Zugangssteuerungskonzept nach NIS-2: Anforderungen, Aufbau und Audit

Ein Zugangssteuerung Konzept regelt verbindlich, wer unter welchen Bedingungen Zugang zu IT-Systemen erhält. Mit NIS-2 wird dieses Dokument zur Pflicht – und zum Prüfgegenstand im Audit. Dieser Leitfaden zeigt, welche Anforderungen an die Zugangskontrolle und den Datenschutz bestehen und wie Unternehmen und Behörden das Konzept auditfest aufbauen.

Eine rudimentäre Grafik: Hellblauer Hintergund.Eine Frau im Business Look mit Handtasche geht eine weiße Treppe hinauf. Bereits erklommene Treppenstufen sind mit einem grünen Häkchen gekennzeichnet. Ein Symbolbild für ein Zugangssteuerungskonzept nach NIS-2

1. Was ist ein Zugangssteuerungskonzept?
2. Was muss ein Zugangssteuerungskonzept nach NIS-2 enthalten?
3. Zugangskontrolle und Datenschutz: DSGVO und NIS-2 zusammen denken
4. Von der Richtlinie zum gelebten Prozess

Was ist ein Zugangssteuerungskonzept?

Ein Zugangssteuerungskonzept dokumentiert die Regeln, Verfahren und technischen Maßnahmen, mit denen eine Organisation den Zugang zu ihren IT-Systemen steuert. Es legt fest, wer sich an welchen Systemen anmelden darf, welche Authentifizierungsverfahren dabei gelten und wie Zugänge vergeben, geändert und entzogen werden. NIS-2 fordert in Artikel 21 Absatz 2 ausdrücklich Konzepte für die Zugangssteuerung – und macht die Geschäftsleitung persönlich haftbar, wenn diese fehlen.

Laut dem deutschen NIS-2-Umsetzungsgesetz drohen Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Die geschätzten Compliance-Kosten für die rund 29.500 neu regulierten Organisationen liegen bei 2,3 Milliarden Euro jährlich. Gerade für die öffentliche Verwaltung und für Unternehmen mit begrenzten IT-Ressourcen bedeutet das: Wer kein dokumentiertes Zugangssteuerungskonzept vorweisen kann, geht ein erhebliches Haftungsrisiko ein.

Ein Zugangssteuerungskonzept ist damit kein optionales Zusatzdokument, sondern ein zentraler Baustein der NIS-2-Compliance. Im Leitfaden zur NIS-2-Richtlinie sind die übergeordneten Anforderungen beschrieben. Das Konzept zur Zugangssteuerung konkretisiert diese Vorgaben für den Bereich der Systemzugänge.

Was ist der Unterschied zwischen Zutrittskontrolle und Zugangskontrolle?

Im Sprachgebrauch werden drei Kontrollbegriffe oft vermischt – tatsächlich bezeichnen sie unterschiedliche Schutzebenen und adressieren jeweils eigene Risiken. Zutrittskontrolle regelt den physischen Zutritt zu Gebäuden und Räumen. Zugangskontrolle – der Fokus dieses Leitfadens – steuert die Anmeldung an IT-Systemen durch Authentifizierung und Autorisierung. Zugriffskontrolle wiederum regelt, welche Daten und Funktionen nach dem Login verfügbar sind. Ein NIS-2-konformes Zugangssteuerungskonzept muss alle drei Ebenen adressieren. Der Schwerpunkt liegt jedoch auf der Zugangskontrolle als Einstiegspunkt in die IT-Systeme.

Was muss ein Zugangssteuerungskonzept nach NIS-2 enthalten?

Das Konzept zur Zugangssteuerung muss nachweisen, dass der Zugang zu IT-Systemen strukturiert, nachvollziehbar und kontrolliert erfolgt. Die NIS-2-Anforderungen definieren dabei keinen festen Dokumentenstandard, wohl aber inhaltliche Mindestanforderungen, deren Umsetzung im Audit geprüft wird.

