NIS2 + DORA: Identitätsprüfung für kritische Infrastrukturen (DE)

Zwei EU-Verordnungen verändern die Art und Weise, wie sich wesentliche und finanzielle Organisationen verteidigen. NIS2 (die zweite Richtlinie zur Netz- und Informationssicherheit) erhöht die Cybersicherheits-Grundlage in kritischen und wichtigen Sektoren – Energie, Verkehr, Gesundheit, digitale Infrastruktur und mehr. DORA (die Digital Operational Resilience Act) tut dasselbe speziell für den Finanzsektor, mit einem scharfen Fokus auf Informations- und Kommunikationstechnologie (IKT)-Risiken und die Drittparteien, von denen Finanzunternehmen abhängen.

Sie nähern sich dem Problem aus verschiedenen Blickwinkeln, aber sie konvergieren auf dieselben Kontrollen: Wissen, wer Zugriff hat, Identitäten rigoros prüfen und das Risiko managen, das Ihre Anbieter einführen. Die Identitätsprüfung steht im Mittelpunkt aller drei. Dieser Beitrag erklärt, was NIS2 und DORA erfordern, warum Identität tragend ist und wie Didit – sowohl als Verifizierungs-Engine als auch als zertifizierter Anbieter – Ihnen hilft, diese Anforderungen zu erfüllen.

Wichtigste Erkenntnisse

• NIS2 schreibt Risikomanagementmaßnahmen, starke Zugangskontrolle und Lieferkettensicherheit in wesentlichen und wichtigen Sektoren vor.
• DORA regelt IKT-Risiken in Finanzdienstleistungen, einschließlich eines Registers von IKT-Drittanbietern und eines rigorosen Managements von Anbieter-Risiken.
• Beide Regime legen großen Wert auf Identitätsprüfung und Zugangskontrolle – Sie können ein System nicht sichern, ohne vertrauenswürdige Antworten auf die Frage „Wer ist diese Person?“ zu haben.
• Didit bietet hochsichere Identitätsprüfung – Dokumentenprüfung, NFC, Liveness-Erkennung, biometrischer Gesichtsabgleich – für die Einarbeitung von Mitarbeitern, Auftragnehmern und hochwertigen Kunden.
• Als IKT-Drittpartei selbst reduziert Didit Ihre Anbieter-Risikobelastung mit konkreten Nachweisen: SOC 2 Type 1 (ATOM, Stand 09.04.2026), ISO/IEC 27001:2022 (Bureau Veritas, Zert.-Nr. ES144068, gültig bis 03.06.2027) und iBeta Level 1 PAD.
• Webhook-gesteuerte Audit-Trails (status.updated, data.updated) liefern Ihnen die Nachweise, die beide Regime erwarten.

Was die Regeln verlangen

NIS2 erweitert den Geltungsbereich der ursprünglichen Richtlinie auf wesentlich mehr Sektoren und verschärft die Verpflichtungen. Zu ihren Kernanforderungen gehören: Cybersicherheits-Risikomanagementmaßnahmen, die dem Risiko angemessen sind, Vorfallbehandlung und -berichterstattung, Business-Continuity-Planung und – entscheidend für die Identität – Zugangskontrollrichtlinien, die Verwendung von Multi-Faktor- oder kontinuierlicher Authentifizierung, wo angebracht, und Lieferkettensicherheit, die die Sicherheit von direkten Lieferanten und Dienstleistern berücksichtigt. Leitungsorgane sind rechenschaftspflichtig, und Aufsichtsbehörden können eingreifen, wenn Kontrollen unzureichend sind.

DORA konzentriert sich auf Finanzunternehmen und deren Widerstandsfähigkeit gegenüber IKT-Störungen. Sie legt Anforderungen in fünf Säulen fest: IKT-Risikomanagement, Vorfallberichterstattung, Tests zur digitalen operativen Widerstandsfähigkeit, Informationsaustausch und IKT-Drittparteien-Risikomanagement. Die letzte Säule betrifft jeden Anbieter: Finanzunternehmen müssen ein Informationsregister über alle IKT-Drittparteienvereinbarungen führen, das Risiko eines Anbieters vor und während der Beziehung bewerten und sicherstellen, dass vertragliche und Überwachungsbestimmungen vorhanden sind. Starke Identitäts- und Zugangskontrollen untermauern die Säulen des Risikomanagements und der Widerstandsfähigkeitstests.

