Blog

NIS2 Artikel 21.2 i:

Zugangskarte: Personal, Zugriff und Vermögenswerte ohne ständiges Misstrauen.

Ich verwende gern ein einfaches Bild, wenn ich über Artikel 21.2 i spreche. Stellen Sie sich eine Zugangskarte vor. Sie ist nicht da, weil wir allen misstrauen. Sie dient dazu, dass der Betrieb reibungslos läuft, auch wenn mal ein Fehler passiert, jemand impulsiv kündigt oder eine unbefugte Person versucht einzudringen.

NIS2 Punkt i behandelt drei eng miteinander verbundene Bereiche: Personalsicherheit, Zugriffskontrolle und Vermögensverwaltung. Es ist leicht, daraus eine Liste von Tools und Verfahren zu machen. Doch eigentlich geht es nur darum: Die richtige Person soll den richtigen Zugriff auf die richtigen Dinge haben – und nur so lange wie nötig.

Robert Willborg

Mitgründer und Chief Security Officer bei OneMore Secure.

Was Punkt i tatsächlich aussagt

Artikel 21.2 nennt zehn Bereiche (a bis j). Punkt i betrifft Personalsicherheit, Richtlinien zur Zugriffskontrolle und Vermögensverwaltung. Wichtig ist, Punkt i im Zusammenhang mit Artikel 21.1 zur Verhältnismäßigkeit zu lesen: Maßnahmen sollen angemessen, verhältnismäßig sein und die Auswirkungen von Vorfällen mindern. Die Richtlinie schreibt nicht genau vor, wie eine Hintergrundüberprüfung auszusehen hat oder welches System Sie verwenden sollen. Sie verlangt, dass Sie Richtlinien und Verfahren haben, die funktionieren und nachweisbar sind (Europäische Union, 2022).

Deutsche Umsetzung: Von EU-Text zur Aufsicht

In Deutschland wird NIS2 durch das Cybersicherheitsgesetz (2025:1506) und die Cybersicherheitsverordnung (2025:1507) umgesetzt, die am 15. Januar 2026 in Kraft getreten sind. Das macht Personalsicherheit und Zugriffsfragen zu verbindlichen Anforderungen für die betroffenen Betreiber (Deutscher Bundestag, 2025a; Deutscher Bundestag, 2025b; Bundesregierung, 2026).

Personalsicherheit: sachlich ohne Paranoia

Ich möchte hier vorsichtig sein. Personalsicherheit heißt nicht, alle als Verdächtige zu behandeln. Es bedeutet, dass Rollen mit hohem Vertrauen durchdachte Kontrollen erfordern. Es geht darum, das Risiko von Insider-Vorfällen zu verringern, sowohl absichtlich als auch unbeabsichtigt.

Das kann in manchen Rollen Hintergrundüberprüfungen bedeuten, muss aber legal, verhältnismäßig und mit Respekt vor der Privatsphäre erfolgen. Deutschland hat außerdem weitere Regelungen, die je nach Branche relevant sein können, etwa Sicherheitsüberprüfungen für sicherheitsrelevante Tätigkeiten. NIS2 ist kein Freibrief, um "alles" zu sammeln. Es verlangt, dass Sie nachweisen können, dass Sie personenbezogene Risiken verantwortungsvoll managen.

Zugriffskontrolle: Prinzip der minimalen Rechte ist kein Schlagwort

Zugriffskontrolle bedeutet, dass nur Berechtigte Zugang zu dem haben, was sie brauchen. Das Prinzip der minimalen Rechte ist einfach: Geben Sie nur die geringstmöglichen Zugriffsrechte, die für die Arbeit erforderlich sind. Ohne Verfahren für Onboarding, Rollenwechsel und Ausscheiden bleibt es jedoch oft nur ein Schlagwort.

Hier sehe ich oft, dass Risiken unnötig teuer werden. Leute erhalten "vorübergehende" Rechte, die dauerhaft bleiben. Alte Konten bleiben aktiv. Administratorrechte werden großzügig verteilt. Und wenn etwas passiert, weiß niemand genau, wer die Zugangskarte hatte.

Vermögensverwaltung: Was man nicht kennt, kann man nicht schützen

Vermögensverwaltung klingt bürokratisch, bedeutet aber vor allem Übersicht. Welche Systeme, Geräte, Software und Daten haben wir, wo sind sie, und was ist kritisch?

Ohne Inventarisierung wird alles andere schwierig: Patching, Protokollierung, Segmentierung, Backups und Vorfallmanagement. Deshalb hängt Vermögensverwaltung eng mit den anderen Punkten in Artikel 21.2 zusammen. Es ist die Karte, bevor Sie sich auf den Weg machen.

Die typische Falle: Punkt i wird zum Einkauf

Es ist verlockend, Punkt i als Produktfrage zu sehen: Kaufen Sie ein Identity and Access Management System und "haken Sie ab". Aber NIS2 schreibt kein bestimmtes Werkzeug vor. Es verlangt funktionierende Verfahren, die wirksam sind und nachweisbar funktionieren.

Ein teures System ohne Disziplin ist eine teure Illusion. Ein einfacheres System mit klaren Abläufen kann bessere Kontrolle bieten. Das ist Verhältnismäßigkeit in der Praxis.

Drei Dinge, die die Zugangskarte lebendig machen

Ich konzentriere mich auf drei leicht verständliche Punkte, die meist große Wirkung zeigen.

· Rollen vor Berechtigungen.

· Der Austritt ist ein Prozess.

· Inventarisieren und klassifizieren.

Rollen vor Berechtigungen bedeutet, dass Sie definieren, welche Zugriffe eine Rolle braucht und den Zugriff an die Rolle, nicht an die Person binden. Das reduziert Sonderfälle.

Der Austritt als Prozess bedeutet, dass Sie eine Checkliste haben, die tatsächlich angewendet wird, wenn jemand die Rolle wechselt, ausscheidet oder neue Verantwortlichkeiten erhält. Dort entstehen oft große Lücken.

Inventarisieren und klassifizieren heißt, dass Sie eine aktuelle Übersicht über Vermögenswerte und deren Kritikalität haben. So können Sie Schutzmaßnahmen dort priorisieren, wo die Folgen am größten sind.

Fazit

Artikel 21.2 i soll Organisationen nicht misstrauisch und kalt machen. Er soll sie robust machen. Wenn die Zugangskarte funktioniert, müssen Sie sich nicht auf Glück verlassen. Sie können sich auf den Prozess verlassen.

Und wenn jemand fragt, ob Sie die Kontrolle haben, ist die Antwort nicht eine Richtlinie in einem Ordner. Die Antwort ist Alltag: Die richtige Person, der richtige Zugriff, die richtigen Vermögenswerte, zur richtigen Zeit.

Quellen

Europäische Union. (2022). Richtlinie (EU) 2022/2555 (NIS2). Amtsblatt der Europäischen Union, L 333.

Bundesregierung. (2026). Neues Gesetz stärkt die Cybersicherheit (Inkrafttreten 15. Januar 2026). https://www.bundesregierung.de/

Deutscher Bundestag. (2025a). Cybersicherheitsgesetz (2025:1506). Bundesgesetzblatt.

Deutscher Bundestag. (2025b). Cybersicherheitsverordnung (2025:1507). Bundesgesetzblatt.

ENISA. (2025). Technische Umsetzungsempfehlungen zu Maßnahmen des Cybersicherheitsrisikomanagements (Version 1.0). Agentur der Europäischen Union für Cybersicherheit.