Kernbestandteile eines Zugangssteuerungskonzepts:

Geltungsbereich – welche Systeme, Standorte und Nutzergruppen sind erfasst?
Rollen und Verantwortlichkeiten – wer genehmigt, verwaltet und entzieht Zugänge?
Authentifizierungsverfahren – Passwortrichtlinien, Multi-Faktor-Authentifizierung, Passkeys
Autorisierungsregeln – nach welchen Kriterien werden Zugänge vergeben?
Prozesse – Beantragung, Genehmigung, Änderung, Entziehung und Sperrung
Rezertifizierung – regelmäßige Überprüfung bestehender Zugänge
Protokollierung – lückenlose Dokumentation aller Zugangsänderungen
Notfallzugang – Regelung für den Zugriff im Krisenfall

Zugangssteuerungsrichtlinie: Geltungsbereich und Rollenverteilung

Eine Zugangssteuerungsrichtlinie definiert den organisatorischen Rahmen. Sie legt fest, für welche Systeme das Konzept gilt und wer die Umsetzung verantwortet. In Behörden ist das häufig der Informationssicherheitsbeauftragte, in Unternehmen der CISO oder IT-Leiter. Entscheidend ist, dass die Geschäftsleitung die Richtlinie zur Zugangssteuerung formal verabschiedet – denn genau dieser Nachweis wird im NIS-2-Audit verlangt. Die Informationssicherheitsleitlinie bildet dabei das übergeordnete Dach, aus dem sich die Zugangssteuerungsrichtlinie als operative Konkretisierung ableitet.

Authentifizierung und Autorisierung als Kernelemente

Die Wahl der Authentifizierungsverfahren bestimmt das Sicherheitsniveau des gesamten Konzepts. NIS-2 Artikel 21 Absatz 2 lit. k fordert ausdrücklich Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung als Schutzmaßnahme. Welche Verfahren sich für verschiedene Szenarien eignen, zeigt der Leitfaden zur Authentifizierung in Unternehmenssoftware. Die Autorisierung als Folgeschritt regelt, welche Aktionen ein authentifizierter Nutzer im System ausführen darf. Erst das Zusammenspiel beider Mechanismen stellt sicher, dass ein Zugangssteuerungskonzept nicht nur den Zugang prüft, sondern auch die anschließende Nutzung eingrenzt.

Sichere Zugangssteuerung für KRITIS-Betreiber

Für Organisationen im KRITIS-Bereich gelten verschärfte Anforderungen. Das BSI kann hier jederzeit Nachweise über das Zugangssteuerungskonzept anfordern und stichprobenartig prüfen. Neben der Multi-Faktor-Authentifizierung erwarten Prüfende in der Regel eine dokumentierte Notfallzugangsregelung, dedizierte Administratorenkonten mit gesonderter Überwachung und den Nachweis regelmäßiger Rezertifizierungszyklen. Eine sichere Zugangssteuerung für KRITIS-Betreiber umfasst daher nicht nur technische Maßnahmen, sondern auch organisatorische Vorkehrungen wie Vier-Augen-Prinzipien und zeitlich begrenzte Sonderzugänge. Die NIS-2-Umsetzung in der öffentlichen Verwaltung beschreibt, welche Besonderheiten für Behörden gelten.

Zugangskontrolle und Datenschutz: DSGVO und NIS-2 zusammen denken

Zugangskontrolle ist nicht nur ein Thema der Informationssicherheit – sie ist auch eine datenschutzrechtliche Pflicht und damit für jede Organisation relevant, die personenbezogene Daten verarbeitet. Artikel 32 der DSGVO fordert angemessene technische und organisatorische Schutzmaßnahmen zum Schutz personenbezogener Daten. Ein dokumentiertes Zugangskontrollkonzept, das den Datenschutz mitdenkt, erfüllt diese Anforderung und stärkt gleichzeitig die NIS-2-Compliance. Wer beide Anforderungen in einem Konzept vereint, spart doppelten Dokumentationsaufwand und vermeidet Widersprüche zwischen IT-Compliance-Vorgaben. Zugangskontrolle und Datenschutz lassen sich so in einem Nachweis abbilden.