Der gemeinsame Nenner: Sie können keine operative Widerstandsfähigkeit oder Netzwerksicherheit nachweisen, wenn Sie die Identität nicht zuverlässig feststellen können – der Personen, die auf Systeme zugreifen, und der Anbieter in Ihrer Kette.

Warum das wichtig ist

Kritische Infrastrukturen sind genau der Ort, an dem Angreifer sich konzentrieren, weil der Schadensradius am größten ist. NIS2 und DORA existieren, weil die Regulierungsbehörden beobachtet haben, wie Vorfälle bei einem einzelnen Lieferanten zu Ausfällen, Datenschutzverletzungen und systemischen Risiken führten. Die Strafen spiegeln dies wider: erhebliche Bußgelder, Managementhaftung und aufsichtsrechtliche Intervention.

Speziell für die Identität treten zwei Fehlerarten immer wieder auf. Erstens, schwache Prüfung – das Zulassen einer betrügerischen oder gefälschten Identität während des Onboardings oder der Kontowiederherstellung, was später zu einem Fehler bei der Zugangskontrolle wird. Zweitens, unverwaltetes Drittparteienrisiko – das Vertrauen auf einen Anbieter (wie einen Identitätsanbieter), dessen eigene Sicherheitslage Sie nicht nachweisen können. Beide Regime zwingen Sie, diese Lücken zu schließen und Aufzeichnungen zu führen, die belegen, dass Sie dies getan haben.

Wie Didit hilft

Didit adressiert beide Seiten der Identitätsgleichung unter NIS2 und DORA.

Als Ihre Identitätsprüfungs-Schicht:

• Hochsichere Verifizierung für das Onboarding von Kunden, Mitarbeitern und Auftragnehmern: Dokumentenprüfung für über 14.000 Dokumententypen (0,15 $), NFC-Chip-Lesen (0,15 $), passive (0,10 $) und aktive (0,15 $) Liveness-Erkennung und 1:1-Gesichtsabgleich (0,05 $).
• Angriffsresistente Biometrie – Präsentationsangriffs-Erkennung, getestet nach iBeta Level 1 (ISO/IEC 30107-3) mit 0 % Angriffserfolg bei 360 Versuchen – die Art von Nachweis, auf der Zugangskontrollrichtlinien basieren sollten.
• Geldwäsche- und Sanktionsprüfung (0,20 $, über 1.300 Listen) und fortlaufende Überwachung (0,07 $/Benutzer/Jahr), wo regulierte Beziehungen dies erfordern.
• Komponierbare Orchestrierung über den No-Code-Workflow-Builder, sodass Sie Kontrollen proportional zum Risiko anwenden.

Als zertifizierte IKT-Drittpartei – erleichtert Ihre DORA-Register- und NIS2-Lieferkettenpflichten:

• SOC 2 Type 1-Bescheinigung von ATOM, die Sicherheit, Verfügbarkeit und Vertraulichkeit ab dem 09.04.2026 abdeckt (voller Bericht ist unter NDA nur für eingeschränkte Nutzung).
• ISO/IEC 27001:2022-Zertifizierung von Bureau Veritas, Zert.-Nr. ES144068, gültig bis 03.06.2027 – verteilbarer Nachweis eines zertifizierten Informationssicherheits-Managementsystems.
• iBeta Level 1 PAD-Konformitätsschreiben – verteilbar, zur Sicherstellung der biometrischen Kontrolle.

Diese liefern die Artefakte, die Ihre Beschaffungs- und Risikoteams benötigen, wenn sie Didit als Anbieter in Ihrem IKT-Drittparteienregister bewerten.

