Auf den Punkt: Verwaiste Konten in dezentralen Cloud-Diensten sind ein direkter Verstoß gegen NIS2-Anforderungen und lösen persönliche Haftung der Geschäftsführung aus.
Unregulierte Cloud-Dienste im Unternehmen führen zu verwaisten Benutzerkonten, die außerhalb des zentralen Identitätsmanagements existieren. Die NIS2-Richtlinie macht Geschäftsführer persönlich haftbar, wenn solche Lücken in der Zugriffskontrolle nachgewiesen werden.
Die NIS2-Richtlinie verlagert die Verantwortlichkeit für Cybersicherheit auf die oberste Leitungsebene. Artikel 20 verpflichtet Leitungsorgane wesentlicher und wichtiger Einrichtungen, Risikomanagement-Maßnahmen zu billigen und deren Umsetzung zu überwachen. Diese Pflicht ist nicht delegierbar – weder auf den CIO noch auf externe Dienstleister.
In der Unternehmenspraxis entstehen Compliance-Lücken durch dezentralisierte Cloud-Dienste, die als Schatten-IT bekannt sind. Fachabteilungen abonnieren eigenständig SaaS-Plattformen für Projektmanagement, Collaboration oder KI-Dienste. Die dabei erzeugten Benutzerkonten verbleiben außerhalb des zentralen Identitätsmanagements und sind für die IT-Abteilung unsichtbar. Kritisch wird es beim Offboarding: Während das Hauptkonto im zentralen Verzeichnisdienst gelöscht wird, bleiben Konten in ungebundenen Cloud-Anwendungen aktiv – sogenannte Orphaned Accounts. Diese Konten können Jahre existieren, ohne bemerkt zu werden, und bieten ehemaligen Mitarbeitenden oder Dritten potenziellen Zugriff auf interne Daten, Projektpläne oder Kundenlisten.
Die Sanktionen bei Verstößen sind erheblich. Bei schwerwiegenden Nicht-Compliance gegen NIS2 drohen Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher liegt. Darüber hinaus kann die Aufsichtsbehörde der Geschäftsführung zeitweise Berufsverbote verhängen. In bestimmten Konstellationen haften Manager auch mit ihrem Privatvermögen für Schäden, die durch mangelhafte Governance entstanden sind.
Für CISOs und IT-Sicherheitsteams ergibt sich daraus eine Doppelaufgabe: Zum einen müssen alle dezentralen Cloud-Dienste erfasst und in ein einheitliches Identitätsverwaltungssystem integriert werden. Zum anderen ist es notwendig, eine nachvollziehbare und regelgebundene Kontrolle aller Zugriffspfade zu dokumentieren, um im Audit beweiswirksam zu belegen, dass Risikomanagement-Maßnahmen – wie definiert in Artikel 20 – tatsächlich implementiert und überwacht werden.
Quelle: www.it-daily.net · Erschienen 6. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.