What is the NIS2 Directive?

NIS2 (Directive EU 2022/2555) is the EU's updated cybersecurity legislation that dramatically expands the scope of affected sectors, introduces mandatory baseline security measures, and gives national authorities significantly stronger supervisory and enforcement powers. It entered into force on 16 January 2023, with member states required to transpose it into national law by 17 October 2024.

What are the NIS2 incident reporting requirements?

NIS2 mandates precise reporting timelines: submit an early warning to your national CSIRT or competent authority within 24 hours of becoming aware of the incident, follow up with a formal incident notification within 72 hours including an initial assessment of severity and impact, and submit a final incident report within one month covering root cause, impact, and remediation actions taken.

Which organizations are affected by NIS2?

NIS2 applies to medium and large entities operating within EU member states that provide essential or important services across sectors including energy, transport, banking, financial market infrastructures, health, drinking water, waste water, digital infrastructure, ICT service management, public administration, space, postal and courier services, waste management, manufacturing, food production, and digital providers. Approximately 100,000 organizations are estimated to be in scope.

What are the penalties for NIS2 non-compliance?

Competent national authorities can impose financial penalties of up to €10 million or 2% of global annual turnover for essential entities, or €7 million or 1.4% of global annual turnover for important entities, whichever is higher. Non-monetary remedies include compliance orders, binding instructions, and mandated security audits. Management liability includes public disclosure of violations, personal liability for senior executives, and temporary bans on holding management positions.

What are the ten mandatory security measures under NIS2?

NIS2 Article 21 specifies ten mandatory areas: risk analysis and information system security policies, incident handling, business continuity and crisis management, supply chain security, security in network and information system acquisition, the effectiveness of cybersecurity measures, basic cyber hygiene and training, cryptography and encryption, human resources security and access control, and the use of multi-factor authentication.

So bereiten Sie Ihre Cloud-Infrastruktur auf die NIS2-Richtlinie vor

Die Richtlinie über Netzwerk- und Informationssysteme (NIS) und die kürzlich aktualisierte NIS2-Richtlinie wurden von der Europäischen Union (EU) eingeführt, um das Cybersicherheitsniveau der EU-Mitgliedstaaten nach den sich schnell entwickelnden und zunehmenden Cyberangriffen zu verbessern. Dieser Artikel bietet einen Überblick darüber, was von der NIS2-Richtlinie für Unternehmen und ihre Cloud-Infrastrukturen erwartet werden sollte.

NIS2 — Eine neue Grenze in der Cybersicherheit

NIS2 ist in Kraft. Die Umsetzungsfrist ist im Oktober 2024 abgelaufen, die Durchsetzung beginnt in allen EU-Mitgliedstaaten, und die Europäische Kommission hat bereits Schritte unternommen, um den Rahmen weiter zu stärken. Für Unternehmen, die eine Cloud-Infrastruktur betreiben, geht es nicht mehr darum, ob NIS2 gilt, sondern darum, ob Ihre Sicherheitskontrollen tatsächlich bereit sind, einer Überprüfung standzuhalten.

Die ursprüngliche NIS-Richtlinie, die 2016 eingeführt wurde, war die erste wichtige Cybersicherheitsgesetzgebung der EU. Trotz ihrer Absicht führte sie zu einer fragmentierten Umsetzung in den Mitgliedstaaten mit widersprüchlichen Anforderungen, uneinheitlicher Durchsetzung und Geltungsbereich, die mit der raschen Digitalisierung und einer eskalierenden Bedrohungslandschaft nicht Schritt halten konnten.

Die NIS2-Richtlinie (Richtlinie EU 2022/2555) wurde entwickelt, um dies zu beheben. Die im Dezember 2020 vorgeschlagene und am 16. Januar 2023 in Kraft tretende NIS2 erweitert den Anwendungsbereich der betroffenen Sektoren erheblich, führt verbindliche grundlegende Sicherheitsmaßnahmen ein und gibt den nationalen Behörden deutlich stärkere Aufsichts- und Durchsetzungsbefugnisse. Die Mitgliedstaaten mussten NIS2 bis zum 17. Oktober 2024 in nationales Recht umsetzen.

Im Januar 2026 schlug die Europäische Kommission gezielte Änderungen an NIS2 vor, um die Rechtsklarheit zu erhöhen und die Compliance-Verpflichtungen für kleinere Organisationen zu vereinfachen — ein Zeichen dafür, dass NIS2 ein lebendiger Rahmen ist, der sich ständig weiterentwickeln wird, und keine feste Checkbox.

Entschlüsselung von NIS2-Zielen

Obligatorische Meldung von Vorfällen: Harte Fristen, die nicht verpasst werden dürfen

Dies ist der Punkt, an dem viele Organisationen den unmittelbarsten Druck spüren werden. NIS2 schreibt präzise Berichtszeitpläne vor, die keinen Raum für Unklarheiten lassen. Wenn sich ein schwerwiegender Vorfall ereignet, müssen die betroffenen Organisationen:

Reichen Sie ein Frühwarnung an ihr nationales CSIRT oder die zuständige Behörde innerhalb 24 Stunden auf den Vorfall aufmerksam zu werden
Folgt mit einem formellen Benachrichtigung über einen Vorfall innerhalb 72 Stunden, einschließlich einer ersten Bewertung des Schweregrads und der Auswirkungen
Reichen Sie ein endgültiger Zwischenfallbericht innerhalb ein Monat deckt die Grundursache, die Auswirkungen und die ergriffenen Abhilfemaßnahmen ab

Um diesen Zeitfenstern gerecht zu werden, muss die Erkennung nicht nur theoretisch vorhanden sein, sondern auch in der Praxis funktionieren. Lücken in der Wolkenerkennung gefährden direkt Ihre Fähigkeit, die Anforderungen einzuhalten.

Obligatorische Sicherheitsmaßnahmen in zehn Domänen

NIS2 überlässt Sicherheitsmaßnahmen nicht der Interpretation. Artikel 21 legt zehn verbindliche Bereiche fest, mit denen sich alle in den Geltungsbereich einbezogenen Organisationen befassen müssen: Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme, Umgang mit Vorfällen, Geschäftskontinuität und Krisenmanagement, Sicherheit in der Lieferkette, Sicherheit beim Erwerb von Netzwerk- und Informationssystemen, Wirksamkeit von Cybersicherheitsmaßnahmen, grundlegende Cyberhygiene und -schulung, Kryptografie und Verschlüsselung, Personalsicherheit und Zugangskontrolle sowie Einsatz der Multifaktor-Authentifizierung. Organisationen müssen nachweisen können, dass jeder Bereich aktiv angegangen und nicht nur dokumentiert wird.

Verbesserte europäische Cybersicherheitsstandards und Aufsichtsbefugnisse

NIS2 führt eine Größenschwellenregel ein, nach der alle mittleren und großen Unternehmen in den abgedeckten Sektoren automatisch in den Geltungsbereich fallen, wodurch das bisherige Modell, bei dem die Mitgliedstaaten die Betreiber wesentlicher Dienste einzeln benannten, beendet wird. Die nationalen Behörden verfügen nun über deutlich stärkere Aufsichtsinstrumente, einschließlich der Befugnis, Inspektionen vor Ort durchzuführen, Beweise zu verlangen und Sanktionen gegen Organisationen und deren Geschäftsleitung zu verhängen. Die Haftung des Managements ist eindeutig: Laut NIS-2 muss die Unternehmensleitung Maßnahmen zum Cybersicherheitsrisikomanagement überwachen, genehmigen und persönlich darin geschult werden.

Grenzüberschreitende Koordination und Schwachstellenmanagement

NIS2 richtet das European Cyber Crisis Liaison Organization Network (EU-Cyclone) ein, um das Management von groß angelegten grenzüberschreitenden Vorfällen zu koordinieren. Es stärkt das Netzwerk des Computer Security Incident Response Teams (CSIRT) und beauftragt die ENISA mit der Pflege einer Schwachstellendatenbank für IKT-Produkte und -Dienste, die einen gemeinsamen Rahmen für die koordinierte Offenlegung von Sicherheitslücken in der gesamten EU bietet.

‍

Welche Unternehmen sind von der NIS2-Richtlinie betroffen

Die NIS2-Richtlinie erstreckt sich auf wichtigere und wichtigere Sektoren, wobei im Vergleich zur vorherigen NIS-Richtlinie ein neuer Schwellenwert für die Anzahl der betroffenen Unternehmen gilt. Unternehmen, die in den Mitgliedstaaten der Europäischen Union ansässig sind oder dort tätig sind und grundlegende und wichtige Dienstleistungen erbringen, unterliegen nun der NIS2-Richtlinie mit den folgenden Spezifikationen:

Betroffene Sektoren

Grid of green and blue icons representing sectors: transportation, banking, financial markets, health services, public administration, digital providers, chemical industry, research, food industry, digital infrastructure, energy, drinking water, space, waste water, post and courier, manufacturing, and waste management.

Table categorizing entities by size and sectors, detailing medium and large entities by employee count and financials, and listing essential and important sectors including energy, transportation, banking, health, waste management, manufacturing, and research organizations.

Es wird geschätzt, dass NIS2 mehr beeinflusst als 100.000 Organisationen in der gesamten EU, eine erhebliche Erweiterung im Vergleich zur ursprünglichen NIS-Richtlinie. Die Mitgliedstaaten können auch kleinere Unternehmen mit erhöhten Risikoprofilen identifizieren, die unabhängig von ihrer Größe in den Geltungsbereich fallen.

Hinweis für deutsche Organisationen: Deutschland gehört zu den EU-Mitgliedstaaten, die die nationale Umsetzung bis zum Stichtag Oktober 2024 nicht abgeschlossen hatten. Das deutsche Umsetzungsgesetz (Nis2UmSuCG) wird derzeit im Parlament verabschiedet und wird voraussichtlich landesweit rund 30.000 Unternehmen betreffen. Deutsche Organisationen sollten die NIS2-Anforderungen jetzt als Grundlage betrachten, da das nationale Gesetz voraussichtlich in Kraft treten und die Durchsetzung kurz darauf folgen wird.

‍

Zeitplan für die Einhaltung der NIS2-Richtlinie

NIS2 trat am 16. Januar 2023 in Kraft. Die Umsetzungsfrist für die EU-Mitgliedstaaten endete am 17. Oktober 2024. Zu diesem Zeitpunkt mussten die nationalen Gesetze in Kraft treten. Die EU-Mitgliedstaaten mussten außerdem bis zum 17. April 2025 eine Liste von Einrichtungen in wichtigen und wichtigen Sektoren erstellen.

In der Praxis haben mehrere Mitgliedstaaten, darunter Deutschland, Frankreich und andere, die Umsetzung nicht bis zum Stichtag Oktober 2024 abgeschlossen. Die Europäische Kommission hat Vertragsverletzungsverfahren gegen diese Mitgliedstaaten eingeleitet. Organisationen in diesen Ländern sollten jedoch nicht warten, bis die nationale Durchsetzung beginnt. Die NIS2-Anforderungen definieren den geltenden Standard, und der regulatorische Druck von Partnern, Kunden und Behörden macht sich bereits bemerkbar.

‍

Timeline showing key NIS directive milestones from August 2016 to October 2027, including NIS2 enforcement, reports, deadlines, and revisions.

Im Januar 2026 schlug die Europäische Kommission gezielte Änderungen an NIS2 vor, um die Einhaltung der Vorschriften zu vereinfachen und die Rechtsklarheit zu erhöhen, insbesondere für kleinere Organisationen. Mitigant beobachtet diese Entwicklungen und stellt sicher, dass seine Plattform den sich ändernden Anforderungen entspricht.

‍

Folgen der Nichteinhaltung der NIS2-Richtlinie

Die Folgen einer Nichteinhaltung gehen über Bußgelder hinaus. NIS2 führt die persönliche Haftung der Geschäftsleitung ein und macht Cybersicherheit zu einer Angelegenheit auf Vorstandsebene, nicht nur zu einer IT-Angelegenheit. Die zuständigen nationalen Behörden können Folgendes vorschreiben:

Finanzielle Strafen von bis zu 10 Millionen € oder 2% des weltweiten Jahresumsatzes für wichtige Unternehmen oder 7 Millionen € oder 1,4% des weltweiten Jahresumsatzes für wichtige Unternehmen, je nachdem, welcher Wert höher ist.
Nichtmonetäre Rechtsmittel, einschließlich Compliance-Anordnungen, verbindlicher Anweisungen, vorgeschriebener Sicherheitsüberprüfungen oder Anordnungen, betroffene Kunden über Sicherheitsbedrohungen zu informieren.
Haftung des Managements, einschließlich der Offenlegung von Compliance-Verstößen, der persönlichen Haftung von Führungskräften und vorübergehenden Verboten der Ausübung von Führungspositionen.

Für Unternehmen mit Cloud-Infrastruktur werden die Aufsichtsbehörden zunehmend prüfen, ob Cloud-Umgebungen angemessen überwacht, getestet und gesichert wurden; nicht nur, ob Richtlinien auf dem Papier existierten.

Act Before an Auditor Does

See Where Your Organisation Stands Against NIS2

Get a clear view of your exposure gaps before an auditor does. Mitigant assesses your environment against all ten NIS2 mandatory security domains.

Start Free Assessment

✓ Free ✓ No agent required ✓ Results in 15 min

€10M

Essential entities

OR 2% GLOBAL REVENUE

€7M

Important entities

‍

Was muss auf die NIS2-Richtlinie vorbereitet werden

Die NIS2-Konformität ist eine fortlaufende Disziplin, kein einmaliges Projekt. Für Unternehmen, die eine Cloud-Infrastruktur betreiben, hat jeder der folgenden Schritte eine direkte Cloud-Dimension, da Cloud-Umgebungen dynamisch sind, falsch konfigurierte Ressourcen über Nacht auftreten können und Angriffspfade, die es im letzten Monat noch nicht gab, heute existieren.

Bewertung und Lückenanalyse: Bewerten Sie Ihre aktuelle Cybersicherheitslage anhand der zehn obligatorischen Sicherheitsdomänen von NIS2. Insbesondere für Cloud-Umgebungen bedeutet dies, zu verstehen, welche Ressourcen gefährdet sind, welche falsch konfiguriert sind und ob Ihre Erkennungstools tatsächlich einen echten Cloud-Angriff abfangen würden. Fehlkonfigurationen und unentdeckte Angriffspfade gehören zu den häufigsten Lücken, die bei NIS2-Audits festgestellt wurden.
Priorisierung von Maßnahmen: Beheben Sie zuerst kritische Lücken, insbesondere solche, die ein direktes Risiko für Vorfälle darstellen oder Sie daran hindern würden, die Meldefristen von 24 und 72 Stunden einzuhalten. In Cloud-Umgebungen haben öffentlich zugängliche Ressourcen, übermäßige IAM-Berechtigungen und fehlende Erkennungsmöglichkeiten in der Regel die Themen mit der höchsten Priorität.
Zuteilung von Ressourcen: Definieren Sie die erforderlichen finanziellen, technologischen und personellen Ressourcen. Cloud-Sicherheitstools, die die kontinuierliche Bewertung automatisieren, reduzieren den manuellen Aufwand im Zusammenhang mit der NIS2-Konformität erheblich und verlagern den Aufwand von regelmäßigen Audits auf kontinuierliche Transparenz.
Umsetzungsphase: Stellen Sie die erforderlichen technischen Kontrollen bereit, einschließlich mehrstufiger Authentifizierung, Verschlüsselung, Zugriffskontrollrichtlinien und Netzwerksegmentierung. Für die Cloud-Infrastruktur umfasst dies die Sicherung cloudnativer Dienste, Kubernetes-Workloads und der APIs, die sie verbinden.
Schulung und Sensibilisierung: NIS2 Artikel 20 legt der Geschäftsleitung ausdrücklich die persönliche Verantwortung zu. Stellen Sie sicher, dass die Führungskräfte die Cloud-Sicherheitslage des Unternehmens verstehen und nicht nur wissen, ob ein Programm existiert, sondern auch, was es abdeckt und wo die Lücken bestehen.
Kontinuierliche Überwachung und Verbesserung: Eine Cloud-Umgebung, die vor sechs Monaten eine Konformitätsprüfung bestanden hat, besteht heute möglicherweise nicht. Eine kontinuierliche Überwachung auf Konfigurationsabweichungen, neue Angriffstechniken und neu auftretende Sicherheitslücken ist unerlässlich. NIS2 belohnt Organisationen, die kontinuierliche Wachsamkeit und nicht nur regelmäßige Anstrengungen unter Beweis stellen können.
Dokumentation und Berichterstattung: Führen Sie detaillierte Aufzeichnungen über Compliance-Aktivitäten und richten Sie die Prozesse ein, die erforderlich sind, um die Anforderungen an die Berichterstattung von Vorfällen innerhalb von 24, 72 Stunden und einem Monat zu erfüllen, bevor ein Vorfall eintritt, nicht während eines Vorfalls.

‍

Wie Mitigant Cloud-nativen Infrastrukturen helfen kann, die Einhaltung der NIS2-Richtlinie zu erreichen

Die Cloud-Infrastruktur ist für die meisten Unternehmen das Herzstück der NIS2-Compliance. Hier werden wichtige Dienste erbracht, sensible Daten gespeichert und die Angreifer konzentrieren sich darauf. Mitigant wurde speziell entwickelt, um cloudnativen Unternehmen dabei zu helfen, die technischen und betrieblichen Anforderungen von NIS2 zu erfüllen. Das Onboarding erfolgt in weniger als 15 Minuten und die kontinuierliche Abdeckung aller wichtigen Cloud-Plattformen und Kubernetes.

So entspricht Mitigant den wichtigsten NIS2-Sicherheitsverpflichtungen gemäß Artikel 21:

1. Risikoanalyse und Inventarisierung

NIS2-Anforderung: Unternehmen müssen den Überblick über alle Ressourcen behalten und Richtlinien für Risikoanalysen und die Sicherheit von Informationssystemen implementieren.

Die Mitigant-Plattform erkennt und inventarisiert kontinuierlich Cloud-Ressourcen auf allen wichtigen Cloud-Plattformen und Kubernetes über Verwaltung der Sicherheitslage in der Cloud (CSPM) und Kubernetes-Sicherheitsmanagement (KSPM). Fehlkonfigurationen, Compliance-Abweichungen und Änderungen an Ressourcen werden in Echtzeit erkannt. So erhalten Sie die kontinuierliche Übersicht über Ihre Ressourcen und das Risikobewusstsein, das NIS2 in Ihrem gesamten Cloud- und Container-Bestand erfordert.

2. Behandlung von Vorfällen und Validierung der Erkennung

NIS2-Anforderung: Unternehmen müssen über Prozesse zur Bearbeitung von Vorfällen verfügen und in der Lage sein, schwerwiegende Vorfälle innerhalb definierter Zeitrahmen zu erkennen, zu analysieren und darauf zu reagieren.