Deep Dive: Identität im DORA-Drittparteienregister

Unter DORA wird jede IKT-Drittparteienvereinbarung in ein Informationsregister aufgenommen, das Ihre Aufsichtsbehörde anfordern kann. Für jeden Anbieter wird erwartet, dass Sie die unterstützte Funktion, die Kritikalität dieser Funktion und das Risiko, das der Anbieter einführt, verstehen – untermauert durch Nachweise.

Wenn der Anbieter Ihr Identitätsprüfungsanbieter ist, sind die Nachweise, die Sie wünschen, genau das, was Didit liefern kann: eine unabhängige SOC 2-Bescheinigung, die das Design seiner Kontrollen beschreibt, ein ISO/IEC 27001-Zertifikat, das ein verwaltetes Informationssicherheitssystem belegt, und ein biometrisches iBeta-Ergebnis, das die Anti-Spoofing-Leistung quantifiziert. Kombinieren Sie diese mit Didits Webhook-gesteuertem Audit-Trail – status.updated und data.updated-Ereignisse, die den Lebenszyklus jeder Verifizierung aufzeichnen – und Sie haben sowohl die Anbieter-Ebene-Sicherheit für das Register als auch die Transaktions-Ebene-Aufzeichnungen für Resilienztests und Vorfalluntersuchungen.

Diese Kombination verwandelt einen Anbieter, der eine Risikoposition sein könnte, in einen, der Ihren Due-Diligence-Zyklus verkürzt.

Anwendungsfälle

• Banken, EMIs und Zahlungsinstitute, die DORA IKT-Drittparteienrisiken für ihren Identitäts-Stack bewerten.
• Krypto-Asset-Dienstleister im Rahmen des DORA-Finanzsektors.
• Betreiber wesentlicher Dienste (Energie, Verkehr, Gesundheit, digitale Infrastruktur) unter NIS2, die die Zugangskontrolle und Lieferkettensicherheit verstärken.
• Managed Service Provider, die die Sicherheit der Identitäts-Tools, die sie für Kunden einsetzen, nachweisen müssen.

Häufig gestellte Fragen

Gelten NIS2 und DORA für dieselben Organisationen?

Nicht genau. NIS2 deckt wesentliche und wichtige Einrichtungen in vielen Sektoren ab; DORA deckt Finanzunternehmen und deren IKT-Anbieter ab. Viele Finanzorganisationen fallen unter beide, und die Kontrollen überschneiden sich stark.

Ist die Identitätsprüfung durch diese Regeln tatsächlich erforderlich?

Die Regeln erfordern starke Zugangskontrolle, Risikomanagement und Drittparteienaufsicht. Eine zuverlässige Identitätsprüfung ist die Grundlage für alle drei – Sie können die Zugangskontrolle nicht durchsetzen oder die Benutzer eines Anbieters überprüfen, ohne sie.

Was bietet Didit für das DORA-IKT-Drittparteienregister?

Didit kann SOC 2 Type 1, ISO/IEC 27001:2022 (Zert. ES144068) und iBeta Level 1 PAD-Nachweise sowie Webhook-basierte Audit-Trails liefern – die Artefakte, die Ihr Risikoteam benötigt, um Didit als Anbieter zu bewerten und zu dokumentieren.

Ist Didits SOC 2 ein Typ 1 oder Typ 2?

Es handelt sich um eine Typ 1-Bescheinigung (Design der Kontrollen ab dem 09.04.2026). Eine Typ 2-Prüfung ist geplant. Der vollständige Bericht ist nur für eingeschränkte Nutzung unter NDA zugänglich.

Kann ich das ISO 27001-Zertifikat zur internen Weitergabe erhalten?

Ja – das ISO/IEC 27001:2022-Zertifikat (Bureau Veritas, Zert.-Nr. ES144068) ist auf Anfrage verteilbar.

Bereit zum Start?

Sehen Sie sich Didits Bescheinigungen und Sicherheitslage im Trust Hub an, erkunden Sie das ID-Verifizierungsprodukt und überprüfen Sie die transparenten Preise auf der Preisseite. Wenn Sie bereit sind, starten Sie kostenlos – 500 kostenlose KYC-Prüfungen jeden Monat, mit einem Kernverifizierungsprozess ab 0,33 $.