Warum NIS2 Zugriffskontrollen in den Fokus rückt

Rund 30.000 Unternehmen müssen handeln

Ungleich größer ist auch der Kreis der Betroffenen. NIS 1 richtete sich primär an Betreiber kritischer Infrastrukturen (KRITIS) sowie einige digitale Dienstleister. NIS2 erweitert den Geltungsbereich auf zahlreiche weitere Sektoren. Dazu zählen unter anderem das verarbeitende Gewerbe, Lebensmittel- und Chemieindustrie oder Post- und Kurierdienste. Unter NIS-1 fielen in Deutschland unter 5.000 Unternehmen. Schätzungen gehen davon aus, dass mit NIS2 nun etwa 25.000 neu dazukommen. Das sind insgesamt etwa 30.000 Unternehmen. Da die Regelung schon ab 50 Mitarbeitern und zehn Millionen Euro Jahresumsatz greift, ist erstmals auch der Mittelstand massiv betroffen.

Erschwerte Bedingungen für den Mittelstand

Dabei ist die Umsetzung für mittelständische Unternehmen besonders schwierig. Sie haben begrenzte Ressourcen. Nicht alle von ihnen verfügen über etablierte Sicherheitsstrukturen und eigene IT-Security-Teams. Entsprechend groß ist die Unsicherheit, welche technischen Maßnahmen erforderlich sind und wie sie sich wirtschaftlich realisieren lassen. Denn um regelkonform zu sein, reicht es nicht, Sicherheitsrichtlinien einzuführen. Sie müssen auch unternehmensweit und in allen internen Prozessen technisch durchgesetzt werden. Und das geht nur mit ganzheitlichen, skalierbaren Lösungen speziell für den Mittelstand.

Das erklärt, warum die eigentlich dringende Umsetzung noch hinterherhinkt. Laut der Studie Cybersicherheit in Zahlen hatten 2025 erst 12 Prozent der betroffenen Unternehmen die NIS2-Anforderungen vollständig umgesetzt. Ein Viertel steht nach eigener Aussage noch ganz am Anfang. Ebenso gravierend: Mehr als die Hälfte hat nicht überprüft, ob die eigene Organisation überhaupt unter die Richtlinie fällt. Diese Wissenslücke ist problematisch, denn Unwissenheit schützt nicht vor Strafe. Die Pflicht zur Selbsteinschätzung liegt bei den Betroffenen selbst, das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert nicht aktiv. Wer zu spät reagiert, riskiert Bußgelder.

Warum digitale Identitäten zum Dreh- und Angelpunkt werden

Netzwerke, Firewalls und Perimeter-Schutz: So sahen klassische Sicherheitsmodelle aus. Doch das funktioniert nicht mehr in hybriden IT-Landschaften mit Cloud-Diensten, Homeoffice, mobilen Endgeräten und externen Dienstleistern. Interne Systeme können nicht von vornherein als sicher gelten, sämtliche Aktionen müssen nach dem Zero-Trust-Prinzip kontinuierlich überprüft werden.

Dieser Wandel zeigt sich auch in den Anforderungen, die NIS2 stellt. Die Aufsichtsbehörden erwarten unter anderem:

• Systeme, die Zugriffsrechte automatisch durchsetzen und Rollen transparent zuordnen
• Eine Zugriffskontrolle, die nur Rechte vergibt, die der Nutzer für seine Tätigkeit zwingend benötigt.
• Mechanismen, die Berechtigungen zeitlich und funktional begrenzen
• Die automatisierte Erfassung und Protokollierung aller sicherheitsrelevanten Ereignisse.

Diese Anforderungen lassen sich nicht zuverlässig erfüllen ohne ein professionelles Identity und Access Management (IAM). Die Identität wird dabei zum zentralen Steuerpunkt des Sicherheitskonzepts: Jeder Zugriff und jede Aktion sind an eine verifizierte Identität geknüpft. Und diese Identität wird kontextabhängig bewertet, also je nach Rolle, Attribut und konkretem Risiko.

Fragmentierung und Zombie-Accounts als Sicherheitsrisiko

Eine der größten Hürden auf diesem Weg ist die über Jahre gewachsene Fragmentierung der IT-Landschaft. Das gilt gerade auch im Mittelstand. Unternehmen arbeiten mit zahlreichen verschiedenen Tools und Schnittstellen. Jede Anwendung verwaltet Identitätsinformationen eigenständig, mit unterschiedlichen Datenständen.