Mildernde Mittel Überprüfung der Erkennung Mithilfe dieser Funktion können Unternehmen überprüfen, ob ihre SIEM-, SOC- und Erkennungstools tatsächlich Cloud-Angriffe abfangen, und zwar nicht nur theoretisch, sondern auch gegen real emulierte Angriffsszenarien. Dies entspricht direkt der Anforderung von NIS2, die Wirksamkeit von Sicherheitsmaßnahmen zu bewerten, und unterstützt die Fähigkeit, die Berichtsfenster von 24 und 72 Stunden einzuhalten, indem sichergestellt wird, dass Erkennungslücken geschlossen werden, bevor ein Vorfall eintritt.

3. Sicherheit in der Lieferkette und proaktive Risikovalidierung

NIS2-Anforderung: Unternehmen müssen sich mit Cybersicherheitsrisiken in ihren Lieferketten befassen und regelmäßig die Wirksamkeit ihrer Sicherheitsmaßnahmen überprüfen.

Mildernde Mittel Emulation von Cloud-Angriffen führt automatisierte, sichere Angriffsemulationen in Ihrer gesamten Cloud-Umgebung durch, um Sicherheitslücken aufzudecken, bevor Angreifer sie finden. Das ist der Validierung der gegnerischen Exposition (AEV) Ansatz, eine von Gartner definierte Kategorie, die Ihre Abwehrmechanismen kontinuierlich herausfordert, anstatt davon auszugehen, dass sie funktionieren. Für Unternehmen, die Cloud-basierte Dienste für ihre Kunden oder Partner anbieten, ist dies eine wichtige NIS2-Sicherheitskontrolle in der Lieferkette.

Erfahren Sie, wie Mitigant die Cloud-Sicherheitslage validierte 5x schneller für eine echte Unternehmensbereitstellung.

4. Kontinuierliche Einhaltung der Sicherheitsstandards

NIS2-Anforderung: Unternehmen müssen Richtlinien und Verfahren implementieren, um die Wirksamkeit von Sicherheitsmaßnahmen zu bewerten und sich an den relevanten Sicherheitsstandards zu orientieren.

Mildernde Mittel Kontinuierliche Einhaltung Diese Funktion ordnet die Steuerung der gesamten Cloud- und Kubernetes-Infrastruktur branchenspezifischen Frameworks wie ISO 27001, CIS-Benchmarks für AWS, Azure und Kubernetes, PCI-DSS, BSI C5 und NIS2 selbst zu und ermöglicht so eine kontinuierliche Bestandsbewertung statt Point-in-Time-Snapshots. Dies unterstützt sowohl die interne Steuerung als auch die Nachweispflicht externer Audits.

5. Geschäftskontinuität und Einsatzbereitschaft

NIS2-Anforderung: Unternehmen müssen ihre Kapazitäten zur Geschäftskontinuität aufrechterhalten und regelmäßig Übungen zur Reaktion auf Vorfälle durchführen, um sicherzustellen, dass sie effektiv auf Cybersicherheitsvorfälle reagieren können.

Mildernde Mittel Einsatzbereitschaft für Vorfälle Die Lösung ermöglicht es Sicherheitsteams, Cloud-spezifische Incident-Response-Übungen durchzuführen, Erkennungs- und Reaktionsplaybooks anhand realer Angriffsszenarien zu testen und Lücken zu identifizieren, bevor es zu einem tatsächlichen Vorfall kommt. Das Üben mit realistischen, emulierten Angriffen ist die einzig zuverlässige Methode, um sicherzustellen, dass Ihre Reaktionsprozesse den strengen Berichtsfenstern von NIS2 von 24 und 72 Stunden entsprechen.

Einen tieferen Einblick, wie die Emulation von Gegnern die Untersuchung von Cloud-Vorfällen unterstützt, finden Sie in unserem Blog: Nutzung der Emulation von Gegnern für effektive forensische Cloud-Analysen, gemeinsam mit Cado Security verfasst.

6. Kryptografie, Verschlüsselung und Validierung der Zugriffskontrolle

NIS2-Anforderung: Unternehmen müssen angemessene Richtlinien für Kryptografie, Verschlüsselung und Zugriffskontrolle für alle Systeme, einschließlich Cloud-Dienste und Containerumgebungen, implementieren und aufrechterhalten.

Mitigant erfüllt diese Anforderung sowohl auf Cloud- als auch auf Kubernetes-Ebenen. Auf der Cloud-Seite überprüft CSPM kontinuierlich, ob die Verschlüsselung für Speicher, Datenbanken und Dienste korrekt konfiguriert ist, und kennzeichnet unverschlüsselte RDS-Snapshots, S3-Buckets und EBS-Volumes. Die Cloud-Angriffsemulation geht noch einen Schritt weiter und überprüft aktiv, ob diese Kontrollen angegriffen werden. Dazu gehören Ransomware-Szenarien, die die Widerstandsfähigkeit von Backups und Verschlüsselungen testen, sowie auf RDS ausgerichtete Angriffe, die das Risiko von Datenbank-Snapshots untersuchen.

Auf der Kubernetes-Seite erkennt KSPM falsch konfigurierte Zugriffskontrollen, unsichere Workloads und Risiken der Rechteeskalation in Cluster-Umgebungen. Zusammen bieten diese Funktionen eine kontinuierliche, evidenzbasierte Sicherheit, dass Kryptografie und Zugriffskontrollen nicht nur konfiguriert sind, sondern auch funktionieren.

7. Cloud-Penetrationstests

NIS2-Anforderung: Unternehmen müssen die Wirksamkeit von Maßnahmen zum Cybersicherheitsrisikomanagement regelmäßig testen und bewerten.

Herkömmliche Cloud-Penetrationstests sind teuer, selten und langsam. Es ist keine praktikable NIS2-Compliance-Strategie, monatelang auf einen externen Auftrag zu warten, um zu bestätigen, wie Ihre Cloud-Umgebung heute aussieht. Schadensbegrenzende Cloud-Penetrationstests Eine Lösung ändert dies grundlegend.

Durch die Kombination kontinuierlicher CSPM-Ergebnisse mit On-Demand-Angriffsemulation liefert Mitigant strukturierte Pentest-Ergebnisse innerhalb von Minuten statt Monaten. Sicherheitsteams können Bedrohungen überprüfen, sobald sie erkannt werden, und zwar mit Mittlere Zeit bis zur Validierung von unter 5 Minuten. Das bedeutet, dass die Konformitätsnachweise immer aktuell sind und nicht sechs Monate veraltet sind.

Ein wichtiger Schwerpunkt sind IAM und die Eskalation von Privilegien. Falsch konfigurierte IAM-Berechtigungen gehören zu den am häufigsten ausgenutzten Angriffsvektoren in Cloud-Umgebungen und gehören zu den am häufigsten gemeldeten Problemen bei NIS2-Audits. Die Engine zur Rechteeskalation von Mitigant deckt 28 IAM-basierte Techniken ab, die realen Angriffspfaden zugeordnet sind, und testet, ob ein Angreifer von einem Einstiegspunkt mit niedrigen Rechten zu einer vollständigen Kompromittierung von Cloud-Konten übergehen könnte. Dadurch erhalten Sicherheitsteams und Auditoren konkrete, reproduzierbare Beweise dafür, ob die IAM-Kontrollen tatsächlich funktionieren.

Das Ergebnis ist eine Cloud-Pentest-Funktion, die kontinuierlich, Self-Service und direkt mit der Compliance-Berichterstattung verknüpft ist, ohne den Planungsaufwand, Verzögerungen oder Kosten herkömmlicher externer Aufträge.

‍