Insights

Regulierung & Compliance

NIS2, DORA, ISO 27001, BSI IT-Grundschutz — regulatorische Anforderungen an Zugangssicherheit in der Praxis.

01

DORA: Was der Finanzsektor konkret umsetzen muss

DORA (EU 2022/2554) gilt seit dem 17. Januar 2025 für nahezu alle Finanzunternehmen in der EU. Art. 5 verpflichtet zu einem umfassenden IKT-Risikomanagement-Rahmenwerk. Art. 28 reguliert die Drittanbieter-Sicherheit. Art. 17–20 legen Anforderungen für Vorfallsmanagemenet und -meldung fest. PAM ist eine zentrale Kontrolle im DORA-Compliance-Nachweis.

02

NIS2: Praktische Auswirkungen auf Zugangsverwaltung

NIS2 (EU 2022/2555) hat den Geltungsbereich massiv ausgeweitet: von ca. 5.000 auf über 160.000 Organisationen in Europa. Art. 21 verpflichtet explizit zu Zugriffsrichtlinien und MFA. NIS2 unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen — beide unterliegen strengen PAM-Anforderungen.

03

ISO 27001:2022 und PAM-relevante Kontrollen

Die 2022-Version von ISO 27001 hat PAM-relevante Kontrollen explizit ausgewiesen. Anhang A, Kontrollen 5.15–5.18 decken Zugangsverwaltung und Zugangskontrolle ab. Kontrolle 8.2 behandelt privilegierte Zugriffsrechte und deren Governance.