Welche Maßnahmen zur Zugangskontrolle gibt es nach der DSGVO?

Die DSGVO nennt keine konkreten technischen Maßnahmen, verlangt aber einen dem Risiko angemessenen Schutz. Für Behörden und Unternehmen, die zugleich unter NIS-2 fallen, ergibt sich hier ein doppelter Nachweis: Sowohl die Datenschutzaufsicht als auch das BSI erwarten belastbare Nachweise über die Zugangskontrolle und den Datenschutz. In der Praxis haben sich folgende Schutzmaßnahmen etabliert:

🔼 Individuelle Benutzerkonten – keine geteilten Zugänge oder Gruppenlogins
🔼 Multi-Faktor-Authentifizierung – für alle Systeme mit personenbezogenen Daten
🔼 Automatische Sperrmechanismen – bei Inaktivität oder fehlgeschlagenen Anmeldeversuchen
🔼 Protokollierung – nachvollziehbar dokumentiert, wer wann auf welche Systeme zugegriffen hat
🔼 Regelmäßige Überprüfung – Zugänge ehemaliger Mitarbeitender zeitnah entziehen

Zugangssteuerungsrichtlinie und Datenschutz-Folgenabschätzung

Wenn ein System besonders sensible Daten verarbeitet, ist eine Datenschutz-Folgenabschätzung (DSFA) vorgeschrieben. Die Zugangssteuerungsrichtlinie liefert dabei einen zentralen Baustein: Sie dokumentiert, welche technischen und organisatorischen Maßnahmen den Zugang zu diesen Daten absichern. Für Organisationen, die sowohl NIS-2 als auch DSGVO-Pflichten unterliegen, wird diese Richtlinie zum Bindeglied zwischen Informationssicherheit und Datenschutz und erleichtert die Nachweisführung in beiden Bereichen erheblich.

Von der Richtlinie zum gelebten Prozess

Ein Zugangssteuerungskonzept entfaltet nur dann Wirkung, wenn es nicht in der Schublade verstaubt. Der Lebenszyklus eines Systemzugangs – von der Beantragung über die Genehmigung und Nutzung bis zum Entzug – muss als verbindlicher Prozess in den Arbeitsalltag integriert sein. Nur so entsteht aus einer formalen Zugangssteuerungsrichtlinie ein wirksamer Schutzmechanismus. Die wichtigsten Prozessphasen im Überblick:

Beantragung – Fachabteilung stellt Zugangsanfrage mit Begründung
Genehmigung – Verantwortliche prüfen und freigeben
Einrichtung – IT setzt den Zugang technisch um und dokumentiert
Rezertifizierung – regelmäßige Überprüfung durch Fachverantwortliche
Entziehung – bei Austritt, Rollenwechsel oder Ablauf automatisch oder manuell Wer das Konzept als Grundlage für eine belastbare Access-Control-Policy nutzt und mit dem NIS-2-Risikomanagement verknüpft, schafft eine durchgängige Nachweiskette für das Audit.

Typische Audit-Lücken bei der Zugangskontrolle

Die häufigsten Beanstandungen in NIS-2-Audits betreffen nicht fehlende Technik, sondern fehlende Dokumentation und Prozesse. Eine NIS-2-Checkliste hilft dabei, solche Lücken systematisch zu identifizieren.

Typische Findings bei der Prüfung der Zugangskontrolle:

Verwaiste Konten – ehemalige Mitarbeitende haben noch aktive Zugänge
Fehlende Rezertifizierung – Zugänge wurden seit der Einrichtung nie überprüft
Keine Protokollierung – Änderungen an Zugängen sind nicht nachvollziehbar
Unklare Verantwortlichkeiten – niemand ist formal für die Zugangsverwaltung zuständig
Fehlende Notfallregelung – kein dokumentierter Prozess für den Krisenzugang

Wer diese Punkte adressiert, deckt einen Großteil der NIS-2-Anforderungen an die Zugangssteuerung ab und schafft gleichzeitig eine auditfähige Grundlage. Entscheidend ist die Verbindung aus klarer Zugangssteuerungsrichtlinie, gelebtem Prozess und technischer Umsetzung. Wer diese drei Elemente konsequent verknüpft, verwandelt das Zugangssteuerungskonzept vom formalen Pflichtdokument in ein wirksames Instrument für sichere Zugangssteuerung und nachweisbare NIS-2-Konformität.

Als ISO-27001-zertifizierter IT-Dienstleister unterstützt TenMedia Unternehmen und Behörden bei der Umsetzung sicherer Zugangskonzepte in Individualsoftware. Im Bereich Cybersecurity sorgt TenMedia dafür, dass Authentifizierung, Zugangskontrolle und Protokollierung von Anfang an in die Softwarearchitektur integriert werden. Auch die laufende Wartung und Anpassung an neue regulatorische Anforderungen gehört zum Leistungsspektrum. So wird NIS-2-Konformität nicht zum einmaligen Projekt, sondern zum dauerhaft gesicherten Standard.

Hinweis: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für verbindliche Auskünfte zu regulatorischen Anforderungen empfehlen wir die Konsultation einer spezialisierten Rechtsberatung.

FAQs

Welche vier Arten der Zugangskontrolle gibt es?

Die vier gaengigsten Modelle der Zugangskontrolle sind: wissensbasiert (Passwort, PIN), besitzbasiert (Smartcard, Hardware-Token), biometrisch (Fingerabdruck, Gesichtserkennung) und standortbasiert (GPS- oder Netzwerkpruefung). In der Praxis werden diese Verfahren haeufig kombiniert, etwa als Multi-Faktor-Authentifizierung. NIS-2 fordert fuer betroffene Organisationen mindestens eine Zwei-Faktor-Loesung als Schutzmaßnahme.

Wie wird ein Zugangssteuerungskonzept auditiert?

Im NIS-2-Audit pruefen Auditoren, ob das Zugangssteuerungskonzept vollstaendig dokumentiert und im Arbeitsalltag tatsaechlich gelebt wird. Typische Pruefpunkte umfassen: Liegt eine formell verabschiedete Zugangssteuerungsrichtlinie vor? Sind Rollen und Verantwortlichkeiten klar zugewiesen? Werden Zugaenge bei Personalwechseln zeitnah entzogen? Existiert eine nachvollziehbare Protokollierung aller Zugangsaenderungen? Findet eine regelmaessige Rezertifizierung bestehender Zugaenge statt? Besonders kritisch bewerten Auditoren verwaiste Konten ehemaliger Mitarbeitender, fehlende Notfallzugangsregelungen und Luecken in der Protokollierung. Bei KRITIS-Betreibern kann das BSI jederzeit und ohne regulaeren Prueftermin stichprobenartig Nachweise anfordern. Organisationen, die auf diese Pruefpunkte vorbereitet sind, bestehen das Audit in der Regel ohne wesentliche Beanstandungen.

Wer ist fuer die Zugangssteuerung verantwortlich?

Die Gesamtverantwortung fuer die Zugangssteuerung liegt bei der Geschaeftsleitung oder Behoerdenleitung, die das Konzept formal verabschiedet. Operativ steuern Informationssicherheitsbeauftragte oder CISOs die Umsetzung. Die IT-Abteilung setzt technische Massnahmen um, waehrend Fachabteilungen Zugaenge beantragen und bestaetigen. Diese klare Rollenverteilung ist ein zentraler Bestandteil jedes Zugangssteuerung Konzepts.