Blog

NIS2 Artikel 21.2 j:

Eingangstür: starke Authentifizierung ohne Passwortpanik.

Ich vergleiche Authentifizierung oft mit der Eingangstür eines Unternehmens. Es nützt nichts, wenn im Inneren das Alarmsystem perfekt ist, aber die Haustür einen Spalt offensteht. Und in der digitalen Welt ist die Haustür häufig ein Konto.

Artikel 21.2 j der NIS2-Richtlinie zielt darauf ab, den Zugang zu erschweren: Mehrfaktor- oder kontinuierliche Authentifizierung. Dabei geht es nicht darum, Passwortpanik zu verbreiten, sondern um angemessene Sicherheitsstufen bei hohem Risiko.

Robert Willborg

Mitgründer und Chief Security Officer bei OneMore Secure.

Was Punkt j tatsächlich besagt

Artikel 21.2 umfasst zehn Bereiche (a bis j). Punkt j betrifft den Einsatz von Mehrfaktor- oder kontinuierlicher Authentifizierung, sichere Sprach-, Video- und Textkommunikation sowie, wo angemessen, sichere Notfallkommunikation innerhalb der Organisation. NIS2 schreibt keine bestimmte Lösung, biometrische Methode oder Passwortlänge vor, sondern fordert eine angemessene starke Authentifizierung zur Minimierung unbefugten Zugriffs (Europäische Union, 2022).

Deutsche Umsetzung: Von EU-Texten zur tatsächlichen Anforderung

In Deutschland wird NIS2 durch das Cybersicherheitsgesetz (2025:1506) und die Cybersicherheitsverordnung (2025:1507) umgesetzt, die am 15. Januar 2026 in Kraft getreten sind. Damit ist starke Authentifizierung eine verbindliche Anforderung, keine Empfehlung (Deutscher Bundestag, 2025a; Deutscher Bundestag, 2025b; Bundesregierung, 2026).

Ein realistischer Blick: MFA ist kein Allheilmittel

Mehrfaktor-Authentifizierung (MFA) bedeutet, dass mindestens zwei verschiedene Faktoren zur Anmeldung verwendet werden: etwas, das man weiß, besitzt oder ist. MFA reduziert erheblich das Risiko, dass ein gestohlenes Passwort ausreicht. Doch MFA ist keine Zauberei. Wird eine Sitzung gekapert, soziale Manipulation angewandt oder werden Wiederherstellungsprozesse kompromittiert, kann Schaden entstehen. MFA ist Teil eines Gesamtkonzepts in Artikel 21, kein alleiniges Mittel.

Kontinuierliche Authentifizierung: Was es ist, ohne Fachchinesisch

Kontinuierliche Authentifizierung bedeutet, dass die Identität nicht nur beim Einloggen geprüft wird, sondern auch während der Nutzung. Das System erkennt Abweichungen wie neue Standorte, ungewöhnliches Verhalten oder riskante Aktivitäten. Einfach gesagt: Die Tür schließt sich, wenn sich jemand plötzlich wie eine andere Person verhält.

Das ist vor allem in Hochrisikoumgebungen relevant, muss aber verhältnismäßig bleiben. Zu viel Reibung führt zu Umgehungen und schafft neue Schwachstellen.

Sichere Kommunikation und Notfallverbindungen: der oft vergessene Teil

Punkt j erwähnt auch sichere Sprach-, Video- und Textkommunikation sowie gegebenenfalls sichere Notfallverbindungen. Das wird oft übersehen, weil der Fokus auf MFA liegt. Doch in einem Vorfall ist Kommunikation lebenswichtig. Sind Ihre Kanäle abhörbar, angreifbar oder ausfallgefährdet, erschwert das Wiederherstellung und Krisenmanagement.

Das bedeutet nicht, dass alle spezielle Systeme brauchen, sondern dass Sie wissen müssen, welche Kanäle im Ernstfall genutzt werden und wie diese geschützt werden.

Die häufigste Falle: MFA für Nutzer, aber nicht für Administratoren

Das ist ein Klassiker. MFA wird für normale Nutzer eingeführt, während administrative Konten schwächer geschützt bleiben, weil es "zu kompliziert" sei. Das ist, als würde man die Haustür sichern, aber die Kellertür offen lassen.

Wenn Sie richtig starten wollen, konzentrieren Sie sich zuerst auf den größten Risikoabbau: Fernzugriffe und privilegierte Zugänge.

Drei Vorschläge mit Wirkung ohne Passworttheater

Ich halte mich an drei Punkte. Sie sind leicht verständlich und zeigen klare Wirkung, ohne Anforderungen zu erfinden, die nicht in der Richtlinie stehen.

· MFA dort, wo die Folgen gravierend sind.

· Schutz von Wiederherstellung und Support.

· Schnelles Üben von "Stoppen und Sperren".

MFA bei hohen Konsequenzen bedeutet, dass Fernzugriffe, Administratoren und kritische Systeme Priorität haben. Schutz von Wiederherstellung und Support heißt, dass Passwortzurücksetzung, Helpdesk-Prozesse und Identitätsprüfungen abgesichert werden, da Angreifer hier oft Abkürzungen nehmen. "Stoppen und Sperren" schnell zu üben bedeutet, verdächtige Konten und Sitzungen umgehend sperren zu können, ohne Chaos zu verursachen.

Fazit

Artikel 21.2 j ist die Eingangstür. Es geht nicht darum, Menschen das Leben schwer zu machen, sondern Angreifern das Eindringen zu erschweren.

Wenn starke Authentifizierung und sichere Kommunikation Routine sind, wird Sicherheit weniger dramatisch. Dann entfallen Panik und Inszenierung – Sie bekommen eine Tür, die sich wirklich abschließen lässt.

Quellen

Europäische Union. (2022). Richtlinie (EU) 2022/2555 (NIS2). Amtsblatt der Europäischen Union, L 333.

ENISA. (2025). Technische Leitlinien zur Umsetzung von Maßnahmen im Cybersecurity-Risikomanagement (Version 1.0). Europäische Agentur für Cybersicherheit.

Bundesregierung. (2026). Neues Gesetz stärkt Cybersicherheit (Inkrafttreten 15. Januar 2026). https://www.bundesregierung.de/

Deutscher Bundestag. (2025a). Cybersicherheitsgesetz (2025:1506). Bundesgesetzblatt.

Deutscher Bundestag. (2025b). Cybersicherheitsverordnung (2025:1507). Bundesgesetzblatt.