NIS2-Risikomanagementpflicht · Buchstabe i)
Personalsicherheit, Zugriffskontrolle & Asset-Management
NIS2 fordert Personalsicherheit, Konzepte für die Zugriffskontrolle und ein Management der Werte (Assets). Es muss klar geregelt sein, wer worauf zugreifen darf, wie Berechtigungen vergeben und entzogen werden und welche Werte zu schützen sind.
Warum diese Pflicht wichtig ist
Überprivilegierte und verwaiste Zugänge sind ein Hauptrisiko. Das Least-Privilege-Prinzip und ein gepflegtes Asset-Inventar begrenzen den Schaden bei Missbrauch und Kompromittierung.
So setzen Sie die Pflicht um
- 1Asset-Inventar mit Verantwortlichen erstellen und pflegen
- 2Zugriffsrechte nach Need-to-know und Least Privilege vergeben
- 3On- und Offboarding-Prozesse für Berechtigungen aufsetzen
- 4Berechtigungen regelmäßig überprüfen (Rezertifizierung)
- 5Personalsicherheit (Screening, Pflichten, Austritt) regeln
Diese Nachweise erwartet die Aufsicht
- Asset-Inventar mit Klassifizierung und Owner
- Berechtigungskonzept und Rezertifizierungsnachweise
- Dokumentierte On-/Offboarding-Prozesse
Häufige Fehler
Verwaiste Konten
Zugänge ausgeschiedener Mitarbeiter bleiben aktiv.
Privilege Creep
Rechte sammeln sich über Rollenwechsel an und werden nie entzogen.
Passende ISO-27001-Controls
Wer ISO 27001 umsetzt, erfüllt diese NIS2-Pflicht weitgehend mit. Diese Annex-A-Controls decken den Bereich ab:
Häufig gestellte Fragen
Was bedeutet Least Privilege?
Jede Person erhält nur die minimal notwendigen Rechte für ihre Aufgabe, nicht mehr.
Wie oft muss ich Berechtigungen prüfen?
Regelmäßig, mindestens jährlich, für privilegierte Konten häufiger.
Muss ich alle Assets erfassen?
Zumindest die schützenswerten: Hardware, Software, Informationen und Dienste, jeweils mit Verantwortlichen.
Zugriffskontrolle & Asset-Management mit CompliantDesk umsetzen
CompliantDesk deckt diesen Bereich mit folgenden Modulen ab: Assets · Mitarbeiter (On-/Offboarding) · M365-Zugriffskontrolle. Starten Sie mit dem kostenlosen NIS2-Check.