NIS2 und Fernzugriff: Was IT-Administratoren 2026 wissen müssen

Die NIS2-Richtlinie enthält eine spezifische, durchsetzbare Anforderung für Multi-Faktor-Authentifizierung und Zugangskontrolle — und Remote-Desktop-Verbindungen fallen direkt unter beide Anforderungen. Wenn Ihre Organisation in den Anwendungsbereich fällt, stellt sich nicht die Frage, ob Sie sich mit der Sicherheit des Fernzugriffs befassen müssen, sondern was gemäß Artikel 21 als „angemessen" gilt und welche Konsequenzen drohen, wenn dies nicht erfüllt wird.

Dies ist eine praxisorientierte Übersicht für IT-Administratoren und MSPs: Wen betrifft NIS2, was verlangt sie konkret für den Fernzugriff, wie sieht die Umsetzung in einer Windows-Server-Umgebung aus, und wo liegen typischerweise die Lücken.

Für wen gilt NIS2?

NIS2 — Richtlinie (EU) 2022/2555 — gilt für mittlere und große Organisationen in 18 kritischen Sektoren in der EU. Die Richtlinie unterteilt betroffene Organisationen in zwei Stufen:

Wesentliche Einrichtungen sind Organisationen mit mindestens 250 Beschäftigten oder einem Jahresumsatz von mehr als 50 Millionen Euro (bzw. einer Bilanzsumme von mehr als 43 Millionen Euro), die in den Sektoren des Anhangs I tätig sind: Energie, Verkehr, Gesundheitswesen, Bank- und Finanzmarkt, Trinkwasser und Abwasser, digitale Infrastruktur, öffentliche Verwaltung und Weltraum.

Wichtige Einrichtungen sind mittlere Organisationen — in der Regel 50–249 Beschäftigte oder ein Jahresumsatz von mehr als 10 Millionen Euro — die in den Sektoren der Anhänge I oder II tätig sind: Herstellung kritischer Produkte, Lebensmittelerzeugung und -verteilung, Post- und Kurierdienste, Abfallwirtschaft, Chemikalien, Forschungseinrichtungen sowie digitale Dienste wie Cloud-Anbieter und Suchmaschinen.

Organisationen mit weniger als 50 Beschäftigten und einem Jahresumsatz unter 10 Millionen Euro sind grundsätzlich ausgenommen, es sei denn, sie sind in ihrem Mitgliedstaat der einzige Anbieter eines kritischen Dienstes.

Der Umfang der Richtlinie ist erheblich: Die Europäische Kommission schätzt, dass in der EU über 160.000 Organisationen in den Anwendungsbereich fallen, darunter viele mittelgroße Unternehmen, die unter NIS1 noch nicht erfasst waren.

Wenn Ihre Organisation in einem betroffenen Sektor tätig ist und die Größenschwellen erfüllt, gilt NIS2 unabhängig davon, ob Ihr Mitgliedstaat die Umsetzung abgeschlossen hat. Die Richtlinie wurde im Dezember 2022 verabschiedet, trat am 16. Januar 2023 in Kraft, und die Mitgliedstaaten hatten bis zum 17. Oktober 2024 Zeit, Umsetzungsgesetze zu verabschieden. Bis Januar 2025 hatte die Europäische Kommission gegen 23 von 27 EU-Mitgliedstaaten Vertragsverletzungsverfahren wegen der Nichtumsetzung eingeleitet — die Verpflichtungen aus der Richtlinie bleiben für betroffene Einrichtungen jedoch bindend.

Was verlangt NIS2 für den Fernzugriff?

Artikel 21 von NIS2 definiert zehn verbindliche Mindestmaßnahmen, die alle betroffenen Einrichtungen umsetzen müssen. Zwei dieser Maßnahmen betreffen den Fernzugriff direkt.

