NIS2 und Passwort-Management: Was Unternehmen jetzt umsetzen müssen

Mit der Verkündung des NIS2-Umsetzungsgesetzes am 5. Dezember 2025 ist die Frist zum Abwarten endgültig vorbei. Statt bisher rund 4.500 Organisationen unterliegen nun rund 29.500 Einrichtungen in Deutschland den verschärften Pflichten zur Cybersicherheit. Trotzdem schätzte der DIHK bereits Anfang 2026, dass etwa 80 Prozent der betroffenen Unternehmen ihre eigene Pflicht noch gar nicht erkannt haben. Wer in der Pflicht ist, muss Risikomanagementmaßnahmen umsetzen – und gerade im Bereich Passwort-Management und Identitätsverwaltung steckt mehr Arbeit, als viele IT-Verantwortliche annehmen.

Dieser Beitrag erklärt, welche konkreten Anforderungen NIS2 an Passwort- und Zugangsmanagement stellt, was die Praxis von Pflichttexten unterscheidet und wie ein professionelles Passwort-Management die Umsetzung deutlich vereinfacht.

Was ist das NIS2-Umsetzungsgesetz?

Das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung" – kurz NIS2UmsuCG – ist die nationale Umsetzung der EU-Richtlinie 2022/2555. Es novelliert das BSI-Gesetz (BSIG) und erweitert seinen Anwendungsbereich erheblich. Veröffentlicht im Bundesgesetzblatt am 5. Dezember 2025, gilt es seit dem 6. Dezember 2025.

NIS2 verfolgt drei zentrale Ziele: ein einheitliches hohes Cybersicherheitsniveau in der EU, eine erweiterte Liste regulierter Sektoren und schärfere Pflichten für Geschäftsleitungen. Für betroffene Unternehmen bedeutet das konkret drei zentrale Verpflichtungen: Registrierung beim BSI, Meldung erheblicher Sicherheitsvorfälle und die Umsetzung definierter Risikomanagementmaßnahmen.

Welche Unternehmen sind von NIS2 betroffen?

Die Betroffenheit ergibt sich aus zwei Faktoren: Sektorzugehörigkeit und Unternehmensgröße. NIS2 reguliert 18 Sektoren, aufgeteilt in 11 Sektoren hoher Kritikalität (Anlage 1 BSIG, etwa Energie, Gesundheit, Finanzwesen, Digitale Infrastruktur) und 7 sonstige kritische Sektoren (Anlage 2, etwa Post/Kurier, Abfallbewirtschaftung, Verarbeitendes Gewerbe).

Die Schwellenwerte folgen der sogenannten Size-Cap-Regel:

Wichtig für KMU: Die Konzernklausel kann Sie auch dann erfassen, wenn Ihre einzelne GmbH unter den Schwellenwerten liegt. Gemäß EU-Empfehlung 2003/361/EG werden Mitarbeiterzahlen und Finanzkennzahlen verbundener Unternehmen konsolidiert betrachtet. Eine 30-Personen-GmbH in einem regulierten Sektor kann durch Zurechnung der Konzernkennzahlen in die NIS2-Pflicht fallen. Eine erste Orientierung gibt die kostenfreie Betroffenheitsprüfung des BSI – sie ersetzt aber keine rechtliche Bewertung.

Was NIS2 konkret zum Passwort-Management fordert

NIS2 schreibt keinen exakten Wortlaut für Passwortrichtlinien vor. Stattdessen verlangt das Gesetz „geeignete und verhältnismäßige" Risikomanagementmaßnahmen, die einen breiten Katalog technischer und organisatorischer Bereiche abdecken. § 30 BSIG (in der durch das NIS2UmsuCG novellierten Fassung) listet die zentralen Mindestanforderungen auf. Für Identitäts- und Zugangsmanagement sind besonders relevant:

Sicherheit der Authentifizierungssysteme. Unternehmen müssen sicherstellen, dass Authentifizierungsverfahren dem Stand der Technik entsprechen. In der Praxis bedeutet das: Passwörter alleine reichen nicht mehr aus, wo immer sensible Systeme oder personenbezogene Daten verarbeitet werden. Multi-Faktor-Authentifizierung (MFA) ist faktisch Pflicht.

