NIS2 Art. 21(2)(i)Zugangsmanagement & Authentifizierung
Gibt es ein dokumentiertes Berechtigungskonzept nach Least-Privilege?
Worum geht es bei dieser Anforderung?
Jeder Benutzer sollte nur die minimalen Rechte haben, die er braucht. Ohne Berechtigungskonzept sammeln Mitarbeiter über die Zeit immer mehr Rechte an (Privilege Creep).
Was Sie konkret prüfen sollten
- 1Ist dokumentiert, welche Rollen welche Zugriffsrechte haben?
- 2Werden Rechte bei Rollenwechsel angepasst?
- 3Gibt es Access Reviews?
Wo der Nachweis liegt
Typische Fundstelle für den Nachweis:
Berechtigungskonzept / Rollenmatrix → IT-Dokumentation
Weiterführende QuelleAlle NIS2-Anforderungen auf einen Blick prüfen
Der kostenlose NIS2-Check führt Sie durch den kompletten Katalog und zeigt Reifegrad, Lücken und konkrete Maßnahmen - ohne Anmeldung.
Weitere Fragen aus Zugangsmanagement & Authentifizierung
Ist Multi-Faktor-Authentifizierung (MFA) für alle privilegierten Konten und Remote-Zugänge aktiviert?Werden Benutzerkonten bei Austritt von Mitarbeitern am selben Tag deaktiviert?Gibt es eine Passwort-Richtlinie mit Mindestanforderungen?Werden privilegierte Administratorzugänge separat von normalen Benutzerkonten geführt?Ist der physische Zugang zu Serverräumen und IT-Infrastruktur gesichert und protokolliert?Werden regelmäßige Zugriffsprüfungen (Access Reviews) durchgeführt?
