NIS2-MFA-Anforderungen: Warum „Wir haben MFA" ein Audit nicht mehr besteht

Ein Kunde sagt Ihnen, bei der Authentifizierung sei alles abgedeckt. Jeder hat Microsoft Authenticator, Push-Bestätigung ist erzwungen, erledigt. Dann öffnet ein Auditor die technische Leitlinie der ENISA und stellt eine Frage: Ist die MFA auf Ihren privilegierten Konten phishing-resistent? Und plötzlich lautet die Antwort nein.

Das ist die Lücke, die die meisten Organisationen nicht kommen sehen. NIS2 nennt Multi-Faktor-Authentifizierung ausdrücklich, aber der Konsens der Aufsichtsbehörden hat die einfache MFA längst überholt. Wenn Sie europäische Einrichtungen zur NIS2-Konformität beraten, ist das MFA-Gespräch von vor achtzehn Monaten überholt.

Artikel 21(2)(j) nennt MFA — definiert aber nicht „gut genug"

NIS2 Artikel 21(2)(j) fordert „den Einsatz von Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierungslösungen, gesicherter Sprach-, Video- und Textkommunikation sowie gesicherter Notfallkommunikationssysteme innerhalb der Einrichtung, soweit angemessen."

Zwei Formulierungen in diesem Satz bringen die Leute durcheinander. Die erste ist „soweit angemessen." Das ist keine Freiwilligkeit. Es bedeutet, dass die Einrichtung eine dokumentierte, risikobasierte Entscheidung darüber treffen muss, wo MFA gilt. Ein Auditor, der privilegierte Konten ohne MFA und ohne Risikobewertung zur Begründung des Weglassens findet, behandelt das als Feststellung, nicht als Ermessensfrage.

Das zweite Problem ist, was die Richtlinie nicht sagt. Artikel 21 nennt MFA, definiert aber nie, welche Faktoren qualifizieren. Dieses Detail steht in der Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024, die die technischen und methodischen Anforderungen an die Risikomanagementmaßnahmen festlegt. Die Richtlinie sagt Ihnen, dass Sie MFA brauchen. Die Durchführungsverordnung, und die darauf aufbauende Leitlinie, sagt Ihnen, welche Art.

Die ENISA hat die Latte bereits auf phishing-resistent gelegt

Im Juni 2025 veröffentlichte die ENISA Version 1.0 ihrer Technical Implementation Guidance zur Durchführungsverordnung 2024/2690. Dies ist das Dokument, auf das sich Aufsichtsbehörden stützen, wenn sie beurteilen, ob Ihre Maßnahmen die Norm tatsächlich erfüllen.

Die Leitlinie ist eindeutig: Wählen Sie eine Authentifizierungsmethode, deren Sicherheitsniveau der Klassifizierung der geschützten Daten und Systeme entspricht, und nutzen Sie phishing-resistente Optionen „wo immer möglich." Sie nennt FIDO2-Sicherheitsschlüssel und Passkeys, aufbauend auf den FIDO- und W3C-WebAuthn-Standards, als die stärkste verfügbare Methode — vor Passwörtern, SMS-Codes und app-basierten Einmalpasswörtern.

Die Begründung ist technisch, keine Mode. Push-Benachrichtigungen, OTP-Codes und SMS beruhen alle auf einem geteilten Geheimnis oder einer Bestätigung, die dem Nutzer abgeluchst werden kann. Angreifer überwinden sie täglich mit MFA-Fatigue-Prompts, Adversary-in-the-Middle-Proxys und SIM-Swaps. Passkeys und FIDO2-Schlüssel sind per Design domänengebunden: Der Berechtigungsnachweis gibt sich gegenüber einer gefälschten Domäne schlicht nicht frei. Es gibt keinen Code zum Phishen und keinen Prompt zum Ermüden.

Für eine wesentliche Einrichtung ist das finanziell wie technisch von Bedeutung. Nichteinhaltung setzt wesentliche Einrichtungen Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes aus. „Wir hatten MFA" ist eine schwache Verteidigung, wenn die eigene Agentur der Aufsichtsbehörde dokumentiert hat, dass die eingesetzte MFA die schwache Art war.

Artikel 21 — 10 NIS2 Cybersicherheitsmaßnahmen
🛡️
Artikel 21
10 Cybersicherheitsmaßnahmen
📊
Governance & Strategie
1Risikoanalyse & Informationssicherheitsrichtlinien
6Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
🚨
Vorfälle & Kontinuität
2Vorfallsbehandlung & Meldung
3Geschäftskontinuität & Notfallwiederherstellung
🔗
Lieferkette & Systeme
4Sicherheit der Lieferkette
5Sicherheit bei der Entwicklung von Netz- und Informationssystemen
🔐
Technische Kontrollen
8Kryptografie & Verschlüsselung
10Multi-Faktor-Authentifizierung & sichere Kommunikation
👥
Personal & Ressourcen
7Cyber-Hygiene & Schulung
9Personalsicherheit & Zugangskontrolle

Nicht jedes Konto braucht denselben Faktor

Der praktische Fehler in die andere Richtung ist, phishing-resistente MFA als Alles-oder-nichts-Ausrollung zu behandeln und ins Stocken zu geraten, weil Hardware-Schlüssel für 4.000 Mitarbeitende teuer aussehen. Die Leitlinie ist risikogestaffelt, und Ihre Beratung sollte es ebenso sein.

Privilegierter und folgenreicher Zugriff ist der Bereich, in dem phishing-resistente MFA faktisch nicht verhandelbar ist: Domänenadministratoren, Cloud-Mandantenadministratoren, Hypervisor- und Backup-Konsolenzugriff sowie jedes Konto, das Sicherheitsmaßnahmen deaktivieren kann. Wird eines davon kompromittiert, ist der Vorfall vorbei, bevor er beginnt. Setzen Sie hier zuerst FIDO2-Schlüssel oder Plattform-Passkeys ein.

Fernzugriff und nach außen gerichtete Identitäten kommen als Nächstes — VPN, RDP-Gateways und jedes aus dem Internet erreichbare System. Das ist die Vordertür, an die Angreifer tatsächlich klopfen, also sollte das Sicherheitsniveau hoch sein.

Standard-Mitarbeiterkonten können auf einem geplanten Zeitpfad zu phishing-resistenter MFA wechseln, aber die Marschrichtung muss in Ihrer Dokumentation klar sein. Ein Auditor will sehen, dass Sie wissen, wo die schwache MFA noch sitzt, und einen datierten Plan zu deren Ablösung haben, nicht dass Sie alles über Nacht gelöst haben.

Diese Staffelung hält auch Budgetgespräche im Rahmen. Ein Berater, der hereinkommt und 200.000 Euro an Hardware-Schlüsseln verlangt, verliert den Raum. Ein Berater, der sagt „dreißig FIDO2-Schlüssel für Ihre fünfzehn privilegierten Administratoren in diesem Quartal, Passkeys für alle anderen im nächsten", bekommt eine Unterschrift.

Wie Sie das auditierbar machen, nicht nur ausrollen

Die Ausrollung ist die halbe Arbeit. Die Hälfte, die ein Audit übersteht, ist die Dokumentation, die belegt, dass die Ausrollung eine bewusste, risikobasierte Entscheidung nach Artikel 21 war.

Drei Artefakte tragen das meiste Gewicht. Erstens eine Zugriffsklassifizierung, die Kontotypen den erforderlichen Sicherheitsniveaus zuordnet — das ist das Dokument, das „soweit angemessen" operationalisiert. Zweitens der Nachweis der Durchsetzung, also Conditional-Access- oder gleichwertige Richtlinien, die nicht-konforme Anmeldungen tatsächlich blockieren, statt MFA bloß zu empfehlen. Eine Richtlinie im „Report-only"-Modus ist keine Maßnahme. Drittens ein Ausnahmeregister: jedes Konto, das noch keine phishing-resistente MFA nutzen kann, warum, die kompensierende Maßnahme und das Behebungsdatum.

Bekommen Sie diese drei richtig, wird der MFA-Teil eines Audits kurz. Lassen Sie sie aus, sieht selbst eine technisch starke Ausrollung nach Glück statt Governance aus.

Gilt NIS2 für Ihre Organisation?
1
Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
Ja▼
Nein▼
2
Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
✗
NIS2 gilt nicht unmittelbar für Ihre Organisation.
Ja▼
Nein▼
✓
NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
3
Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
Ja▼
!
NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
1
Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
Ja ↓Nein →
2
Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
Ja ↓Nein →
3
Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
Ja ↓Nein →
✗
NIS2 gilt nicht unmittelbar für Ihre Organisation.
✓
NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
!
NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
Gilt
Gilt möglicherweise
Gilt nicht

Was das für MSPs bedeutet, die mehrere Mandanten verwalten

Wenn Sie die Identität für mehrere Kunden betreiben, ist der Wechsel zu phishing-resistent ein operatives Programm, keine Korrektur pro Kunde. Schwierigkeiten bekommen die Kunden, die durchgängig noch auf Legacy-MFA sitzen, und das sind typischerweise Ihre kleineren Mandate mit dem höchsten Budgetwiderstand.

Standardisieren Sie jetzt. Wählen Sie eine phishing-resistente Methode, die Sie in großem Maßstab ausrollen und unterstützen können — Plattform-Passkeys plus ein Hardware-Schlüssel-Fallback für Administratoren ist ein vertretbarer Standard — und machen Sie sie zur Basislinie für jeden Mandanten. Bauen Sie die Zugriffsklassifizierung einmal als Vorlage und passen Sie sie pro Kunde an, statt sie bei jedem Mandat neu zu erfinden. Und nehmen Sie das Ausnahmeregister in Ihren normalen Reporting-Rhythmus auf, damit Behebungsdaten nicht still an einer Audit-Frist vorbeirutschen.

Die Kosten, das falsch zu machen, sind nicht gleich verteilt. Landet ein Verstoß bei einem verwalteten Kunden und ist die Ursache phishbare MFA auf einem Administratorkonto, ziehen die Lieferketten-Bestimmungen von NIS2 das Gespräch zu Ihrem Vertrag, nicht nur zu deren.

NIS2-Sanktionseskalation — Jenseits der Geldbuße
!
Auslöser
Non-Compliance erkannt oder Vorfall tritt ein
Eine Aufsichtsbehörde identifiziert eine Compliance-Lücke oder eine Organisation erfüllt die NIS2-Anforderungen nicht
Behörden können verhängen
▼
Nicht-finanzielle Sanktionen
1
Anordnungen mit bindenden Fristen
2
Verpflichtende Sicherheitsaudits auf eigene Kosten
3
Öffentliche Bekanntmachung von Verstößen
4
Bindende Anweisungen zu spezifischen Sicherheitsmaßnahmen
Eskaliert zu
▼
Betriebliche und persönliche Konsequenzen
1
Aussetzung von Zertifizierungen oder Betriebsgenehmigungen
2
Vorübergehendes Verbot von Leitungsfunktionen für Personen
3
Öffentliche Benennung verantwortlicher natürlicher Personen
Auslöser
Nicht-finanziell
Betrieblich / persönlich

Der Schritt für dieses Quartal

Hören Sie auf, MFA als bereits gesetztes Häkchen zu behandeln. Die Frage, auf die es unter NIS2 ankommt, lautet nicht mehr „haben wir MFA", sondern „ist unsere MFA phishing-resistent, wo es zählt, und können wir belegen, dass die Entscheidung bewusst war."

Beginnen Sie mit privilegierten Konten, dokumentieren Sie die Risikostufen, setzen Sie im Blockiermodus durch und führen Sie ein ehrliches Ausnahmeregister. Das ist der Unterschied zwischen einer sauberen und einer teuren Authentifizierungs-Feststellung.

Wenn Sie nicht sicher sind, wo die MFA Ihrer Kunden gegenüber der ENISA-Leitlinie tatsächlich steht, deckt eine strukturierte Readiness-Bewertung die Lücken auf, bevor es ein Auditor tut. Führen Sie einen kostenlosen NIS2 Quick Scan durch, um zu sehen, wo Authentifizierung und der Rest der Artikel-21-Maßnahmen heute stehen.

Für das größere Bild dessen, was Artikel 21 verlangt, siehe unsere Aufschlüsselung der zehn Artikel-21-Maßnahmen. Um Ihre Gesamtlage zu prüfen, arbeiten Sie unseren Schritt-für-Schritt-Leitfaden zur Gap-Analyse durch.