Zum Inhalt springen

NIS2-Compliance: Passwörter und Multi-Faktor-Authentisierung richtig umsetzen

Auf den Punkt: Passwort- und MFA-Strategien sind Kernelemente der NIS2-Compliance und erfordern klare Policies, technische Umsetzung und regelmäßige Überprüfung.

Die NIS2-Richtlinie verpflichtet Unternehmen in der EU zu strengeren Cybersecurity-Standards. Ein zentraler Baustein dabei ist die korrekte Implementierung von Passwort-Richtlinien und Multi-Faktor-Authentisierung (MFA).

Die Netzwerk- und Informationssicherheits-Richtlinie 2 (NIS2) legt in der EU verbindliche Mindestanforderungen für Cybersecurity fest. Für die Zielgruppe der kritischen Infrastrukturen und großen Unternehmen gehören sichere Authentisierungsmechanismen zu den non-negotiables—insbesondere auf Managementebene und für privilegierte Konten.

Bei Passwörtern bedeutet dies konkret: Organisationen müssen Richtlinien etablieren, die starke, komplexe Passwörter erzwingen, deren Wiederverwendung verhindern und regelmäßige Änderungen vorsehen. Ebenso wichtig ist die sichere Speicherung durch Hashing und Salting. Für einen CISO ist die Umsetzung einer umfassenden Passwort-Policy ein Baseline-Kontrollmechanismus, der durch ein Identity- und Access-Management-System (IAM) durchgesetzt werden sollte.

Multi-Faktor-Authentisierung (MFA) ist unter NIS2 nicht optional, sondern eine Schutzmaßnahme, die insbesondere für Administrative Zugänge, VPN-Verbindungen und cloudgestützte Anwendungen verpflichtend wird. Die Bandbreite reicht von SMS-basierten Verfahren über zeitbasierte Authentisierungs-Apps bis zu Hardware-Keys—wobei letztere das höchste Sicherheitsniveau bieten und gegen Phishing-Angriffe resistenter sind.

In der Praxis erfordert die Compliance auch ein regelmäßiges Audit dieser Kontrollen: Wie oft werden schwache Passwörter tatsächlich geändert? Welche Nutzergruppen sind noch nicht auf MFA migriert? Welche Fallback-Mechanismen sind dokumentiert? Ein CISO sollte diese Implementierung nicht nur technisch verankern, sondern auch in eine Governance-Struktur einbetten—einschließlich Schulung, Incident-Response und regelmäßiger Sicherheitsbewertung.


Quelle: news.google.com · Erschienen 6. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.

Share on: