Authentifizierungsdaten unter Ihrer Kontrolle bleiben können, mit von Grund auf eingebauter statt nachträglich angesetzter Ausrichtung an PSD2, eIDAS und DSGVO.
Wir werden Ihnen bewusst nicht erzählen, Notakey „mache Sie NIS2-konform“ – kein Produkt leistet das im Alleingang. Was es leistet, ist, den authentifizierungsbezogenen Teil der Lücke zu schließen und Ihnen den Nachweis in die Hand zu geben, um ihn zu belegen.
Beginnen Sie mit einem Pilotprojekt, nicht mit einem Richtlinienpapier
Der schnellste Weg herauszufinden, ob Ihre Authentifizierung NIS2 genügt, ist, sie in Ihrer eigenen Umgebung zu erproben: ein echtes VPN, eine echte Admin-Anmeldung, eine Handvoll echter Nutzer. Das sagt Ihnen in einer Woche mehr über Ihre Lücke und Ihre Nachweise als eine Funktionsmatrix in einem Quartal.
Testen Sie die Live-Demo und signieren Sie in etwa zwei Minuten eine Transaktion vom eigenen Telefon aus, oder fordern Sie eine Demo an, und wir bilden Ihren Zugang über VPN, SSO oder Windows in einem funktionierenden Pilotprojekt ab.
Dieser Artikel enthält allgemeine Informationen und keine Rechtsberatung. NIS2 wird von jedem EU-Mitgliedstaat separat in nationales Recht umgesetzt; bestätigen Sie die konkreten Pflichten, Schwellenwerte und Fristen, die für Ihre Organisation gelten, mit qualifiziertem Rechtsbeistand.