Zugangs- und Identitätskontrolle. Wer welchen Zugriff hat, muss dokumentiert, regelmäßig überprüft und bei Personalveränderungen unverzüglich angepasst werden. Verwaiste Konten ehemaliger Mitarbeiter sind nicht nur ein altes Sicherheitsthema, sondern werden im Audit-Fall zum konkreten Compliance-Mangel.

Schutz von Privilegien. Administrative Konten und privilegierte Zugriffe brauchen erhöhten Schutz. Geteilte Admin-Passwörter ohne nachvollziehbare Audit-Spur sind im NIS2-Kontext nicht haltbar.

Mitarbeiterschulung und Sensibilisierung. Auch das beste technische System scheitert, wenn Mitarbeiter Passwörter notieren, mehrfach nutzen oder unbedacht weitergeben. NIS2 verlangt regelmäßige Schulungen – bei der Geschäftsleitung sogar mit eigener Pflicht zur fachlichen Befähigung.

Verschlüsselung und Zugriffssicherung. Passwörter und Authentifizierungsdaten müssen sowohl bei der Übertragung als auch im Ruhezustand verschlüsselt sein. Zero-Knowledge-Architekturen, bei denen selbst der Anbieter keinen Klartext-Zugriff hat, werden hier zum sinnvollen Standard.

Geschäftsleitungshaftung: Warum NIS2 zur Chefsache wird

Eine der einschneidendsten Neuerungen: Die Geschäftsleitung haftet persönlich für die Umsetzung der Risikomanagementmaßnahmen. § 38 BSIG verlangt explizit, dass Geschäftsführer Risiken aktiv überwachen, Maßnahmen freigeben und ihre eigene fachliche Schulung sicherstellen. Verstöße können nicht nur Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes nach sich ziehen, sondern auch persönliche Haftung im Innenverhältnis bei Schäden.

Das verändert die Dynamik in vielen Unternehmen: Was bisher als „IT-Thema" lief, wird zur Vorstandsentscheidung. Eine pragmatische Folge ist, dass IT-Sicherheit deutlich besser priorisiert und budgetiert wird – aber auch, dass Geschäftsführer auf nachvollziehbare, dokumentierte Werkzeuge angewiesen sind, die im Audit Bestand haben.

So setzen Unternehmen die NIS2-Anforderungen im Passwort-Bereich um

Aus den abstrakten gesetzlichen Anforderungen ergeben sich konkrete Aufgaben für IT-Verantwortliche. Pragmatisch lässt sich der Identitätsbereich in fünf Schritten angehen:

1. Bestandsaufnahme. Wo werden in Ihrem Unternehmen Passwörter heute verwaltet? Excel-Tabellen, Browser-Speicher, Notizblöcke, geteilte Postfächer? Diese Bestandsaufnahme ist die Grundlage jeder Risikobewertung – und meistens der ernüchterndste Schritt im Prozess.

2. Zentralisierung in einer professionellen Lösung. Ein Passwort-Manager für Unternehmen mit unternehmensweiter Verwaltung ersetzt Insellösungen durch eine einzige, dokumentierte Quelle. Wichtig: Achten Sie auf europäisches Hosting, Zero-Knowledge-Architektur und ISO-27001-Zertifizierung – alles drei sind belastbare Argumente in der NIS2-Dokumentation.

3. MFA flächendeckend einführen. Wo immer ein System es zulässt, muss MFA aktiviert werden. Ein integrierter 2FA-Autofill macht den Schritt für Mitarbeiter so reibungslos, dass die Akzeptanz nicht zum Engpass wird.

4. Berechtigungen sauber strukturieren. Mit Passwort-Gruppen lassen sich Zugriffe rollen- und teambezogen verwalten. Onboarding und Offboarding werden so nachvollziehbar, schnell und nicht abhängig von einzelnen Personen.

5. Sichtbarkeit schaffen. Mit individuellen Security Scores erkennen IT-Verantwortliche schwache, mehrfach genutzte oder kompromittierte Passwörter konkret pro Mitarbeitendem oder Team. Die SaaS-Zugriffsübersicht deckt zusätzlich Schatten-IT auf – ein häufig unterschätzter NIS2-Risikofaktor.