Artikel 21 Absatz 2 Buchstabe i verlangt „Maßnahmen im Bereich der Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Vermögenswerten". In der Praxis bedeutet das für den Fernzugriff: formelle Richtlinien darüber, wer sich remote verbinden darf, unter welchen Bedingungen, von welchen Geräten oder Netzwerkstandorten; dokumentiertes Prinzip der minimalen Rechtevergabe (keine gemeinsam genutzten Administratorkonten, kein dauerhafter Zugang zu Systemen, die nur bei Bedarf erreichbar sein müssen); und ein Asset-Inventar, das jeden Endpunkt mit aktiviertem Remotezugriff erfasst.

Artikel 21 Absatz 2 Buchstabe j verlangt „die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherter Sprach-, Video- und Textkommunikation sowie gesicherter Notfallkommunikationssysteme innerhalb der Einrichtung, sofern angemessen". Die Formulierung „sofern angemessen" schafft keine Ausnahme — sie bedeutet, dass die Maßnahme proportional zum Risiko anzuwenden ist, und der Remote-Desktop-Zugang zu Produktionsservern gilt allgemein als hohes Risiko. MFA für RDP ist für betroffene Organisationen unter NIS2 nicht optional.

Die anderen Maßnahmen nach Artikel 21 berühren den Fernzugriff ebenfalls indirekt. Artikel 21 Absatz 2 Buchstabe b fordert Vorfallbehandlung — einschließlich der Erkennung und Reaktion auf unbefugte Zugriffsversuche. Artikel 21 Absatz 2 Buchstabe g verlangt grundlegende Cyber-Hygiene, zu der das Einspielen von Patches für Fernzugriffssoftware gehört. Artikel 21 Absatz 2 Buchstabe f fordert eine regelmäßige Wirksamkeitsbewertung der umgesetzten Maßnahmen.

Die übergeordnete Formulierung von Artikel 21 Absatz 1 verlangt, dass alle Maßnahmen „dem Risiko, dem die betreffenden Netz- und Informationssysteme ausgesetzt sind, unter Berücksichtigung des Stands der Technik angemessen sein müssen". RDP ohne MFA, Zugangskontrolle oder Brute-Force-Schutz öffentlich erreichbar zu betreiben ist für keine betroffene Einrichtung nach diesem Maßstab angemessen.

Verlangt NIS2 MFA für RDP?

Ja — Artikel 21 Absatz 2 Buchstabe j nennt MFA ausdrücklich als verbindliche Maßnahme. Die Einschränkung „sofern angemessen" bezieht sich auf die Verhältnismäßigkeit, nicht auf den optionalen Charakter: Für den Fernzugriff auf kritische Geschäftssysteme interpretieren Regulierungsbehörden und nationale zuständige Behörden dies einheitlich als verpflichtend.

Was als MFA im RDP-Kontext gilt:

• Windows Hello for Business oder FIDO2-Hardwareschlüssel kombiniert mit einem Passwort
• Authentifikator-App (TOTP/Push) über eine in die Windows-Anmeldung integrierte Drittanbieter-MFA-Lösung
• Smartcard- oder zertifikatsbasierte Authentifizierung
• VPN mit MFA als Gateway, bevor RDP überhaupt erreichbar ist

Was die MFA-Anforderung nicht erfüllt:

• Ein komplexes Passwort allein
• Eine IP-Zulassungsliste allein (Zugangskontrolle ohne zweiten Faktor)
• Sicherheitsfragen oder E-Mail-basierte Einmalcodes

BruteFence adressiert einen anderen Bereich von Artikel 21: Es überwacht die Windows Security-Ereignis-ID 4625 auf fehlgeschlagene Anmeldeversuche und blockiert angreifende IPs automatisch über die Windows-Firewall. Das deckt die Vorfallbehandlungsdimension nach Artikel 21 Absatz 2 Buchstabe b ab — Erkennung und Unterbindung von Brute-Force-Angriffen — und trägt zur Zugangskontrolle nach Buchstabe i bei. Es ersetzt jedoch kein MFA. Ein vollständiges NIS2-konformes Fernzugriffs-Setup erfordert beides.

