NIS2-Risikomanagementpflicht · Buchstabe j)
MFA & gesicherte Kommunikation
NIS2 nennt ausdrücklich Multi-Faktor-Authentifizierung sowie gesicherte Sprach-, Video- und Textkommunikation und Notfallkommunikation. MFA ist die wirksamste Einzelmaßnahme gegen Kontoübernahmen.
Warum diese Pflicht wichtig ist
Gestohlene Zugangsdaten sind ein Hauptangriffsweg. MFA verhindert die meisten Kontoübernahmen und ist für Remote- und Cloud-Zugänge faktisch Pflicht.
So setzen Sie die Pflicht um
- 1MFA für alle externen, privilegierten und Cloud-Zugänge erzwingen
- 2Wo möglich phishing-resistente Verfahren (FIDO2/Passkeys) nutzen
- 3Gesicherte Kanäle für sensible Kommunikation bereitstellen
- 4Notfallkommunikation für den Krisenfall vorbereiten
- 5MFA-Abdeckung überwachen und Lücken schließen
Diese Nachweise erwartet die Aufsicht
- MFA-Richtlinie und nachgewiesene MFA-Abdeckung
- Konfiguration gesicherter Kommunikationskanäle
- Notfallkommunikationsplan
Häufige Fehler
MFA nur teilweise
Wichtige Zugänge, gerade Admin-Konten, bleiben ohne zweiten Faktor.
Schwache Faktoren
SMS als alleiniger Faktor trotz bekannter Schwächen.
Passende ISO-27001-Controls
Wer ISO 27001 umsetzt, erfüllt diese NIS2-Pflicht weitgehend mit. Diese Annex-A-Controls decken den Bereich ab:
Häufig gestellte Fragen
Ist MFA unter NIS2 Pflicht?
MFA wird ausdrücklich als Maßnahme genannt und ist für kritische und externe Zugänge faktisch verpflichtend.
Welche MFA-Verfahren sind sicher?
Authenticator-Apps und vor allem phishing-resistente Verfahren wie FIDO2 oder Passkeys. SMS ist die schwächste Option.
Was bedeutet gesicherte Notfallkommunikation?
Vorbereitete, vom regulären Netz unabhängige Kommunikationswege, die auch bei einem IT-Ausfall funktionieren.
MFA & gesicherte Kommunikation mit CompliantDesk umsetzen
CompliantDesk deckt diesen Bereich mit folgenden Modulen ab: M365 Security-Check (Live-MFA-Prüfung) · Kontrollen. Starten Sie mit dem kostenlosen NIS2-Check.