Dokumentation: Was im Audit zählt

Eine der unangenehmsten Wahrheiten zu NIS2: Die Pflicht endet nicht bei der Umsetzung. Maßnahmen müssen dokumentiert sein – mit Stand, Verantwortlichen und Wirksamkeitsnachweis. Im Audit-Fall fragt das BSI nicht nur „Haben Sie MFA?", sondern „Wie weisen Sie die flächendeckende Aktivierung nach?".

Hier helfen Werkzeuge, die ihre eigene Dokumentation mitliefern: nachvollziehbare Audit-Logs, Berichte zur MFA-Abdeckung, gruppenbasierte Berechtigungsübersichten und exportierbare Sicherheitsbewertungen. Wer sich diese Dokumentation manuell aus mehreren Insellösungen zusammensucht, verliert im Audit Tage. Wer sie aus einer Plattform exportieren kann, gewinnt Vertrauen.

Häufige Fehleinschätzungen in der NIS2-Umsetzung

In Beratungsgesprächen tauchen einige Missverständnisse besonders häufig auf:

„Wir sind keine Kritische Infrastruktur, also betrifft uns NIS2 nicht." Falsch. NIS2 reguliert weit mehr als die alte KRITIS-Welt. Maschinenbau, Lebensmittelverarbeitung, Chemie und viele weitere Branchen fallen über die Anlage-2-Sektoren ohne KRITIS-Status in die Pflicht.

„Passwortrichtlinien haben wir doch." Eine Richtlinie auf dem Papier reicht nicht. Entscheidend ist die nachweisbare Umsetzung in der Praxis – und die scheitert oft an der Wahl zwischen Excel-Listen und Browser-Passwortspeichern.

„MFA ist nicht zumutbar." Mit reibungsloser Integration und Autofill-Funktionen ist MFA heute für die meisten Mitarbeitenden ein Bruchteil der Sekunde Mehraufwand pro Login. Die Vorstellung, MFA bremse den Arbeitsalltag, stammt aus einer Zeit, in der Authenticator-Apps manuell geöffnet werden mussten.

„Wir warten auf eine Kontrolle." Das BSI hat in den ersten Wochen nach Inkrafttreten klar kommuniziert, dass aktive Aufsichtsmaßnahmen zunehmen werden. Wer sich noch nicht registriert hat oder keine Maßnahmen dokumentieren kann, geht ein vermeidbares Risiko ein – inklusive persönlicher Haftung der Geschäftsleitung.

Wie Uniqkey die NIS2-Umsetzung im Identitätsbereich beschleunigt

Uniqkey ist ein in der EU gehosteter Passwort- und Zugriffsmanager, der mehrere NIS2-relevante Anforderungen in einer Plattform abdeckt. Konkret hilfreich für die Umsetzung:

Die Speed-Guarantee von Uniqkey verspricht eine Implementierungsdauer von durchschnittlich acht Tagen. Das ist im NIS2-Kontext ein praktischer Hebel: Während andere Compliance-Themen monatelange Projekte sind, lässt sich der Identitätsbereich vergleichsweise schnell auf einen prüffesten Stand heben.

Fazit: NIS2 ist da – Identität zuerst angehen

Das NIS2-Umsetzungsgesetz ist seit Dezember 2025 geltendes Recht. Wer betroffen ist und noch keine Maßnahmen umgesetzt hat, sollte mit dem Bereich beginnen, der den höchsten Hebel pro investiertem Aufwand bietet: Identitäts- und Zugangsverwaltung. Schwache, mehrfach genutzte oder unkontrollierte Passwörter sind nach wie vor das Einfallstor Nummer eins für erfolgreiche Angriffe – und gleichzeitig der Bereich, in dem sich Compliance-Nachweise mit der richtigen Plattform am schnellsten herstellen lassen.

Wenn Sie konkret klären möchten, was die NIS2-Anforderungen für Ihre Organisation bedeuten und wie sich Identitätsmanagement, MFA und Audit-Dokumentation in einem realistischen Zeitrahmen umsetzen lassen, sprechen Sie mit unseren Compliance-Spezialisten. Vereinbaren Sie ein unverbindliches Beratungsgespräch, in dem wir Ihre Ausgangslage analysieren und die nächsten Schritte priorisieren.

Häufig gestellte Fragen: