Identity Governance für NIS-2, DORA und KRITIS 2.0

Identity Governance wird durch NIS-2, DORA und KRITIS 2.0 zu einem zentralen Baustein moderner Sicherheits- und Compliance-Strategien. Unternehmen müssen Zugriffsrechte nachvollziehbar steuern, regelmäßig überprüfen und auditfähig dokumentieren. Dieser Expertenbericht zeigt, welche regulatorischen Anforderungen relevant sind und wie eine wirksame Identity Governance in der Praxis aufgebaut wird. 

Identity Governance beschreibt die strukturierte Steuerung, Kontrolle und Überprüfung von Identitäten, Rollen und Zugriffsrechten im Unternehmen. Die Ausgestaltung einer wirksamen Identity & Access Governance (IAG) ist im DACH-Raum maßgeblich durch regulatorische Anforderungen geprägt, die eine kontrollierte, nachvollziehbare und risikoorientierte Vergabe sowie Überprüfung von Zugriffsrechten fordern. Zentrale Leitlinie ist dabei, dass Zugriffe konsequent nach dem Need-to-know- und Least-Privilege-Prinzip vergeben, regelmäßig überprüft und revisionssicher dokumentiert werden

Zentrale regulatorische Erwartungen lassen sich entlang folgender Prinzipien zusammenfassen: 

• Governance und Verantwortlichkeiten: Klare Zuordnung von Rollen und Verantwortlichkeiten für die Berechtigungssteuerung. 
• Nachvollziehbarkeit und Dokumentation: Lückenlose Protokollierung der Berechtigungssteuerung (Audit Trail).  
• Trennung von Funktionen (Segregation of Duties, SoD): Vermeidung kritischer Berechtigungskombinationen zur Reduktion von Betrugs- und Fehlerrisiken. 
• Regelmäßige Überprüfung: Risikobasierte Rezertifizierung von Zugriffsrechten 
• Lebenszyklusmanagement: Zeitnahe Vergabe und Entzug von Berechtigungen entlang des Joiner-Mover-Leaver-Prozesses 

Diese Prinzipien bilden die Grundlage für die Bewertung regulatorischer Konformität im Kontext der Identity Governance. 

Diese Regelwerke fordern ein strukturiertes, nachvollziehbares und überprüfbares Berechtigungsmanagement als integralen Bestandteil der Informationssicherheit und des internen Kontrollsystems. 

Für Unternehmen in Deutschland ergeben sich Anforderungen an die Identity Governance aus mehreren regulatorischen Quellen: 

• In Österreich erfolgt die Regulierung weitgehend im Einklang mit EU-Vorgaben (z. B. DORA, DSGVO, EBA-Leitlinien).  

• In der Schweiz fordern FINMA-Rundschreiben ein strukturiertes Berechtigungsmanagement, klare Governance-Strukturen sowie kontrollierte und nachvollziehbare Zugriffe auf kritische Systeme und Daten. 

Die regulatorischen Entwicklungen im DACH-Raum verdeutlichen, dass klassische, perimeterbasierte Sicherheitsmodelle („Trust inside the network“) sowie statische Berechtigungskonzepte zunehmend an ihre Grenzen stoßen. Maßgebliche Treiber hierfür sind insbesondere der zunehmende Einsatz von Cloud und hybriden IT-Landschaften, eine wachsende Anzahl an Identitäten (interne Mitarbeitende, externe Dienstleister und Maschinenidentitäten) sowie dynamische Geschäftsprozesse. 

Regulatoren reagieren darauf mit Anforderungen, die eine kontinuierliche Kontrolle und Transparenz über Zugriffe verlangen. Sicherheit wird damit nicht mehr primär über Netzwerkgrenzen, sondern über Identitäten und deren Berechtigungen gesteuert. 

Für Unternehmen bedeutet dies einen Paradigmenwechsel: Klassische, punktuelle Sicherheitsmaßnahmen – wie einmalige Provisionierung, manuelle Kontrollen oder periodische Audits – reichen nicht mehr aus, um die aktuellen regulatorische Anforderungen zu erfüllen. Diese fordern vielmehr eine kontinuierliche und nachweisbare Steuerung von Zugriffsrechten. 

Erfolgreiche IAG-Ansätze zeichnen sich daher durch folgende Merkmale aus: 

• kontinuierliche statt punktueller Kontrollen (Continuous Compliance)
• hoher Automatisierungsgrad zur Sicherstellung von Konsistenz, Geschwindigkeit und Skalierbarkeit
• integrierte Sicht auf alle Identitäten und Systeme 
• sowie jederzeitige Auditierbarkeit (Audit Readiness).  

Nur durch eine konsequent identitätszentrierte Sicherheitsstrategie können Unternehmen den steigenden regulatorischen Anforderungen gerecht werden und gleichzeitig operationelle Risiken nachhaltig reduzieren. 

Eine wirksame Identity  Governance bildet die Grundlage für die Umsetzung regulatorischer Anforderungen sowie für die nachhaltige Reduktion operationeller Risiken. Entscheidend ist dabei nicht nur die Definition von Richtlinien, sondern deren konsequente Verankerung in klaren Governance-Strukturen und standardisierten, möglichst automatisierten Prozessen. Nur so lassen sich regulatorische Anforderungen nachhaltig erfüllen und gleichzeitig Effizienz, Transparenz und Steuerungsfähigkeit verbessern.

Ein belastbares Governance-Modell stellt sicher, dass Verantwortlichkeiten eindeutig geregelt und Kontrollmechanismen wirksam etabliert sind. Im Zentrum steht die klare Trennung von Rollen zwischen Fachbereichen, IT und Kontrollinstanzen („Three Lines of Defense“). Ziel ist ein konsistentes, unternehmensweit gültiges Regelwerk, das sowohl operative Effizienz als auch regulatorische Konformität sicherstellt. 

Ergänzend sind verbindliche Richtlinien zu etablieren, insbesondere für: 

• Zugriffskontrolle (Access Control Policy)  
• Benutzerlebenszyklus (Joiner-Mover-Leaver)  
• Funktionstrennung (SoD)  

Ziel ist ein konsistentes, unternehmensweit gültiges Regelwerk, das sowohl operative Effizienz als auch regulatorische Konformität sicherstellt. 

Die Qualität der Identity Governance zeigt sich maßgeblich in der Reife ihrer Kernprozesse. Dazu gehören insbesondere der Benutzerlebenszyklus, regelmäßige Rezertifizierungen, die Vermeidung kritischer Berechtigungskombinationen sowie die Steuerung privilegierter und externer Zugriffe.

Ein wirksames Kontrollsystem ist zentraler Bestandteil einer regulatorisch konformen Identity & Access Governance. Regulatoren im DACH-Raum fordern nicht nur geeignete Kontrollen, sondern insbesondere deren nachweisbare Wirksamkeit. Für das Management bedeutet dies: Sicherheit und Compliance müssen jederzeit belegbar, prüfbar und transparent sein (Audit Readiness). 

Die regulatorischen Anforderungen (u. a. MaRisk, DORA, NIS-2, DSGVO) verlangen ein strukturiertes internes Kontrollsystem, das alle wesentlichen IAG-Prozesse abdeckt. Ziel ist ein ausgewogenes Zusammenspiel dieser Kontrollarten entlang aller IAG-Kernprozesse.  Dazu gehören insbesondere: 

Zur Sicherstellung der regulatorischen Konformität ist eine systematische Zuordnung von Anforderungen zu konkreten Kontrollen erforderlich. Eine Kontrollmatrix macht transparent, wie regulatorische Anforderungen operativ umgesetzt werden. Sie ist essenziell für interne und externe Prüfungen und reduziert den Abstimmungsaufwand gegenüber Aufsichtsbehörden und Wirtschaftsprüfern. 

Zur Bewertung der Wirksamkeit sind geeignete Kennzahlen erforderlich. Diese ermöglichen dem Management eine transparente Steuerung und Priorisierung von Maßnahmen.  Typische KPIs sind:

• Anteil fristgerecht durchgeführter Rezertifizierungen
• Zeit bis zur Deprovisionierung bei Austritten
• Anzahl offener oder ungelöster SoD-Konflikte
• Anzahl privilegierter Konten ohne ausreichende Kontrolle

Neben operativen KPIs gewinnen Key Risk Indicators (KRIs) zunehmend an Bedeutung, um potenzielle Risiken frühzeitig zu erkennen und zu adressieren. 

Ein zentrales regulatorisches Ziel ist die jederzeitige Nachweisbarkeit der Wirksamkeit von Kontrollen. Unternehmen müssen in der Lage sein, auf Anfrage kurzfristig belastbare Evidenzen bereitzustellen. 

Dazu gehören insbesondere:

• Vollständige und revisionssichere Protokollierung aller Berechtigungsänderungen
• Dokumentation von Genehmigungen und Entscheidungen
• Histroische Nachvollziehbarkeit von Zugriffen
• Standardisierte Reports für interne und externe Prüfungen

Manuelle und fragmentierte Nachweise führen in der Praxis häufig zu erhöhtem Prüfungsaufwand und regulatorischen Feststellungen. Daher ist eine automatisierte und zentralisierte Evidenzbereitstellung ein wesentlicher Erfolgsfaktor. 

Die Umsetzung einer regulatorisch konformen Identity & Access Governance erfordert einen strukturierten und priorisierten Maßnahmenplan. Ziel ist es, bestehende Defizite systematisch zu adressieren und gleichzeitig eine nachhaltige, skalierbare Zielarchitektur zu etablieren. Für das Management im DACH-Raum steht dabei insbesondere die Erfüllung regulatorischer Anforderungen bei gleichzeitiger Sicherstellung operativer Effizienz im Fokus. 

Ausgangspunkt ist typischerweise ein heterogen gewachsenes Berechtigungsmanagement mit manuellen Prozessen, begrenzter Transparenz und eingeschränkter Nachweisfähigkeit. Demgegenüber steht ein Zielbild, das durch folgende Eigenschaften geprägt ist: 

• Durchgängige Governance-Strukturen und klare Verantwortlichkeiten  
• Automatisierte, standardisierte Kernprozesse (insb. JML und Rezertifizierungen)  
• Zentrale Transparenz über alle Identitäten und Zugriffe  
• Jederzeitige Auditierbarkeit (Audit Readiness)  

Dieses Zielbild orientiert sich direkt an regulatorischen Anforderungen wie DORA, NIS-2, MaRisk und DSGVO. 

Die Ableitung konkreter Maßnahmen erfolgt systematisch aus den regulatorischen Anforderungen und identifizierten Risikofeldern. Dabei ist ein strukturierter Maßnahmenkatalog entlang von drei Dimensionen sinnvoll: 

Die Priorisierung der Maßnahmen erfolgt risikobasiert. Im Fokus stehen zunächst Bereiche mit hoher regulatorischer Relevanz und hohem Schadenspotenzial, wie privilegierte Zugriffe, kritische Systeme oder unzureichend kontrollierte Benutzerlebenszyklen. Ziel ist eine schnelle Reduktion regulatorischer Risiken bei gleichzeitig effizientem Ressourceneinsatz.

Aufbauend auf priorisierten Maßnahmen erfolgt die schrittweise Etablierung einer nachhaltigen IAG-Zielarchitektur. Zentrales Element ist dabei der Aufbau bzw. die Weiterentwicklung einer integrierten IAG-Plattform, die als Steuerungs- und Kontrollinstanz fungiert. 

Die Umsetzung sollte entlang eines Reifegradmodells erfolgen. Durch dieses schrittweise Vorgehen wird sichergestellt, dass regulatorische Anforderungen nachhaltig erfüllt und gleichzeitig organisatorische und technische Abhängigkeiten berücksichtigt werden.

Langfristig sollte die Identity Governance als zentraler Bestandteil einer modernen Sicherheitsarchitektur positioniert werden. Wichtige Handlungsfelder sind: 

• Ausrichtung an Zero-Trust-Prinzipien, bei denen Identitäten und deren Kontext im Mittelpunkt der Sicherheitssteuerung stehen  
• Integration von Privileged Access Management (PAM) und stärkere Kontrolle privilegierter Zugriffe  
• Einbindung externer Identitäten und Drittparteien in die Governance-Strukturen (insb. im Kontext DORA und NIS-2)  
• Etablierung von Continuous Compliance und Monitoring statt rein periodischer Kontrollen  

Damit wird IAG zu einem proaktiven Steuerungsinstrument für Sicherheit und Compliance. 

Identity Governance ist längst mehr als ein operatives IAM-Thema. Sie ist ein unternehmensweiter Steuerungsmechanismus für Sicherheit, Compliance und Risiko. Für das Management bedeutet das, Zugriffsrechte nicht isoliert in der IT zu verwalten, sondern in klaren Governance-Strukturen, definierten Verantwortlichkeiten und wirksamen Kontrollmechanismen zu verankern. 

NIS-2, DORA und KRITIS 2.0 erhöhen die Anforderungen an Nachweisfähigkeit, Transparenz und kontinuierliche Kontrolle deutlich. Unternehmen, die Identity Governance strategisch weiterentwickeln, schaffen damit nicht nur regulatorische Konformität, sondern stärken auch ihre Resilienz und Zukunftsfähigkeit.

Dieser Bericht beruht auf Expertenwissen, für die Ausformulierung wurde Hilfe von KI in Anspruch genommen.