Dazu kommen vielerorts strukturelle Defizite: Accounts werden nach Projektende nicht gelöscht. Externe erhalten Dauerzugriff statt zeitlich begrenzter Berechtigungen. Passwörter werden im Team geteilt. Offboarding-Prozesse existieren nur auf dem Papier. In fragmentierten Sicherheitsstrukturen ist es schwer zu überblicken, wer worauf Zugriff hat. Mit NIS2 wird aber genau das zum Haftungsrisiko. Deshalb ist ein einheitliches, intelligentes IAM, das sämtliche Rollen und Identitäten orchestriert, so wichtig. Künstliche Intelligenz ist dabei ein wichtiges Instrument. Durch Erkennung von Anomalien, risikobasierte Authentifizierung oder Verhaltensbiometrie kann sie helfen, verdächtige Muster früh aufzuspüren und Angriffe abzuwehren.

„Die Kontrolle über eigene digitale Prozesse, Identitäten und Daten wird zum strategischen Faktor – nicht nur für Staaten, sondern auch für Unternehmen. Organisationen, die in europäische, datenschutzkonforme Technologien investieren, positionieren sich langfristig unabhängiger von außereuropäischen Anbietern.“

Ismet Koyun, Kobil

Zentrale Plattform statt Einzellösungen

Ein integriertes IAM löst viele, aber nicht alle Probleme. Denn es deckt nicht alle sicherheitsrelevanten Prozesse ab. Noch einen Schritt weiter gehen plattformorientierte Sicherheitsansätze. Die Plattform bündelt sämtliche Prozesse und Anwendungen in einer durchgängigen Struktur: Authentifizierung, Protokollierung, mobile Sicherheit und Drittparteizugriffe, aber auch Kommunikationskanäle, Freigaben und andere digitale Workflows. Alles wird zentralisiert überwacht und gesteuert.

Der Vorteil: Sicherheitsrichtlinien werden nur einmal zentral definiert und dann durchgängig durchgesetzt. Abhängigkeiten zwischen verschiedenen Funktionen werden automatisch berücksichtigt. Die Plattform wird damit zur Single Source of Truth für die unternehmens- und prozessübergreifende Zugriffskontrolle. Das reduziert Komplexität und Fehlerquellen. Und es senkt mittelfristig auch Betriebskosten, indem es einzelne Silolösungen, Tools und Anwendungen überflüssig macht.

Vom Regelwerk zum Wettbewerbsfaktor

Nicht nur durch NIS2: Die europäische Regulierungslandschaft verschärft sich kontinuierlich. Der Cyber Resilience Act, eIDAS 2.0 und das KRITIS-Dachgesetz sind nur einige Beispiele dafür. Wenn Unternehmen nicht ständig nachrüsten wollen, müssen sie jetzt die Voraussetzungen schaffen. Zum Beispiel, indem sie Sicherheit, Identität und Zugriffskontrolle als strategische Unternehmensinfrastruktur verstehen. Dazu gehören folgende Schritte:

1. Prüfen, ob das Unternehmen unter NIS2 fällt.
2. Den Ist-Zustand dokumentieren.
3. Eine Lösungsarchitektur definieren.
4. Eine ganzheitliche Sicherheitslösung inklusive zuverlässigem IAM implementieren.

Die Vorteile gehen weit über Compliance hinaus: weniger Risiko durch Sicherheitsvorfälle, mehr Effizienz durch automatisierte Prozesse, schnelleres On- und Offboarding, mehr Transparenz für Geschäftsleitung und Aufsicht, Kosteneinsparung durch die Konsolidierung redundanter Systeme.

Diese Faktoren beeinflussen die Wettbewerbsfähigkeit, gerade im internationalen Vergleich. Auch wenn europäische Unternehmen zunächst höhere Compliance-Kosten tragen, entsteht langfristig ein Standortvorteil: Wer nachweislich sichere Systeme betreibt, wird für Partner und Kunden attraktiver.

Das Thema fügt sich auch in die Debatte um digitale Souveränität ein. Die Kontrolle über eigene digitale Prozesse, Identitäten und Daten wird zum strategischen Faktor – nicht nur für Staaten, sondern auch für Unternehmen. Organisationen, die in europäische, datenschutzkonforme Technologien investieren, positionieren sich langfristig unabhängiger von außereuropäischen Anbietern.

Über den Autor:
Ismet Koyun ist Gründer und CEO von Kobil. Kobil ist Anbieter digitaler Lösungen für Sicherheit und Identitätsmanagement. Koyun setzt sich für die digitale Souveränität Europas ein. Sein Fokus liegt darauf, Europa digital abzusichern – mit europäischen Sicherheitsprodukten.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.