Was gilt als Zugangskontrolle nach NIS2?

Artikel 21 Absatz 2 Buchstabe i behandelt Zugangskontrolle in einem weiten Sinne. In einer Windows-Server-Umgebung mit aktiviertem RDP umfasst ein konformes Zugangskontroll-Setup typischerweise:

• Konten mit minimalen Rechten. Remotezugriff nur für namentlich benannte Benutzerkonten mit ausschließlich den für ihre Rolle erforderlichen Berechtigungen. Keine gemeinsamen Konten. Separate Administratorkonten für administrative Aufgaben anstelle von Alltagskonten.
• Netzwerkseitige Zugriffsbeschränkung. RDP nur aus bekannten IP-Bereichen (Büro, VPN-Ausgangspunkte) über Firewall-Regeln erreichbar oder vollständig hinter einem VPN oder RD Gateway platziert.
• Automatische Sperrung unbefugter Zugriffsversuche. Wiederholte fehlgeschlagene Anmeldeversuche aus unbekannten Quellen werden blockiert, bevor ein Brute-Force-Angriff erfolgreich sein kann. Hier greifen Tools wie BruteFence — automatische IP-Sperrung nach einem konfigurierbaren Schwellenwert über native Windows-Firewall-Regeln.
• Sitzungs- und Ereignisprotokollierung. Windows-Ereignisprotokolle, die erfolgreiche und fehlgeschlagene Authentifizierungsereignisse erfassen, mit ausreichend langer Aufbewahrungszeit für die Untersuchung von Vorfällen. Ereignis-ID 4625 für fehlgeschlagene, 4624 für erfolgreiche Anmeldungen.
• Regelmäßige Zugriffsüberprüfung. Dokumentierte Überprüfung, wer RDP-Zugang hat, Entfernung von Konten ehemaliger Mitarbeiter und Audit der Mitgliedschaft in privilegierten Gruppen.

Die Windows Server Sicherheits-Checkliste 2026 deckt den vollständigen Härtungsumfang über alle diese Bereiche ab.

Welche Sanktionen drohen bei Nichteinhaltung?

Artikel 34 von NIS2 legt die maximalen Verwaltungsstrafen wie folgt fest:

| Einrichtungstyp | Maximale Strafe | |---|---| | Wesentliche Einrichtung | 10.000.000 Euro oder 2 % des gesamten weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist | | Wichtige Einrichtung | 7.000.000 Euro oder 1,4 % des gesamten weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist |

Mitgliedstaaten können im nationalen Recht höhere Strafen festlegen. Die Bußgelder gelten für Verstöße gegen die Risikoanalysepflichten nach Artikel 21 und die Meldepflichten nach Artikel 23.

Artikel 20 führt zusätzlich zu den einrichtungsbezogenen Bußgeldern eine persönliche Managerhaftung ein. Leitungsorgane wesentlicher und wichtiger Einrichtungen müssen die Maßnahmen nach Artikel 21 förmlich billigen und deren Umsetzung überwachen. Bei einem Verstoß können Mitglieder des Leitungsorgans persönlich haftbar gemacht werden — nicht nur die Organisation — wobei die konkrete Form und der Umfang dieser Haftung davon abhängt, wie der jeweilige Mitgliedstaat die Richtlinie umgesetzt hat. Dies ist ein wesentlicher Unterschied zu NIS1, das keine vergleichbare persönliche Rechenschaftspflicht vorsah. Außerdem müssen Leitungsorgane unter NIS2 regelmäßige Cybersicherheitsschulungen erhalten.

Wie steht es um die NIS2-Umsetzung in 2026?

Bis zur Frist am 17. Oktober 2024 hatten lediglich vier EU-Mitgliedstaaten — Belgien, Kroatien, Italien und Litauen — NIS2-Umsetzungsgesetze erlassen. Für die übrigen 23 Mitgliedstaaten leitete die Europäische Kommission im November 2024 Vertragsverletzungsverfahren ein.

Die meisten EU-Länder haben infolge dieser Verfahren die Ausarbeitung von Umsetzungsgesetzen aufgenommen. Deutschlands nationale Umsetzung (BSIG-Reform), Frankreichs (über ANSSI) und andere große Volkswirtschaften befinden sich in verschiedenen Stadien des parlamentarischen Prozesses. Die ENISA NIS2-Übersichtsseite bietet Links zu den nationalen Behörden für den aktuellen Länderstand.

Für IT-Administratoren ergibt sich daraus: Wenn Ihre Organisation die Größen- und Branchenschwellen erfüllt, sollten Sie die NIS2-Anforderungen bereits als gültig betrachten. Die nationalen Umsetzungsgesetze führen keine neuen Pflichten ein — sie stellen den Durchsetzungsmechanismus, die zuständige Behörde und die innerstaatliche Bußgeldstruktur bereit. Die in der Richtlinie enthaltenen Pflichten (einschließlich Artikel 21) gelten ab dem Umsetzungszeitpunkt unabhängig davon.

Wie sieht NIS2-konformer Fernzugriffschutz in der Praxis aus?

Eine praktische Checkliste für Windows-Server-Umgebungen:

MFA für alle Remote-Verbindungen [Artikel 21 Absatz 2 (j)]

• MFA für jede RDP-Sitzung erzwingen — über Windows Hello for Business, eine Drittanbieter-TOTP/Push-Lösung oder ein VPN mit MFA als Zugangspunkt
• RDP nicht direkt über Port 3389 ohne Schutzebene aus dem öffentlichen Internet erreichbar machen

Automatische Brute-Force-Blockierung [Artikel 21 Absatz 2 (i) + (b)]

• Ereignis-ID 4625 in Echtzeit überwachen und IPs automatisch sperren, die einen konfigurierbaren Schwellenwert fehlgeschlagener Versuche überschreiten
• Firewall-Regeln pflegen, die nach Neustarts persistieren und in Ihrer Zugangskontrollrichtlinie dokumentiert sind
• Das Protokoll gesperrter IPs regelmäßig auf Fehlalarme prüfen — der BruteFence-Einrichtungsleitfaden erläutert die Schwellenwert-Kalibrierung im Detail

Minimale Rechtevergabe und Kontohygiene [Artikel 21 Absatz 2 (i)]

• Dedizierte benannte Konten für RDP-Zugang; keine gemeinsamen oder generischen Zugangsdaten
• Remote Desktop Users-Gruppenmitgliedschaft für Konten entfernen, die keinen Zugriff mehr benötigen
• Administratorkonten von Benutzerkonten trennen; administrativer RDP möglichst nur in definierten Wartungsfenstern

Sitzungsprotokollierung und Ereignisaufbewahrung [Artikel 21 Absatz 2 (b) + (f)]

• Windows Security-Überwachungsrichtlinie für Anmeldeereignisse aktivieren (Erfolg und Fehler)
• Sicherheitsereignisprotokolle lange genug aufbewahren, um Nachuntersuchungen zu ermöglichen — mindestens 30 Tage, bevorzugt 90 Tage
• Protokolle in ein SIEM oder ein zentrales Protokollverwaltungssystem integrieren, wenn die Größe der Organisation dies erfordert

Patch-Management [Artikel 21 Absatz 2 (g)]

• Windows-Sicherheitspatches innerhalb von 30 Tagen nach Veröffentlichung einspielen, kritische Patches innerhalb von 7 Tagen
• RD Gateway, NPS und andere Fernzugriffsinfrastrukturkomponenten in den Geltungsbereich einbeziehen

Häufig gestellte Fragen

Gilt NIS2 für unser Unternehmen?

Wenn Ihre Organisation mindestens 50 Mitarbeiter beschäftigt (oder einen Jahresumsatz von mehr als 50 Millionen Euro erwirtschaftet) und in einem der 18 erfassten Sektoren tätig ist — Energie, Verkehr, Gesundheitswesen, Banken, Wasserversorgung, digitale Infrastruktur, öffentliche Verwaltung, Weltraum, Herstellung kritischer Produkte, Lebensmittelverarbeitung, Postdienste, Abfallwirtschaft, Chemikalien, digitale Dienste oder Forschungseinrichtungen —, gilt NIS2 höchstwahrscheinlich für Sie. Für kleinere Unternehmen enthält die Richtlinie eine Ausnahme, es sei denn, Sie sind der einzige Anbieter eines kritischen Dienstes in Ihrem Mitgliedstaat.

Reicht BruteFence allein für die NIS2-Konformität im Fernzugriffsbereich?

Nein. BruteFence adressiert die Brute-Force-Schutz- und automatische Sperrdimension von Artikel 21 — es überwacht Ereignis-ID 4625 und sperrt angreifende IPs, was zur Zugangskontrolle (21 Absatz 2 (i)) und Vorfallbehandlung (21 Absatz 2 (b)) beiträgt. NIS2 verlangt jedoch auch MFA (21 Absatz 2 (j)), das BruteFence nicht bereitstellt. Ein vollständiges NIS2-konformes Fernzugriffs-Setup erfordert Brute-Force-Schutz, MFA, minimale Rechtevergabe, Sitzungsprotokollierung und eine dokumentierte Zugriffsrichtlinie — BruteFence ist eine Schicht davon.

Ist ein VPN für die NIS2-Konformität erforderlich?

NIS2 schreibt kein VPN vor. Es verlangt, dass der Fernzugriff mit MFA und einer dem Risiko angemessenen Zugangskontrolle gesichert ist. Ein VPN mit MFA ist eine Möglichkeit, diese Anforderungen zu erfüllen; ein RD Gateway mit MFA kombiniert mit Firewall-Einschränkungen ist eine weitere. Was NIS2 faktisch ausschließt, ist die direkte Exposition von RDP im öffentlichen Internet mit einem Passwort als einzigem Authentifizierungsfaktor.

Mein Land hat NIS2 noch nicht umgesetzt — gilt sie trotzdem für mich?

Ja. Die NIS2-Richtlinie ist seit dem 16. Januar 2023 verbindlich. Die Umsetzungsfrist vom 17. Oktober 2024 galt für die Mitgliedstaaten zur Verabschiedung von Umsetzungsgesetzen; die Pflichten aus der Richtlinie gelten für betroffene Einrichtungen unabhängig davon, ob diese Gesetze erlassen wurden. Im Januar 2025 leitete die Kommission gegen 24 EU-Mitgliedstaaten Vertragsverletzungsverfahren wegen der Nichtumsetzung ein — dies ist jedoch eine Angelegenheit zwischen den betreffenden Regierungen und der Europäischen Kommission, kein Grund für betroffene Einrichtungen, die Umsetzung der Maßnahmen nach Artikel 21 zu verzögern.

Wann wird das nationale NIS2-Gesetz in Kraft treten?

Das hängt vom Fortschritt Ihres Mitgliedstaats ab. Die meisten EU-Länder haben infolge der Vertragsverletzungsverfahren Gesetzentwürfe in Arbeit. Die sicherste Annahme ist, dass das nationale Umsetzungsrecht 2025 oder 2026 in Kraft tritt und die Artikel-21-Anforderungen direkt spiegeln wird. Bauen Sie Ihre Fernzugriffssicherung jetzt auf diese Anforderungen aus, um eine eilige Umsetzung unter Durchsetzungsdruck zu vermeiden.

Weitere Informationen dazu, wie Fernzugriff-Schutztools die von NIS2 geforderten technischen Kontrollen umsetzen, finden Sie im umfassenden Überblick über RDP-Brute-Force-Schutztools 2026. Für die Event-ID-4625-Erklärung erfahren Sie, was die Protokolle für Ihre Compliance-Dokumentation bedeuten.

Wenn Sie sehen möchten, was auf Ihrem Server passiert, testen Sie BruteFence 7 Tage kostenlos.