Passwork Blog

Latest — Jun 3, 2026

NIS2 aktuelle Nachrichten: Update zu Durchsetzung und Umsetzung Mai 2026

Bulgariens NIS2-Übergangsfrist endete am 1. Juni 2026 — Vorstandsmitglieder sind nun mit vollen persönlichen Bußgeldern konfrontiert, nicht mehr mit dem ermäßigten Satz von 50 %, der bis Mai galt. Luxemburgs NIS2-Richtlinien-Umsetzungsgesetz trat am 10. Mai 2026 in Kraft, womit vier Mitgliedstaaten noch ohne Umsetzungsgesetzgebung verbleiben. Die NIS-Kooperationsgruppe der EU hat gemeinsame Vorlagen für die Vorfallmeldung verabschiedet, die die Kommission durch einen Durchführungsrechtsakt verbindlich machen will.

Dieser Artikel behandelt alle wesentlichen NIS2-Updates vom Mai 2026: was sich geändert hat, welche Fristen aktuell gelten und worauf Ihr Team jetzt reagieren muss.

Wichtigste Erkenntnisse

Diese NIS2-Updates vom Mai 2026 bringen konkrete Compliance-Auslöser mit sich: spezifische Daten und spezifische Verpflichtungen. Hier ist, was sich geändert hat.

Bulgariens vollständiges Sanktionsregime ist aktiv. Ab dem 1. Juni 2026 gelten persönliche Bußgelder für Mitglieder von Leitungsorganen zu 100 % der gesetzlichen Beträge — bis zu 5.000 € pro Person, getrennt von Bußgeldern auf Unternehmensebene von bis zu 10 Millionen €. Der 50 %-Übergangsrabatt ist entfallen.
Luxemburgs NIS2-Gesetz trat am 10. Mai 2026 in Kraft. Betroffene Einrichtungen haben bis zum 10. Juli 2026 Zeit, sich beim ILR selbst zu registrieren. Eine Nichtregistrierung stellt bereits einen sanktionsfähigen Verstoß dar.
Vier EU-Mitgliedstaaten haben NIS2 noch nicht umgesetzt — mehr als 19 Monate nach der Frist vom Oktober 2024, laut dem Tracker von Cullen International vom Mai 2026.
Gemeinsame Vorlagen für die Vorfallmeldung wurden EU-weit verabschiedet. Die NIS-Kooperationsgruppe einigte sich auf standardisierte Formate bei ihrer 39. Plenarsitzung in Zypern am 26. Mai 2026. Ein Durchführungsrechtsakt der Kommission wird diese verbindlich machen.
Der NIS360 2026-Bericht von ENISA identifiziert acht Risikosektoren. Gesundheit, Eisenbahn, Seefahrt, ICT-Dienstleistungsmanagement, Raumfahrt, öffentliche Verwaltung, Trinkwasser und Abwasser weisen die niedrigste Cybersicherheitsreife im Verhältnis zu ihrer Kritikalität auf.
Die Niederlande haben ihr verzögertes Cyberbeveiligingswet vorangebracht. Die niederländische Zweite Kammer stimmte dem Gesetzentwurf am 15. April 2026 zu; die Zustimmung des Senats steht noch aus.
Irland bestätigte das National Cyber Security Bill als NIS2-Vehikel. Das Justizministerium erarbeitet die Gesetzgebung und verleiht dem NCSC eine gesetzliche Grundlage.
DigitalEurope forderte eine tiefere NIS2-Harmonisierung. Der Branchenverband veröffentlichte eine formelle Stellungnahme, die Anwendungsbereich, Größenschwellen, Vorfallmeldung und Konformitätsbewertung als die Bereiche mit dem größten Standardisierungsbedarf über die Mitgliedstaaten hinweg identifiziert.

Bulgariens vollständige Durchsetzungsphase begann am 1. Juni 2026

Bulgariens vollständige Durchsetzungsphase beginnt am 1. Juni 2026

Bulgariens NIS2-Durchsetzung ist am 1. Juni 2026 in ihre finale Phase eingetreten. Bußgelder und Sanktionen für alle Verstöße gelten nun in voller gesetzlicher Höhe — die 50 %-Ermäßigung für Verstöße vor diesem Datum ist entfallen.

Die zugrundeliegende Gesetzgebung ist das Gesetz zur Änderung und Ergänzung des Cybersicherheitsgesetzes, das von der 51. Nationalversammlung am 5. Februar 2026 verabschiedet und im Staatsanzeiger (Ausgabe 17) am 13. Februar 2026 verkündet wurde und am selben Tag in Kraft trat.

Wer ist betroffen

Das Cybersicherheitsgesetz erfasst öffentliche und private Einrichtungen in den Sektoren nach Anhang I und Anhang II, die die Schwellenwerte für mittlere Unternehmen erreichen oder überschreiten. Bestimmte Anbieter fallen unabhängig von ihrer Größe in den Anwendungsbereich: öffentliche elektronische Kommunikationsnetze, Vertrauensdiensteanbieter, Top-Level-Domain-Registrierungsstellen, DNS-Diensteanbieter, Einrichtungen, die der einzige Anbieter eines kritischen Dienstes in Bulgarien sind, oder deren Ausfall die öffentliche Ordnung, öffentliche Sicherheit oder Gesundheit oder die Wirtschaft erheblich beeinträchtigen würde.

Verwaltungsbehörden (einschließlich Gemeinden) werden gemäß Artikel 4a(1)(4) unabhängig von ihrer Größe als wesentliche Einrichtungen eingestuft.

Vollständige Durchsetzung ohne vollständiges Regelwerk

Eine praktische Komplikation bleibt bestehen. Das Gesetz delegiert die Definition von Mindestmaßnahmen für Cybersicherheit für bestimmte Einrichtungskategorien ausdrücklich an eine Sekundärverordnung des Ministerrats, die gemeinsam von der Kommission für Kommunikationsregulierung und dem Minister für E-Governance vorgeschlagen werden soll. Diese Verordnung wurde noch nicht veröffentlicht. Organisationen traten in die vollständige Durchsetzungsphase ein, ohne das vollständige operative Regelwerk, das das Gesetz selbst vorgesehen hatte.

Das setzt die Verpflichtungen nicht aus. Das Primärgesetz ist in Kraft, Sanktionen sind real. Eine Gap-Analyse gegen das bestehende NIS2-Framework ist jetzt sowohl möglich als auch ratsam, bevor der aufsichtliche Druck zunimmt. ISO/IEC 27001 und ISO 22301 bieten eine praktikable Grundlage neben den Anforderungen des Cybersicherheitsgesetzes.

Was Leitungsorgane nun nachweisen müssen

Bulgariens Cybersicherheitsgesetz legt eine ausdrückliche persönliche Verantwortlichkeit auf einzelne Mitglieder von Leitungsorganen, nicht nur auf die Organisation als juristische Person. Leitungsorgane müssen:

Die nach Artikel 21 erforderlichen Maßnahmen zum Cybersicherheits-Risikomanagement formell genehmigen
Die Umsetzung dieser Maßnahmen überwachen
Mindestens alle zwei Jahre eine Cybersicherheitsschulung absolvieren
Regelmäßig gleichwertige Schulungen für Mitarbeiter organisieren

Die Maßnahmen, die Vorstände genehmigen müssen, umfassen Risikoanalyse und Informationssicherheitsrichtlinien, Vorfallbehandlung, Geschäftskontinuität und Krisenmanagement, Lieferkettensicherheit, Cyberhygiene-Praktiken und Multi-Faktor-Authentifizierung, wo angemessen.

Die Struktur persönlicher Bußgelder

Wenn ein Mitglied des Leitungsorgans einer wesentlichen oder wichtigen Einrichtung gegen diese Governance-Pflichten verstößt, kann ein persönliches Bußgeld von 500 € bis 5.000 € verhängt werden. Dies ist getrennt von Sanktionen auf Unternehmensebene und kumuliert sich zu diesen: bis zu 10 Millionen € oder 2 % des weltweiten Umsatzes für wesentliche Einrichtungen und bis zu 7 Millionen € oder 1,4 % für wichtige Einrichtungen.

Die zuständige nationale Behörde kann auch bei Gericht beantragen, dass einer natürlichen Person vorübergehend die Ausübung von Leitungsfunktionen in einer wesentlichen Einrichtung untersagt wird.

Die praktische Konsequenz: Ein Vorstandsmitglied kann sich nicht durch Delegation aus der Haftung befreien. Ob ein Bußgeld verhängt wird und wie schwer es ausfällt, hängt von der Fähigkeit der Person ab, konkrete Handlungen nachzuweisen — Vorstandsbeschlüsse, verabschiedete Richtlinien, Auditprotokolle, zugewiesene Verantwortlichkeiten, absolvierte Schulungen und dokumentierte Korrekturmaßnahmen.

Quelle: Bulgarischer Staatsanzeiger, 2026; Capital.bg, 2026

EU-weit: Gemeinsame Vorlagen für die Vorfallmeldung verabschiedet

Am 26. Mai 2026 verabschiedete die NIS-Kooperationsgruppe bei ihrer 39. Plenarsitzung in Zypern gemeinsame Vorlagen für die NIS2-Vorfallmeldung. Die Gruppe bringt EU-Mitgliedstaaten, die Europäische Kommission und ENISA zusammen.

Die Vorlagen bieten ein standardisiertes Format für die Meldung von Cybervorfällen in der gesamten EU. Bis jetzt bedeutete das Fehlen eines gemeinsamen Formats, dass Organisationen, die in mehreren Mitgliedstaaten tätig sind, mit unterschiedlichen nationalen Meldeformularen, Feldsätzen und Einreichungsportalen umgehen mussten — eine erhebliche administrative Belastung für jeden grenzüberschreitenden Betrieb.

Die Kommission hat erklärt, dass sie plant, diese Vorlagen durch einen Durchführungsrechtsakt zu verabschieden, wodurch sie für alle Mitgliedstaaten verbindlich würden. Sobald dieser Rechtsakt in Kraft ist, werden die Vorlagen einen einheitlichen Rahmen für die Vorfallmeldung in der gesamten EU etablieren.

Diese Entwicklung steht auch im Zusammenhang mit dem breiteren Digital-Omnibus-Vorschlag, der einen einzigen Zugangspunkt für die Vorfallmeldung vorsieht. Die gemeinsamen Vorlagen sind darauf ausgelegt, mit dieser zukünftigen Architektur übereinzustimmen.

Was das für Ihren Incident-Response-Prozess bedeutet: Wenn Ihr Team Benachrichtigungs-Workflows um das aktuelle Formular eines bestimmten Mitgliedstaats herum aufgebaut hat, ist damit zu rechnen, dass diese Workflows aktualisiert werden müssen, sobald der Durchführungsrechtsakt veröffentlicht wird. Die grundlegenden NIS2-Compliance-Zeitvorgaben gemäß Artikel 23 (24-Stunden-Frühwarnung, 72-Stunden-Vorfallmeldung, Ein-Monats-Abschlussbericht) ändern sich nicht. Das Format für deren Einreichung jedoch schon.

Quelle: Europäische Kommission, 2026

ENISA NIS360 2026: Acht Sektoren noch in der Risikozone

ENISA veröffentlichte die dritte Ausgabe ihres NIS360-Berichts am 28. Mai 2026. Der Bericht bewertet die Cybersicherheitsreife und Kritikalität in allen Sektoren von hoher Kritikalität, die in Anhang I von NIS2 aufgeführt sind.

Die Bewertung 2026 umfasst das gesamte Ökosystem jedes Sektors (nationale Behörden, regulierte Einrichtungen und anwendbare EU-Gesetzgebung) anstatt einzelner Organisationen. Sie identifiziert Sektoren, in denen sich die Reife verbessert hat, und Sektoren, in denen die Lücke zwischen Kritikalität und tatsächlicher Sicherheitslage noch groß ist.

Acht Sektoren werden als Risikozonen identifiziert: Gesundheit, Eisenbahn, Seefahrt, ICT-Dienstleistungsmanagement, Raumfahrt, öffentliche Verwaltung, Trinkwasser und Abwasser. Dies sind Sektoren, in denen die Folgen eines erfolgreichen Angriffs schwerwiegend sind, aber das Sicherheitsniveau im gesamten Sektor unter dem bleibt, was das Bedrohungsniveau erfordert.

Für IT- und Sicherheitsverantwortliche in diesen Sektoren ist die NIS360-Bewertung ein nützlicher Benchmark. Wenn Ihr Sektor auf der Risikozonenliste erscheint, ist mit erhöhter aufsichtlicher Aufmerksamkeit seitens der nationalen zuständigen Behörden zu rechnen — nicht weil der Bericht direkt eine Durchsetzung auslöst, sondern weil Regulierungsbehörden sektorale Reifedaten nutzen, um ihre Audit- und Inspektionskalender zu priorisieren.

Quelle: ENISA, 2026

Luxemburg: NIS2-Gesetz in Kraft, Registrierungsfrist ist der 10. Juli 2026

Luxemburg veröffentlichte sein NIS2-Umsetzungsgesetz am 6. Mai 2026 im Journal officiel du Grand-Duché de Luxembourg. Das Gesetz trat am 10. Mai 2026 in Kraft und ersetzt das NIS1-Gesetz vom 28. Mai 2019.

Wer ist betroffen

NIS2 gilt in Luxemburg für Organisationen mit 50 oder mehr Mitarbeitern oder einem Jahresumsatz von über 10 Millionen €, die in einem von 18 kritischen Sektoren tätig sind. Größenschwellen werden auf konsolidierter Konzernebene bewertet: Eine Tochtergesellschaft mit 40 Mitarbeitern kann dennoch betroffen sein, wenn der Mutterkonzern die Schwellenwerte überschreitet.

Die zweistufige Struktur

Wesentliche Einrichtungen — große Organisationen in Anhang-I-Sektoren mit mehr als 250 Mitarbeitern und entweder 50 Millionen € Umsatz oder 43 Millionen € Bilanzsumme — unterliegen proaktiver Aufsicht und Sanktionen von bis zu 10 Millionen € oder 2 % des weltweiten Umsatzes. Wichtige Einrichtungen — mittelgroße Anhang-I-Organisationen und alle qualifizierenden Anhang-II-Einrichtungen — unterliegen reaktiver Aufsicht und Sanktionen von bis zu 7 Millionen € oder 1,4 % des weltweiten Umsatzes.

Beide Stufen müssen dieselben zehn Maßnahmenkategorien gemäß Artikel 12 umsetzen: Risikoanalyse, Vorfallbehandlung, Geschäftskontinuität, Lieferkettensicherheit, sichere Entwicklung, Wirksamkeitsbewertung, Cyberhygiene, Kryptografie, Zugangskontrolle und Multi-Faktor-Authentifizierung.

Zeitrahmen für die Vorfallmeldung

Luxemburg folgt exakt der Struktur von NIS2 Artikel 23: 24-Stunden-Frühwarnung, 72-Stunden-formelle Meldung, Ein-Monats-Abschlussbericht. Das Versäumen einer Frist ist selbst ein sanktionsfähiger Verstoß.

Die Selbstregistrierungsfrist am 10. Juli 2026

Einrichtungen haben bis zum 10. Juli 2026 Zeit, sich bei ihrer zuständigen Behörde selbst zu registrieren. Das ILR (Institut Luxembourgeois de Régulation) fungiert als zuständige Behörde für die meisten Sektoren; die CSSF überwacht das Bank- und Finanzmarktinfrastrukturwesen. Nichtregistrierung ist ein sanktionsfähiger Verstoß gemäß Artikel 11.

Leitungsorgane müssen Cybersicherheitsmaßnahmen formell genehmigen, deren Umsetzung überwachen und regelmäßige Schulungen absolvieren. Für wesentliche Einrichtungen können leitende Führungskräfte bei schwerwiegenden Versäumnissen mit einem vorübergehenden Verbot der Ausübung von Leitungsfunktionen belegt werden.

Quelle: Journal officiel du Grand-Duché de Luxembourg, 2026

Niederlande: Cyberbeveiligingswet erreicht Senats-Plenarphase

Die niederländische Zweite Kammer stimmte dem Cyberbeveiligingswet (dem niederländischen NIS2-Umsetzungsgesetz) am 15. April 2026 mit 140 zu 10 Stimmen zu. Der Gesetzentwurf ist nun in die Senats-Plenarphase vorgerückt.

Stand des Gesetzentwurfs

Die Tweede Kamer verabschiedete den Gesetzentwurf mit breiter fraktionsübergreifender Unterstützung; nur zwei Parteien stimmten dagegen. Die für Digitalisierung und Justiz zuständigen Senatsausschüsse schlossen ihre schriftliche Prüfung am 19. Mai 2026 ab. Der Gesetzentwurf ist seitdem in die Senats-Plenarphase übergegangen, wo er auf eine Schlussabstimmung wartet.

Der Gesetzentwurf wird parallel zu separater Gesetzgebung zur Umsetzung der EU-CER-Richtlinie zur Resilienz kritischer Einrichtungen bearbeitet.

Hintergrund

Die Niederlande reichten den Gesetzentwurf am 2. Juni 2025 beim Parlament ein und verfehlten damit die EU-Umsetzungsfrist vom 17. Oktober 2024 um über ein Jahr. Der Gesetzentwurf verbrachte fast zehn Monate im Verfahren der Zweiten Kammer, bevor er verabschiedet wurde.

Zentrale Bestimmungen

Anstatt eine einzige nationale Cybersicherheitsbehörde zu schaffen, überträgt das Gesetz die Durchsetzung auf bestehende sektorspezifische Regulierungsbehörden — die Energieregulierungsbehörde für Energieunternehmen, die Gesundheitsregulierungsbehörde für Krankenhäuser und so weiter. Das genaue Datum des Inkrafttretens des Gesetzes wird nach der Senatszustimmung per Regierungserlass festgelegt, und verschiedene Bestimmungen können zu unterschiedlichen Zeitpunkten in Kraft treten.

Was als Nächstes kommt

Die Senatszustimmung ist der letzte legislative Schritt. Sobald die Abstimmung erfolgt ist und die Regierung ein Datum des Inkrafttretens festlegt, werden betroffene Organisationen mit sofortigen Compliance-Verpflichtungen konfrontiert — Risikomanagementmaßnahmen, Vorfallmeldung und Anforderungen an die Verantwortlichkeit des Managements.

Quellen: Eerste Kamer, wetsvoorstel 36764; Tweede Kamer, wetsvoorstel 36764

Irland: National Cyber Security Bill als NIS2-Vehikel bestätigt

In einer schriftlichen parlamentarischen Antwort an das Dáil Éireann (das Unterhaus des irischen Parlaments) am 13. Mai 2026 bestätigte Irlands Minister für Justiz, Inneres und Migration, dass das Justizministerium das National Cyber Security Bill als gesetzliches Vehikel für die NIS2-Umsetzung erarbeitet.

Das Gesetz ist als Priorität für die Veröffentlichung im Gesetzgebungsprogramm Sommer 2026 aufgeführt. Es wird das National Cyber Security Centre (NCSC) als nationale zuständige Behörde und als Irlands Computer Security Incident Response Team (CSIRT) benennen. Es wird das NCSC auch erstmals auf eine gesetzliche Grundlage stellen — das Zentrum arbeitet derzeit ohne eine eigene legislative Basis.

Irland verfehlte die EU-Umsetzungsfrist vom 17. Oktober 2024. Eine Kabinettsentscheidung im Juli 2024 wies die vorrangige Erarbeitung der Gesetzgebung an, und die Arbeiten sind seitdem im Gange. Der Gesetzesentwurf wurde noch nicht veröffentlicht, aber die Regierung veröffentlichte im September 2024 das General Scheme des National Cyber Security Bill, das dessen beabsichtigte Struktur darlegt.

Managementhaftung

Gemäß NIS2 Artikel 20, wie in Head 28 des General Scheme widergespiegelt, müssen Leitungsgremien Cybersicherheits-Risikomanagementmaßnahmen genehmigen und überwachen, regelmäßige Cybersicherheitsschulungen absolvieren und können bei Compliance-Versäumnissen persönlich haftbar gemacht werden — einschließlich vorübergehender Verbote und Verwaltungsbußgelder. Das General Scheme definiert „Leitungsgremium" als „ein Gremium oder eine Gruppe von Einzelpersonen, die mit der Befugnis und Verantwortung für die Aufsicht, Leitung und Kontrolle einer Einrichtung betraut sind".

Sektorregulierungsbehörden bereits aktiv

Sektorregulierungsbehörden wurden bereits als Nationale Zuständige Behörden benannt und bereiten sich darauf vor, Aufsichts- und Durchsetzungsfunktionen zu übernehmen. Die NIS2-Registrierungs- und Vorfallmeldeportale sind noch nicht live — sie werden nach Inkrafttreten der Gesetzgebung eröffnet — aber das NCSC hat Entwürfe von Leitlinien zu Risikomanagementmaßnahmen und das Cyber Fundamentals (CyFun) Framework veröffentlicht, um Organisationen bei der Vorbereitung in der Zwischenzeit zu unterstützen.

Das Gesetz wird auch parallel zur dritten nationalen Cybersicherheitsstrategie Irlands entwickelt, koordiniert durch ein interministerielles Komitee unter dem Vorsitz des Justizministeriums.

Für Organisationen mit irischen Niederlassungen bedeutet das Fehlen einer erlassenen Gesetzgebung nicht, dass die Vorbereitungspflicht entfällt. Sektorale NCAs sind bereits aktiv, und der Erlass des Gesetzes wird als Regierungspriorität bezeichnet.

Quelle: Oireachtas, schriftliche Antwort, Mai 2026; NCSC Ireland, Juni 2025

DigitalEurope: NIS2 braucht noch tiefere Harmonisierung

Am 13. Mai 2026 veröffentlichte DigitalEurope eine formelle Stellungnahme zum EU-Cybersicherheitspaket, das den vorgeschlagenen Cybersecurity Act 2 (CSA2), das ICT-Lieferkettensicherheits-Framework und gezielte NIS2-Änderungen umfasst.

Speziell zu NIS2 ist DigitalEuropes Position direkt: Die im aktuellen Paket vorgeschlagenen gezielten Änderungen reagieren „minimal" auf die Bedenken, die die Industrie seit mehreren Jahren geäußert hat. Die Bereiche, die eine strengere Harmonisierung erfordern, sind:

Anwendungsbereich: NIS2 sollte sich nur auf Kerngeschäftsaktivitäten konzentrieren und Nebentätigkeiten ausschließen, die unverhältnismäßige Verpflichtungen schaffen.
Größenschwellen: Nationale Unterschiede in der Anwendung der Schwellenwerte führen zu inkonsistenter Abdeckung über die Mitgliedstaaten hinweg.
Vorfallmeldung: Meldefelder, Zeitrahmen und Einreichungsprozesse variieren noch auf nationaler Ebene — ein Problem, das die gemeinsamen Vorlagen (siehe oben) teilweise angehen.
Regelungen zur Hauptniederlassung: Organisationen, die in mehreren Mitgliedstaaten tätig sind, sind mit Unsicherheit darüber konfrontiert, welche nationale Behörde die primäre Zuständigkeit hat.
Konformitätsbewertung: Die Anforderungen unterscheiden sich je nach Mitgliedstaat, was Compliance-Komplexität für grenzüberschreitende Operationen schafft.

DigitalEurope forderte außerdem, dass ENISA Folgenabschätzungen für alle relevanten EU-Cybersicherheitsgesetze durchführt und die Umsetzung aktiver koordiniert — um die Agentur als Koordinierungszentrum zu positionieren, anstatt als rein beratende Stelle.

Für Compliance-Verantwortliche, die den regulatorischen Verlauf verfolgen: Die von DigitalEurope identifizierten Harmonisierungslücken sind echte operative Reibungspunkte. Die am 26. Mai verabschiedeten gemeinsamen Vorlagen für die Vorfallmeldung sind ein Schritt zur Schließung einer davon. Die anderen erfordern entweder die Durchführungsrechtsakte oder das NIS2-Änderungsverfahren zur Lösung.

Quelle: DigitalEurope, Mai 2026

Was das jetzt für Ihr Team bedeutet

Die Entwicklungen vom Mai 2026 folgen einem Muster, das seit Beginn der Durchsetzung konsistent ist: Der Text der Richtlinie ist stabil, aber die nationale Umsetzungsebene bewegt sich weiter. Bulgariens vollständige Sanktionsphase, Luxemburgs live geltende Registrierungsfrist und die ausstehende Senatsabstimmung in den Niederlanden stellen alle konkrete Compliance-Auslöser dar, jeweils mit einem nun festgelegten spezifischen Datum.

Die gemeinsamen Vorlagen für die Vorfallmeldung sind die operativ bedeutsamste EU-weite Entwicklung des Zeitraums. Sobald der Durchführungsrechtsakt der Kommission veröffentlicht wird, muss der Workflow für Vorfallmeldungen jeder Organisation aktualisiert werden, um dem standardisierten Format zu entsprechen. Planen Sie diese Aktualisierung jetzt in Ihre Incident-Response-Planung ein, bevor Sie ein tatsächlicher Vorfall dazu zwingt, dies unter Druck zu tun.

Die ENISA NIS360-Risikozonenliste ist es wert, ernst genommen zu werden, wenn Ihre Organisation im Gesundheitswesen, in der öffentlichen Verwaltung oder in einem der anderen markierten Sektoren tätig ist. Aufsichtliche Aufmerksamkeit folgt Reifelücken — und ENISAs Bewertung fließt direkt in die Priorisierung der Audit-Kalender der nationalen zuständigen Behörden ein.

Häufig gestellte Fragen

Was ist im Mai 2026 mit NIS2 passiert?

Im Mai 2026 gab es vier bedeutende NIS2-Entwicklungen: Luxemburgs Umsetzungsgesetz trat am 10. Mai in Kraft; die NIS-Kooperationsgruppe verabschiedete am 26. Mai gemeinsame Vorlagen für die Vorfallmeldung; ENISA veröffentlichte am 28. Mai die NIS360 2026-Sektorreifebewertung; und die Niederlande brachten ihr Cyberbeveiligingswet durch die Zweite Kammer. Bulgariens vollständige Sanktionsphase begann am 1. Juni 2026, direkt nach dem Mai-Zeitraum.

Was ist die Luxemburger NIS2-Selbstregistrierungsfrist?

Luxemburgs NIS2-Umsetzungsgesetz, das am 10. Mai 2026 in Kraft trat, verlangt von allen betroffenen Einrichtungen, sich bis zum 10. Juli 2026 bei ihrer zuständigen Behörde selbst zu registrieren. Das ILR (Institut Luxembourgeois de Régulation) ist die primäre zuständige Behörde. Nichtregistrierung ist ein sanktionsfähiger Verstoß gemäß Artikel 11 des Umsetzungsgesetzes.

Was sind die neuen NIS2-Vorlagen für die Vorfallmeldung?

Am 26. Mai 2026 verabschiedete die NIS-Kooperationsgruppe bei ihrer 39. Plenarsitzung in Zypern gemeinsame Vorlagen für die NIS2-Vorfallmeldung. Die Vorlagen bieten ein standardisiertes Format für die Meldung von Cybervorfällen in allen EU-Mitgliedstaaten. Die Europäische Kommission plant, diese durch einen Durchführungsrechtsakt verbindlich zu machen. Die zugrundeliegenden Zeitrahmen gemäß NIS2 Artikel 23 — 24-Stunden-Frühwarnung, 72-Stunden-Meldung, Ein-Monats-Abschlussbericht — bleiben unverändert.

Welche Sektoren identifiziert ENISAs NIS360 2026 als höchstes Risiko?

Der NIS360 2026-Bericht von ENISA, veröffentlicht am 28. Mai 2026, identifiziert acht Sektoren als Risikozonen, in denen die Cybersicherheitsreife im Verhältnis zur Kritikalität niedrig bleibt: Gesundheit, Eisenbahn, Seefahrt, ICT-Dienstleistungsmanagement, Raumfahrt, öffentliche Verwaltung, Trinkwasser und Abwasser. Dies sind alles Anhang-I-Sektoren unter NIS2 und unterliegen als wesentliche Einrichtungen proaktiver Aufsicht.

Was sind die persönlichen Haftungsregeln für Manager unter Bulgariens NIS2?

Gemäß Bulgariens geändertem Cybersicherheitsgesetz drohen Mitgliedern des Leitungsorgans wesentlicher und wichtiger Einrichtungen persönliche Bußgelder von 500 € bis 5.000 € bei Verstoß gegen ihre Governance-Pflichten — getrennt von Bußgeldern auf Unternehmensebene. Ab dem 1. Juni 2026 gelten diese Bußgelder in voller gesetzlicher Höhe; der 50 %-Übergangsrabatt, der für Verstöße vor Juni galt, existiert nicht mehr. Die zuständige Behörde kann auch ein gerichtlich angeordnetes vorübergehendes Verbot der Ausübung von Leitungsfunktionen für einen Manager beantragen.

Wie viele EU-Mitgliedstaaten haben NIS2 umgesetzt?

Bis Ende Mai 2026 haben 23 von 27 EU-Mitgliedstaaten NIS2 in nationales Recht umgesetzt, laut dem Tracker von Cullen International vom Mai 2026. Luxemburgs Umsetzung trat am 10. Mai 2026 in Kraft und brachte die Gesamtzahl auf 23. Vier Mitgliedstaaten befinden sich noch im Gesetzgebungsprozess, mehr als 19 Monate nach der Umsetzungsfrist vom Oktober 2024.

Was ist das niederländische Cyberbeveiligingswet?

Das Cyberbeveiligingswet ist die nationale Gesetzgebung der Niederlande zur Umsetzung von NIS2. Die niederländische Zweite Kammer stimmte dem Gesetzentwurf 2026 zu, nachdem die Niederlande die ursprüngliche EU-Umsetzungsfrist vom Oktober 2024 verpasst hatten. Der Gesetzentwurf erfordert noch die Senatszustimmung, bevor er in Kraft treten kann. Das niederländische Modell verwendet eine dezentralisierte Aufsichtsstruktur, bei der sektorspezifische Regulierungsbehörden die Durchsetzung übernehmen.

NIS2 aktuelle Neuigkeiten: Umsetzungs-Update Mai 2026

Compliance & regulations

Jun 3, 2026 — 17 min read

Últimas noticias de NIS2: actualización de aplicación e implementación de mayo de 2026

El período de gracia de NIS2 en Bulgaria finalizó el 1 de junio de 2026 — los miembros del consejo de administración ahora enfrentan multas personales completas, no la tasa reducida del 50% que se aplicaba hasta mayo. La ley de transposición de la Directiva NIS2 de Luxemburgo entró en vigor el 10 de mayo de 2026, dejando a cuatro estados miembros todavía sin legislación de implementación. El Grupo de Cooperación NIS de la UE adoptó plantillas comunes de notificación de incidentes que la Comisión tiene previsto hacer obligatorias mediante un acto de ejecución.

Este artículo cubre todas las actualizaciones importantes de NIS2 de mayo de 2026: qué cambió, qué plazos están vigentes y qué debe hacer su equipo ahora.

Puntos clave

Estas actualizaciones de NIS2 de mayo de 2026 conllevan desencadenantes concretos de cumplimiento: fechas específicas y obligaciones específicas. Esto es lo que cambió.

El régimen de sanciones completo de Bulgaria está activo. Desde el 1 de junio de 2026, las multas personales para los miembros del órgano de dirección se aplican al 100% de los importes legales — hasta 5.000 € por individuo, separadas de las multas a nivel de entidad de hasta 10 millones de €. El descuento transitorio del 50% ha desaparecido.
La ley NIS2 de Luxemburgo entró en vigor el 10 de mayo de 2026. Las entidades dentro del ámbito de aplicación tienen hasta el 10 de julio de 2026 para autoregistrarse en el ILR. El no registro es en sí mismo una infracción sancionable.
Cuatro estados miembros de la UE aún no han transpuesto NIS2 — más de 19 meses después del plazo de octubre de 2024, según el rastreador de mayo de 2026 de Cullen International.
Se adoptaron plantillas comunes de notificación de incidentes en toda la UE. El Grupo de Cooperación NIS acordó formatos estandarizados en su 39ª reunión plenaria en Chipre el 26 de mayo de 2026. Un acto de ejecución de la Comisión las hará obligatorias.
El informe NIS360 2026 de ENISA identifica ocho sectores en zona de riesgo. Salud, ferrocarril, marítimo, gestión de servicios TIC, espacio, administración pública, agua potable y aguas residuales muestran la madurez en ciberseguridad más baja en relación con su criticidad.
Los Países Bajos avanzaron en su retrasada Cyberbeveiligingswet. La Cámara de Representantes neerlandesa aprobó el proyecto de ley el 15 de abril de 2026; la aprobación del Senado aún está pendiente.
Irlanda confirmó el proyecto de ley de Seguridad Cibernética Nacional como su vehículo NIS2. El Departamento de Justicia está redactando la legislación y estableciendo al NCSC sobre una base estatutaria.
DigitalEurope pidió una armonización más profunda de NIS2. El organismo de la industria publicó una posición formal identificando el ámbito de aplicación, los umbrales de tamaño, la notificación de incidentes y la evaluación de conformidad como las áreas que más necesitan estandarización entre los estados miembros.

La fase de aplicación completa de Bulgaria comenzó el 1 de junio de 2026

La fase de aplicación completa de Bulgaria comienza el 1 de junio de 2026

La aplicación de NIS2 en Bulgaria entró en su fase final el 1 de junio de 2026. Las multas y sanciones por todas las infracciones ahora se aplican en sus importes legales completos — la reducción del 50% que se aplicaba a las violaciones cometidas antes de esa fecha ha desaparecido.

La legislación subyacente es la Ley de Modificación y Complemento de la Ley de Ciberseguridad, adoptada por la 51ª Asamblea Nacional el 5 de febrero de 2026 y promulgada en el Boletín Oficial del Estado (número 17) el 13 de febrero de 2026, entrando en vigor en la misma fecha.

Quién está dentro del ámbito de aplicación

La Ley de Ciberseguridad cubre a entidades públicas y privadas en sectores del Anexo I y Anexo II que cumplen o superan los umbrales de mediana empresa. Ciertos proveedores están dentro del ámbito independientemente del tamaño: redes públicas de comunicaciones electrónicas, proveedores de servicios de confianza, registros de dominios de nivel superior, proveedores de servicios DNS, entidades que son el único proveedor de un servicio crítico en Bulgaria, o cuya interrupción afectaría significativamente al orden público, la seguridad pública o la salud, o la economía.

Los organismos administrativos (incluidos los municipios) se clasifican como entidades esenciales según el Artículo 4a(1)(4), independientemente del tamaño.

Aplicación completa sin un reglamento completo

Queda una complicación práctica. La ley delega explícitamente la definición de medidas mínimas de ciberseguridad para ciertas categorías de entidades a una ordenanza secundaria del Consejo de Ministros, que será propuesta conjuntamente por la Comisión de Regulación de Comunicaciones y el Ministro de Gobernanza Electrónica. Esa ordenanza aún no se ha publicado. Las organizaciones entraron en la fase de aplicación completa sin el reglamento operativo completo que la propia ley anticipaba.

Esto no suspende las obligaciones. La ley principal está en vigor, las sanciones son reales. El análisis de brechas contra el marco NIS2 existente es posible y aconsejable ahora, antes de que aumente la presión supervisora. ISO/IEC 27001 e ISO 22301 proporcionan una base de referencia viable junto con los requisitos de la Ley de Ciberseguridad.

Lo que los órganos de dirección deben demostrar ahora

La Ley de Ciberseguridad de Bulgaria establece una responsabilidad personal explícita para los miembros individuales de los órganos de dirección, no solo para la organización como entidad legal. Los órganos de dirección deben:

Aprobar formalmente las medidas de gestión de riesgos de ciberseguridad requeridas según el Artículo 21
Supervisar la implementación de dichas medidas
Completar formación en ciberseguridad al menos cada dos años
Organizar formación equivalente para los empleados de forma regular

Las medidas que los consejos deben aprobar cubren el análisis de riesgos y las políticas de seguridad de la información, la gestión de incidentes, la continuidad del negocio y la gestión de crisis, la seguridad de la cadena de suministro, las prácticas de higiene cibernética y la autenticación multifactor cuando sea apropiado.

La estructura de multas personales

Cuando un miembro del órgano de dirección de una entidad esencial o importante incumple estas obligaciones de gobernanza, puede imponerse una multa personal de 500 € a 5.000 €. Esto es independiente de las sanciones a nivel de entidad y se suma a ellas: hasta 10 millones de € o el 2% de la facturación global para entidades esenciales, y hasta 7 millones de € o el 1,4% para entidades importantes.

La autoridad nacional competente también puede solicitar a un tribunal que imponga una prohibición temporal a una persona física para ejercer funciones de dirección en una entidad esencial.

La implicación práctica: un miembro del consejo no puede delegar su responsabilidad. Si se impone una multa, y su gravedad, dependerá de la capacidad del individuo para demostrar acciones tangibles — resoluciones del consejo, políticas adoptadas, protocolos de auditoría, responsabilidades asignadas, formación completada y medidas correctivas documentadas.

Fuente: Boletín Oficial del Estado de Bulgaria, 2026; Capital.bg, 2026

A nivel de la UE: Se adoptan plantillas comunes de notificación de incidentes

El 26 de mayo de 2026, el Grupo de Cooperación NIS adoptó plantillas comunes para la notificación de incidentes NIS2 en su 39ª reunión plenaria en Chipre. El Grupo reúne a los estados miembros de la UE, la Comisión Europea y ENISA.

Las plantillas proporcionan un formato estandarizado para notificar incidentes cibernéticos en toda la UE. Hasta ahora, la ausencia de un formato común significaba que las organizaciones que operaban en múltiples estados miembros tenían que navegar por diferentes formularios de notificación nacionales, conjuntos de campos y portales de envío — una carga administrativa significativa para cualquier operación transfronteriza.

La Comisión ha declarado que planea adoptar estas plantillas mediante un acto de ejecución, lo que las haría obligatorias para todos los estados miembros. Una vez que ese acto entre en vigor, las plantillas establecerán un marco unificado de notificación de incidentes en toda la UE.

Este desarrollo también se conecta con la propuesta más amplia del Digital Omnibus, que incluye un punto único de entrada para la notificación de incidentes. Las plantillas comunes están diseñadas para alinearse con esa arquitectura futura.

Lo que esto significa para su proceso de respuesta a incidentes: Si su equipo ha construido flujos de trabajo de notificación en torno al formulario actual de un estado miembro específico, espere que esos flujos de trabajo se actualicen una vez que se publique el acto de ejecución. Las obligaciones básicas del cronograma de cumplimiento de NIS2 según el Artículo 23 (alerta temprana de 24 horas, notificación de incidentes de 72 horas, informe final de un mes) no cambian. El formato para presentarlas sí cambia.

Fuente: Comisión Europea, 2026

ENISA NIS360 2026: Ocho sectores todavía en la zona de riesgo

ENISA publicó la tercera edición de su informe NIS360 el 28 de mayo de 2026. El informe evalúa la madurez en ciberseguridad y la criticidad en todos los sectores de alta criticidad enumerados en el Anexo I de NIS2.

La evaluación de 2026 cubre el ecosistema completo de cada sector (autoridades nacionales, entidades reguladas y legislación de la UE aplicable) en lugar de organizaciones individuales. Identifica sectores donde la madurez ha mejorado y sectores donde la brecha entre la criticidad y la postura de seguridad real sigue siendo amplia.

Ocho sectores se identifican como zonas de riesgo: salud, ferrocarril, marítimo, gestión de servicios TIC, espacio, administración pública, agua potable y aguas residuales. Estos son sectores donde las consecuencias de un ataque exitoso son graves, pero donde la línea base de seguridad en todo el sector permanece por debajo de lo que exige el nivel de amenaza.

Para los líderes de TI y seguridad en estos sectores, la evaluación NIS360 es un punto de referencia útil. Si su sector aparece en la lista de zonas de riesgo, espere una mayor atención supervisora de las autoridades nacionales competentes — no porque el informe desencadene directamente la aplicación, sino porque los reguladores utilizan los datos de madurez sectorial para priorizar sus calendarios de auditoría e inspección.

Fuente: ENISA, 2026

Luxemburgo: Ley NIS2 en vigor, el plazo de registro es el 10 de julio de 2026

Luxemburgo publicó su ley de transposición NIS2 el 6 de mayo de 2026 en el Journal officiel du Grand-Duché de Luxembourg. La ley entró en vigor el 10 de mayo de 2026, reemplazando la ley NIS1 del 28 de mayo de 2019.

Quién está dentro del ámbito de aplicación

NIS2 se aplica en Luxemburgo a organizaciones con 50 o más empleados o una facturación anual superior a 10 millones de €, que operan en uno de los 18 sectores críticos. Los umbrales de tamaño se evalúan a nivel de grupo consolidado: una filial con 40 empleados puede estar dentro del ámbito si el grupo matriz supera los umbrales.

La estructura de dos niveles

Las entidades esenciales — grandes organizaciones en sectores del Anexo I con más de 250 empleados y ya sea 50 millones de € en facturación o 43 millones de € en balance — están sujetas a supervisión proactiva y sanciones de hasta 10 millones de € o el 2% de la facturación global. Las entidades importantes — organizaciones medianas del Anexo I y todas las entidades cualificadas del Anexo II — están sujetas a supervisión reactiva y sanciones de hasta 7 millones de € o el 1,4% de la facturación global.

Ambos niveles deben implementar las mismas diez categorías de medidas según el Artículo 12: análisis de riesgos, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, desarrollo seguro, evaluación de la eficacia, higiene cibernética, criptografía, control de acceso y autenticación multifactor.

Plazos de notificación de incidentes

Luxemburgo sigue exactamente la estructura del Artículo 23 de NIS2: alerta temprana de 24 horas, notificación formal de 72 horas, informe final de un mes. Incumplir cualquier plazo es en sí mismo una infracción sancionable.

El plazo de autoregistro del 10 de julio de 2026

Las entidades tienen hasta el 10 de julio de 2026 para autoregistrarse ante su autoridad competente. El ILR (Institut Luxembourgeois de Régulation) actúa como autoridad competente para la mayoría de los sectores; la CSSF supervisa la banca y la infraestructura del mercado financiero. El no registro es una infracción sancionable según el Artículo 11.

Los órganos de dirección deben aprobar formalmente las medidas de ciberseguridad, supervisar su implementación y someterse a formación regular. Para las entidades esenciales, los directivos pueden enfrentarse a una prohibición temporal de ejercer funciones de dirección por fallos graves.

Fuente: Journal officiel du Grand-Duché de Luxembourg, 2026

Países Bajos: La Cyberbeveiligingswet alcanza la fase plenaria del Senado

La Cámara de Representantes neerlandesa aprobó la Cyberbeveiligingswet (la ley de transposición NIS2 de los Países Bajos) el 15 de abril de 2026 por 140 votos contra 10. El proyecto de ley ha avanzado ahora a la fase plenaria del Senado.

En qué punto se encuentra el proyecto de ley

La Tweede Kamer aprobó el proyecto de ley con amplio apoyo multipartidista; solo dos partidos votaron en contra. Las comisiones del Senado responsables de digitalización y justicia completaron su revisión escrita el 19 de mayo de 2026. El proyecto de ley ha pasado desde entonces a la fase plenaria del Senado, donde espera una votación final.

El proyecto de ley se está tramitando en paralelo con legislación separada que transpone la Directiva CER de la UE sobre la resiliencia de entidades críticas.

Antecedentes

Los Países Bajos presentaron el proyecto de ley al parlamento el 2 de junio de 2025, incumpliendo el plazo de transposición de la UE del 17 de octubre de 2024 por más de un año. El proyecto de ley pasó casi diez meses en el procedimiento de la cámara baja antes de ser aprobado.

Disposiciones clave

En lugar de crear una única autoridad nacional de ciberseguridad, la ley asigna la aplicación a los reguladores sectoriales existentes — el regulador de energía para las empresas energéticas, el regulador sanitario para los hospitales, y así sucesivamente. La fecha exacta de entrada en vigor de la ley se establecerá por decreto gubernamental después de la aprobación del Senado, y diferentes disposiciones pueden entrar en vigor en diferentes fechas.

Qué viene a continuación

La aprobación del Senado es el último paso legislativo. Una vez que pase la votación y el gobierno establezca una fecha de entrada en vigor, las organizaciones dentro del ámbito enfrentarán obligaciones de cumplimiento inmediatas — medidas de gestión de riesgos, notificación de incidentes y requisitos de responsabilidad de la dirección.

Fuentes: Eerste Kamer, wetsvoorstel 36764; Tweede Kamer, wetsvoorstel 36764

Irlanda: Proyecto de ley de Seguridad Cibernética Nacional confirmado como vehículo NIS2

En una respuesta parlamentaria escrita al Dáil Éireann (la cámara baja del parlamento irlandés) el 13 de mayo de 2026, el Ministro de Justicia, Asuntos de Interior y Migración de Irlanda confirmó que el Departamento de Justicia está redactando el proyecto de ley de Seguridad Cibernética Nacional como el vehículo legislativo para la transposición de NIS2.

El proyecto de ley está catalogado como prioridad para su publicación en el programa legislativo del verano de 2026. Designará al Centro Nacional de Seguridad Cibernética (NCSC) como la autoridad nacional competente y como el Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) de Irlanda. También establecerá al NCSC sobre una base estatutaria por primera vez — el centro actualmente opera sin una base legislativa dedicada.

Irlanda incumplió el plazo de transposición de la UE del 17 de octubre de 2024. Una decisión del Gabinete en julio de 2024 ordenó la redacción prioritaria de la legislación, y el trabajo ha progresado desde entonces. El borrador del proyecto de ley aún no se ha publicado, pero el gobierno publicó el Esquema General del proyecto de ley de Seguridad Cibernética Nacional en septiembre de 2024, estableciendo su estructura prevista.

Responsabilidad de la dirección

Según el Artículo 20 de NIS2, tal como se refleja en el Head 28 del Esquema General, los consejos de dirección estarán obligados a aprobar y supervisar las medidas de gestión de riesgos de ciberseguridad, asistir a formación regular en ciberseguridad y pueden enfrentarse a responsabilidad personal por fallos de cumplimiento — incluyendo prohibiciones temporales y multas administrativas. El Esquema General define «consejo de dirección» como «un órgano o grupo de individuos investidos con la autoridad y responsabilidad para la supervisión, dirección y control de una entidad».

Reguladores sectoriales ya activos

Los reguladores sectoriales ya han sido designados como Autoridades Nacionales Competentes y se están preparando para asumir funciones de supervisión y aplicación. Los portales de registro y notificación de incidentes de NIS2 aún no están activos — se abrirán una vez que se promulgue la legislación — pero el NCSC ha publicado un borrador de guía sobre Medidas de Gestión de Riesgos y el marco Cyber Fundamentals (CyFun) para ayudar a las organizaciones a prepararse mientras tanto.

El proyecto de ley también se está desarrollando junto con la tercera Estrategia Nacional de Seguridad Cibernética de Irlanda, coordinada a través de un Comité Interdepartamental presidido por el Departamento de Justicia.

Para las organizaciones con operaciones en Irlanda, la ausencia de legislación promulgada no elimina la obligación de prepararse. Las ANC sectoriales ya están activas, y la promulgación del proyecto de ley se describe como una prioridad del gobierno.

Fuente: Oireachtas, respuesta escrita, mayo de 2026; NCSC Ireland, junio de 2025

DigitalEurope: NIS2 todavía necesita una armonización más profunda

El 13 de mayo de 2026, DigitalEurope publicó una posición política formal sobre el paquete de ciberseguridad de la UE, que abarca la propuesta de Ley de Ciberseguridad 2 (CSA2), el marco de seguridad de la cadena de suministro de TIC y las enmiendas específicas de NIS2.

Sobre NIS2 específicamente, la posición de DigitalEurope es directa: las enmiendas específicas propuestas en el paquete actual responden «mínimamente» a las preocupaciones que la industria ha planteado durante varios años. Las áreas que requieren una armonización más rigurosa son:

Ámbito de aplicación: NIS2 debería centrarse únicamente en las actividades comerciales principales, excluyendo las operaciones auxiliares que crean obligaciones desproporcionadas.
Umbrales de tamaño: La divergencia nacional en la aplicación de los umbrales crea una cobertura inconsistente entre los estados miembros.
Notificación de incidentes: Los campos de notificación, los plazos y los procesos de envío todavía varían a nivel nacional — un problema que las plantillas comunes (ver arriba) abordan parcialmente.
Reglas del establecimiento principal: Las organizaciones que operan en múltiples estados miembros enfrentan incertidumbre sobre qué autoridad nacional tiene jurisdicción principal.
Evaluación de conformidad: Los requisitos difieren según el estado miembro, creando complejidad de cumplimiento para las operaciones transfronterizas.

DigitalEurope también pidió a ENISA que realice evaluaciones de impacto para toda la legislación de ciberseguridad de la UE relevante y que coordine la implementación de manera más activa — posicionando a la agencia como un centro de coordinación en lugar de un organismo puramente consultivo.

Para los responsables de cumplimiento que siguen la trayectoria regulatoria: las brechas de armonización que identifica DigitalEurope son puntos de fricción operativa reales. Las plantillas comunes de notificación de incidentes adoptadas el 26 de mayo son un paso hacia el cierre de una de ellas. Las demás requerirán los actos de ejecución o el proceso de enmienda de NIS2 para resolverse.

Fuente: DigitalEurope, mayo de 2026

Qué significa esto para su equipo ahora mismo

Los desarrollos de mayo de 2026 siguen un patrón que ha sido consistente desde que comenzó la aplicación: el texto de la directiva es estable, pero la capa de implementación nacional sigue moviéndose. La fase de sanciones completas de Bulgaria, el plazo de registro activo de Luxemburgo y la votación pendiente del Senado en los Países Bajos representan todos desencadenantes concretos de cumplimiento, cada uno con una fecha específica ahora adjunta.

Las plantillas comunes de notificación de incidentes son el desarrollo a nivel de la UE más significativo operativamente del período. Una vez que se publique el acto de ejecución de la Comisión, el flujo de trabajo de notificación de incidentes de cada organización deberá actualizarse para coincidir con el formato estandarizado. Incorpore esa actualización en su planificación de respuesta a incidentes ahora, antes de que un incidente real le obligue a hacerlo bajo presión.

La lista de zonas de riesgo de ENISA NIS360 merece tomarse en serio si su organización opera en salud, administración pública o cualquiera de los otros sectores señalados. La atención supervisora sigue las brechas de madurez — y la evaluación de ENISA alimenta directamente cómo las autoridades nacionales competentes priorizan sus calendarios de auditoría.

Preguntas frecuentes

¿Qué pasó con NIS2 en mayo de 2026?

Mayo de 2026 vio cuatro desarrollos significativos de NIS2: la ley de transposición de Luxemburgo entró en vigor el 10 de mayo; el Grupo de Cooperación NIS adoptó plantillas comunes de notificación de incidentes el 26 de mayo; ENISA publicó la evaluación de madurez sectorial NIS360 2026 el 28 de mayo; y los Países Bajos avanzaron su Cyberbeveiligingswet a través de la Cámara de Representantes. La fase de sanciones completas de Bulgaria comenzó el 1 de junio de 2026, directamente después del período de mayo.

¿Cuál es el plazo de autoregistro NIS2 de Luxemburgo?

La ley de transposición NIS2 de Luxemburgo, que entró en vigor el 10 de mayo de 2026, requiere que todas las entidades dentro del ámbito se autoregistren ante su autoridad competente antes del 10 de julio de 2026. El ILR (Institut Luxembourgeois de Régulation) es la autoridad competente principal. El no registro es una infracción sancionable según el Artículo 11 de la ley de transposición.

¿Cuáles son las nuevas plantillas de notificación de incidentes NIS2?

El 26 de mayo de 2026, el Grupo de Cooperación NIS adoptó plantillas comunes para la notificación de incidentes NIS2 en su 39ª reunión plenaria en Chipre. Las plantillas proporcionan un formato estandarizado para notificar incidentes cibernéticos en todos los estados miembros de la UE. La Comisión Europea planea hacerlas obligatorias mediante un acto de ejecución. Los plazos subyacentes del Artículo 23 de NIS2 — alerta temprana de 24 horas, notificación de 72 horas, informe final de un mes — permanecen sin cambios.

¿Qué sectores identifica el NIS360 2026 de ENISA como de mayor riesgo?

El informe NIS360 2026 de ENISA, publicado el 28 de mayo de 2026, identifica ocho sectores como zonas de riesgo donde la madurez en ciberseguridad permanece baja en relación con la criticidad: salud, ferrocarril, marítimo, gestión de servicios TIC, espacio, administración pública, agua potable y aguas residuales. Todos estos son sectores del Anexo I bajo NIS2 y están sujetos a supervisión proactiva como entidades esenciales.

¿Cuáles son las reglas de responsabilidad personal para directivos bajo el NIS2 de Bulgaria?

Según la Ley de Ciberseguridad enmendada de Bulgaria, los miembros del órgano de dirección de entidades esenciales e importantes enfrentan multas personales de 500 € a 5.000 € por incumplir sus obligaciones de gobernanza — separadas de las multas a nivel de entidad. Desde el 1 de junio de 2026, estas multas se aplican a los importes legales completos; el descuento transitorio del 50% que se aplicaba a las violaciones anteriores a junio ya no existe. La autoridad competente también puede solicitar una prohibición temporal ordenada por el tribunal para que un directivo ejerza funciones de dirección.

¿Cuántos estados miembros de la UE han transpuesto NIS2?

A finales de mayo de 2026, 23 de los 27 estados miembros de la UE han transpuesto NIS2 a la legislación nacional, según el rastreador de mayo de 2026 de Cullen International. La transposición de Luxemburgo entró en vigor el 10 de mayo de 2026, elevando el total a 23. Cuatro estados miembros permanecen en el proceso legislativo, más de 19 meses después del plazo de transposición de octubre de 2024.

¿Qué es la Cyberbeveiligingswet de los Países Bajos?

La Cyberbeveiligingswet es la legislación nacional de los Países Bajos que implementa NIS2. La Cámara de Representantes neerlandesa aprobó el proyecto de ley en 2026 después de que los Países Bajos incumplieran el plazo de transposición original de la UE de octubre de 2024. El proyecto de ley todavía requiere la aprobación del Senado antes de poder entrar en vigor. El modelo de los Países Bajos utiliza una estructura de supervisión descentralizada, con reguladores específicos del sector manejando la aplicación.

Últimas noticias de NIS2: actualización de aplicación e implementación de mayo de 2026

Compliance & regulations

Jun 3, 2026 — 14 min read

NIS2 latest news: May 2026 enforcement and implementation update

Bulgaria's NIS2 grace period ended on 1 June 2026 — board members now face full personal fines, not the discounted 50% rate that applied through May. Luxembourg's NIS2 Directive transposition law entered into force on 10 May 2026, leaving four member states still without implementing legislation. The EU's NIS Cooperation Group adopted common incident-reporting templates that the Commission intends to make mandatory through an implementing act.

This article covers every material NIS2 update from May 2026: what changed, which deadlines are live, and what your team needs to act on now.

Key takeaways

These NIS2 updates from May 2026 carry concrete compliance triggers: specific dates and specific obligations. Here is what changed.

Bulgaria's full sanctions regime is active. From 1 June 2026, personal fines for management body members apply at 100% of statutory amounts — up to €5,000 per individual, separate from entity-level fines of up to €10 million. The 50% transitional discount is gone.
Luxembourg's NIS2 law entered into force on 10 May 2026. In-scope entities have until 10 July 2026 to self-register with the ILR. Non-registration is itself a sanctionable breach.
Four EU member states have still not transposed NIS2 — more than 19 months after the October 2024 deadline, according to Cullen International's May 2026 tracker.
Common incident-reporting templates were adopted EU-wide. The NIS Cooperation Group agreed on standardised formats at its 39th plenary in Cyprus on 26 May 2026. A Commission implementing act will make them mandatory.
ENISA's NIS360 2026 report identifies eight risk-zone sectors. Health, railway, maritime, ICT service management, space, public administration, drinking water, and wastewater show the lowest cybersecurity maturity relative to their criticality.
The Netherlands advanced its delayed Cyberbeveiligingswet. The Dutch House of Representatives approved the bill on 15 April 2026; Senate approval remains pending.
Ireland confirmed the National Cyber Security Bill as its NIS2 vehicle. The Department of Justice is drafting the legislation and placing the NCSC on a statutory footing.
DigitalEurope called for deeper NIS2 harmonisation. The industry body published a formal position identifying scope, size thresholds, incident reporting, and conformity assessment as the areas most in need of standardisation across member states.

Bulgaria's full enforcement phase began 1 June 2026

Bulgaria's full enforcement phase begins 1 June 2026

Bulgaria's NIS2 enforcement entered its final phase on 1 June 2026. Fines and sanctions for all infringements now apply at their full statutory amounts — the 50% reduction that applied to violations committed before that date is gone.

The underlying legislation is the Law Amending and Supplementing the Cybersecurity Act, adopted by the 51st National Assembly on 5 February 2026 and promulgated in the State Gazette (issue 17) on 13 February 2026, entering into force on the same date.

Who is in scope

The Cybersecurity Act covers public and private entities in Annex I and Annex II sectors that meet or exceed medium-enterprise thresholds. Certain providers are in scope regardless of size: public electronic communications networks, trust service providers, top-level domain registries, DNS service providers, entities that are the sole provider of a critical service in Bulgaria, or whose disruption would significantly affect public order, public safety or health, or the economy.

Administrative bodies (including municipalities) are classified as essential entities under Article 4a(1)(4), regardless of size.

Full enforcement without a complete rulebook

One practical complication remains. The law explicitly delegates the definition of minimum cybersecurity measures for certain entity categories to a secondary ordinance of the Council of Ministers, to be proposed jointly by the Communications Regulation Commission and the Minister of e-Governance. That ordinance has not yet been published. Organizations entered the full enforcement phase without the complete operational rulebook the law itself anticipated.

That does not suspend the obligations. The primary law is in force, sanctions are real. Gap analysis against the existing NIS2 framework is both possible and advisable now, before supervisory pressure builds. ISO/IEC 27001 and ISO 22301 provide a workable baseline alongside the Cybersecurity Act's requirements.

What management bodies must now demonstrate

Bulgaria's Cybersecurity Act places explicit personal accountability on individual members of management bodies, not just on the organization as a legal entity. Management bodies must:

Formally approve the cybersecurity risk-management measures required under Article 21
Oversee implementation of those measures
Complete cybersecurity training at least every two years
Organize equivalent training for employees on a regular basis

The measures that boards must approve cover risk analysis and information security policies, incident handling, business continuity and crisis management, supply chain security, cyber hygiene practices, and multi-factor authentication where appropriate.

The personal fine structure

Where a management body member of an essential or important entity breaches these governance obligations, a personal fine of €500 to €5,000 may be imposed. This is separate from entity-level sanctions and stacks on top of them: up to €10 million or 2% of global turnover for essential entities, and up to €7 million or 1.4% for important entities.

The competent national authority can also request a court to impose a temporary prohibition on a natural person from exercising management functions in an essential entity.

The practical implication: a board member cannot delegate their way out of liability. Whether a fine is imposed, and how severe, will depend on the individual's ability to show tangible actions — board resolutions, adopted policies, audit protocols, assigned responsibilities, completed training, and documented corrective measures.

Source: Bulgarian State Gazette, 2026; Capital.bg, 2026

EU-wide: Common incident-reporting templates adopted

On 26 May 2026, the NIS Cooperation Group adopted common templates for NIS2 incident reporting at its 39th plenary meeting in Cyprus. The Group brings together EU member states, the European Commission, and ENISA.

The templates provide a standardised format for reporting cyber incidents across the EU. Until now, the absence of a common format meant that organizations operating in multiple member states had to navigate different national reporting forms, field sets, and submission portals — a significant administrative burden for any cross-border operation.

The Commission has stated it plans to adopt these templates through an implementing act, which would make them mandatory for all member states. Once that act is in force, the templates will establish a unified incident-reporting framework across the EU.

This development also connects to the broader Digital Omnibus proposal, which includes a single-entry point for incident reporting. The common templates are designed to align with that future architecture.

What this means for your incident response process: If your team has built notification workflows around a specific member state's current form, expect those workflows to be updated once the implementing act is published. The core NIS2 compliance timeline obligations under Article 23 (24-hour early warning, 72-hour incident notification, one-month final report) do not change. The format for submitting them does.

Source: European Commission, 2026

ENISA NIS360 2026: Eight sectors still in the risk zone

ENISA published the third edition of its NIS360 report on 28 May 2026. The report assesses cybersecurity maturity and criticality across all sectors of high criticality listed under Annex I of NIS2.

The 2026 assessment covers the full ecosystem of each sector (national authorities, regulated entities, and applicable EU legislation) rather than individual organizations. It identifies sectors where maturity has improved and sectors where the gap between criticality and actual security posture remains wide.

Eight sectors are identified as risk zones: health, railway, maritime, ICT service management, space, public administration, drinking water, and wastewater. These are sectors where the consequences of a successful attack are severe, but where the security baseline across the sector remains below what the threat level demands.

For IT and security leaders in these sectors, the NIS360 assessment is a useful benchmark. If your sector appears in the risk-zone list, expect heightened supervisory attention from national competent authorities — not because the report triggers enforcement directly, but because regulators use sector-level maturity data to prioritize their audit and inspection calendars.

Source: ENISA, 2026

Luxembourg: NIS2 law in force, registration deadline is 10 July 2026

Luxembourg published its NIS2 transposition law on 6 May 2026 in the Journal officiel du Grand-Duché de Luxembourg. The law entered into force on 10 May 2026, replacing the NIS1 law of 28 May 2019.

Who is in scope

NIS2 applies in Luxembourg to organizations with 50 or more employees or annual turnover exceeding €10 million, operating in one of 18 critical sectors. Size thresholds are assessed at consolidated group level: a subsidiary with 40 employees may still be in scope if the parent group exceeds the thresholds.

The two-tier structure

Essential entities — large organizations in Annex I sectors with more than 250 employees and either €50 million in turnover or €43 million in balance sheet — face proactive supervision and sanctions of up to €10 million or 2% of global turnover. Important entities — medium-sized Annex I organizations and all qualifying Annex II entities — face reactive supervision and sanctions of up to €7 million or 1.4% of global turnover.

Both tiers must implement the same ten categories of measures under Article 12: risk analysis, incident handling, business continuity, supply chain security, secure development, effectiveness assessment, cyber hygiene, cryptography, access control, and multi-factor authentication.

Incident reporting timelines

Luxembourg follows the NIS2 Article 23 structure exactly: 24-hour early warning, 72-hour formal notification, one-month final report. Missing any deadline is itself a sanctionable breach.

The 10 July 2026 self-registration deadline

Entities have until 10 July 2026 to self-register with their competent authority. The ILR (Institut Luxembourgeois de Régulation) acts as the competent authority for most sectors; the CSSF oversees banking and financial market infrastructure. Non-registration is a sanctionable breach under Article 11.

Management bodies must formally approve cybersecurity measures, supervise their implementation, and undergo regular training. For essential entities, senior managers can face a temporary ban from exercising management functions for serious failures.

Source: Journal officiel du Grand-Duché de Luxembourg, 2026

Netherlands: Cyberbeveiligingswet reaches Senate plenary stage

The Dutch House of Representatives approved the Cyberbeveiligingswet (the Netherlands' NIS2 transposition law) on 15 April 2026 by 140 votes to 10. The bill has now advanced to the Senate plenary stage.

Where the bill stands

The Tweede Kamer passed the bill with broad cross-party support; only two parties voted against. The Senate committees responsible for digitalisation and justice completed their written review on 19 May 2026. The bill has since moved to the Senate plenary stage, where it awaits a final vote.

The bill is being processed in parallel with separate legislation transposing the EU's CER Directive on the resilience of critical entities.

Background

The Netherlands submitted the bill to parliament on 2 June 2025, missing the EU transposition deadline of 17 October 2024 by over a year. The bill spent nearly ten months in lower house procedure before passing.

Key provisions

Rather than creating a single national cybersecurity authority, the law assigns enforcement to existing sector-specific regulators — the energy regulator for energy companies, the healthcare regulator for hospitals, and so on. The exact date the law enters into force will be set by government decree after Senate approval, and different provisions may take effect on different dates.

What comes next

Senate approval is the last legislative step. Once the vote passes and the government sets an entry-into-force date, organizations in scope will face immediate compliance obligations — risk management measures, incident reporting, and management accountability requirements.

Sources: Eerste Kamer, wetsvoorstel 36764; Tweede Kamer, wetsvoorstel 36764

Ireland: National Cyber Security Bill confirmed as NIS2 vehicle

In a written parliamentary answer to Dáil Éireann (the lower house of the Irish parliament) on 13 May 2026, Ireland's Minister for Justice, Home Affairs and Migration confirmed that the Department of Justice is drafting the National Cyber Security Bill as the legislative vehicle for NIS2 transposition.

The Bill is listed as a priority for publication in the Summer 2026 legislation programme. It will appoint the National Cyber Security Centre (NCSC) as the national competent authority and as Ireland's Computer Security Incident Response Team (CSIRT). It will also place the NCSC on a statutory footing for the first time — the centre currently operates without a dedicated legislative basis.

Ireland missed the EU transposition deadline of 17 October 2024. A Cabinet decision in July 2024 directed priority drafting of the legislation, and work has been progressing since. The draft Bill has not yet been published, but the government released the General Scheme of the National Cyber Security Bill in September 2024, setting out its intended structure.

Management liability

Under NIS2 Article 20, as reflected in Head 28 of the General Scheme, management boards will be required to approve and oversee cybersecurity risk management measures, attend regular cybersecurity training, and may face personal liability for compliance failures — including temporary bans and administrative fines. The General Scheme defines "management board" as "a body or group of individuals vested with the authority and responsibility for the oversight, direction and control of an entity."

Sectoral regulators already active

Sectoral regulators have already been designated as National Competent Authorities and are preparing to take on supervision and enforcement functions. The NIS2 registration and incident reporting portals are not yet live — they will open once the legislation is enacted — but the NCSC has published draft Risk Management Measures guidance and the Cyber Fundamentals (CyFun) framework to help organizations prepare in the interim.

The Bill is also being developed alongside Ireland's third National Cyber Security Strategy, coordinated through an Inter-Departmental Committee chaired by the Department of Justice.

For organizations with Irish operations, the absence of enacted legislation does not remove the obligation to prepare. Sectoral NCAs are already active, and the Bill's enactment is described as a government priority.

Source: Oireachtas, written answer, May 2026; NCSC Ireland, June 2025

DigitalEurope: NIS2 still needs deeper harmonisation

On 13 May 2026, DigitalEurope published a formal policy position on the EU cybersecurity package, covering the proposed Cybersecurity Act 2 (CSA2), the ICT supply chain security framework, and targeted NIS2 amendments.

On NIS2 specifically, DigitalEurope's position is direct: the targeted amendments proposed in the current package respond "minimally" to the concerns industry has raised over several years. The areas requiring more rigorous harmonisation are:

Scope: NIS2 should focus on core business activities only, excluding ancillary operations that create disproportionate obligations.
Size thresholds: National divergence in how thresholds are applied creates inconsistent coverage across member states.
Incident reporting: Reporting fields, timelines, and submission processes still vary at national level — a problem the common templates (see above) partially address.
Main establishment rules: Organizations operating across multiple member states face uncertainty about which national authority has primary jurisdiction.
Conformity assessment: Requirements differ by member state, creating compliance complexity for cross-border operations.

DigitalEurope also called for ENISA to conduct impact assessments for all relevant EU cybersecurity legislation and to coordinate implementation more actively — positioning the agency as a coordination hub rather than a purely advisory body.

For compliance officers tracking the regulatory trajectory: the harmonisation gaps DigitalEurope identifies are real operational friction points. The common incident-reporting templates adopted on 26 May are a step toward closing one of them. The others will require either the implementing acts or the NIS2 amendment process to resolve.

Source: DigitalEurope, May 2026

What this means for your team right now

The May 2026 developments follow a pattern that has been consistent since enforcement began: the directive's text is stable, but the national implementation layer keeps moving. Bulgaria's full sanctions phase, Luxembourg's live registration deadline, and the pending Senate vote in the Netherlands all represent concrete compliance triggers, each with a specific date now attached.

The common incident-reporting templates are the most operationally significant EU-wide development of the period. Once the Commission implementing act is published, every organization's incident notification workflow will need to be updated to match the standardised format. Build that update into your incident response planning now, before an actual incident forces you to do it under pressure.

The ENISA NIS360 risk-zone list is worth taking seriously if your organization operates in health, public administration, or any of the other flagged sectors. Supervisory attention follows maturity gaps — and ENISA's assessment feeds directly into how national competent authorities prioritize their audit calendars.

Frequently asked questions

What happened with NIS2 in May 2026?

May 2026 saw four significant NIS2 developments: Luxembourg's transposition law entered into force on 10 May; the NIS Cooperation Group adopted common incident-reporting templates on 26 May; ENISA published the NIS360 2026 sector maturity assessment on 28 May; and the Netherlands advanced its Cyberbeveiligingswet through the House of Representatives. Bulgaria's full sanctions phase began on 1 June 2026, directly following the May period.

What is the Luxembourg NIS2 self-registration deadline?

Luxembourg's NIS2 transposition law, which entered into force on 10 May 2026, requires all in-scope entities to self-register with their competent authority by 10 July 2026. The ILR (Institut Luxembourgeois de Régulation) is the primary competent authority. Non-registration is a sanctionable breach under Article 11 of the transposition law.

What are the new NIS2 incident-reporting templates?

On 26 May 2026, the NIS Cooperation Group adopted common templates for NIS2 incident reporting at its 39th plenary meeting in Cyprus. The templates provide a standardised format for reporting cyber incidents across all EU member states. The European Commission plans to make them mandatory through an implementing act. The underlying NIS2 Article 23 timelines — 24-hour early warning, 72-hour notification, one-month final report — remain unchanged.

Which sectors does ENISA's NIS360 2026 identify as highest risk?

ENISA's NIS360 2026 report, published 28 May 2026, identifies eight sectors as risk zones where cybersecurity maturity remains low relative to criticality: health, railway, maritime, ICT service management, space, public administration, drinking water, and wastewater. These are all Annex I sectors under NIS2 and are subject to proactive supervision as essential entities.

What are the personal liability rules for managers under Bulgaria's NIS2?

Under Bulgaria's amended Cybersecurity Act, members of the management body of essential and important entities face personal fines of €500 to €5,000 for breaching their governance obligations — separate from entity-level fines. From 1 June 2026, these fines apply at full statutory amounts; the 50% transitional discount that applied to pre-June violations no longer exists. The competent authority can also seek a court-ordered temporary ban on a manager from exercising management functions.

How many EU member states have transposed NIS2?

As of late May 2026, 23 of 27 EU member states have transposed NIS2 into national law, according to Cullen International's May 2026 tracker. Luxembourg's transposition entered into force on 10 May 2026, bringing the total to 23. Four member states remain in the legislative process, more than 19 months after the October 2024 transposition deadline.

What is the Netherlands' Cyberbeveiligingswet?

The Cyberbeveiligingswet is the Netherlands' national legislation implementing NIS2. The Dutch House of Representatives approved the bill in 2026 after the Netherlands missed the original EU transposition deadline of October 2024. The bill still requires Senate approval before it can enter into force. The Netherlands' model uses a decentralised supervisory structure, with sector-specific regulators handling enforcement.

NIS2 latest news: May 2026 enforcement and implementation update

Cybersecurity

May 31, 2026 — 19 min read

VaultJacking: Wie eine einzige PIN den Tresor des Google Passwortmanagers offenlegt

VaultJacking ist eine Phishing-Technik, die auf den Tresor des Google Passwortmanagers abzielt, indem sie die PIN abfängt, die ihn entsperrt. Am 20. Mai 2026 von PhishU demonstriert, zeigt der Angriff, wie ein einziges sechsstelliges Geheimnis — während einer Adversary-in-the-Middle-Phishing-Sitzung (AiTM) abgefangen — einem Angreifer Zugang zu jedem synchronisierten Passwort und Passkey verschaffen kann, den ein Opfer im Google Passwortmanager gespeichert hat.

Für Unternehmen ist das Risiko größer als es erscheint. Der Browser-Tresor eines einzelnen Mitarbeiters kann SSO-Anmeldedaten, Cloud-Konsolen-Zugang, Logins für Finanzplattformen und Code-Repository-Schlüssel enthalten: alles an einem Ort und durch eine einzige abgefangene PIN offengelegt. Dies ist ein organisatorisches Risiko, das außerhalb der meisten bestehenden Incident-Response-Playbooks liegt und außerhalb der Sichtbarkeit der meisten IT- und Sicherheitsteams.

Wichtigste Erkenntnisse

VaultJacking ist relevant, weil Browser-Passwortmanager Passwörter, Passkeys und Wiederherstellungsabläufe in einem einzigen hochwertigen Ziel konzentrieren. Bevor Sie weiterlesen, hier das Wichtigste:

VaultJacking zielt auf die Tresor-Synchronisierungsebene. Der Angriff bricht nicht die WebAuthn-Kryptographie. Er missbraucht den Geräteregistrierungsablauf, der bestimmt, wer den synchronisierten Tresor lesen kann.
Die Google-Passwortmanager-PIN ist ein Tresor-Zugangsgeheimnis. Google verwendet die PIN zum Schutz verschlüsselter Anmeldedaten. Behandeln Sie sie entsprechend — nicht als belanglosen Code.
Eine abgefangene PIN kann den gesamten Tresor offenlegen. Die Demonstration von PhishU zeigt, dass eine einzige PIN-Eingabe einem Angreifer ermöglichen kann, jedes synchronisierte Passwort und jeden Passkey auf einer vom Angreifer kontrollierten Infrastruktur zu entschlüsseln.
Das Unternehmensrisiko skaliert mit Governance-Lücken. Die Vermischung von persönlichen und beruflichen Profilen, nicht verwaltete Chrome-Profile und privilegierte Anmeldedaten in Browser-Tresoren erhöhen den Schadensradius.
Die Incident Response muss über einen Passwortwechsel hinausgehen. Ein vermutetes VaultJacking-Ereignis erfordert die Überprüfung von Geräten, Sitzungen, Passkeys, Tresorinhalten und nachgelagerten Logins — nicht nur das Ändern eines Passworts.

Was ist VaultJacking?

VaultJacking ist eine Phishing-Technik, die auf den Tresor-Zugang und die Wiederherstellungserfahrung des Google Passwortmanagers abzielt. Anstatt eine einzelne Website-Anmeldung zu stehlen, fängt der Angreifer die Google-Passwortmanager-PIN während einer AiTM-Phishing-Sitzung ab und verwendet sie, um ein vom Angreifer kontrolliertes Gerät in die Google-Sicherheitsdomäne des Opfers einzuschreiben. Dadurch erhält er Zugang zum gesamten synchronisierten Anmeldedaten-Tresor. Der Begriff und die End-to-End-Demonstration stammen aus der veröffentlichten Forschung von PhishU.

Traditionelles Credential-Phishing zielt auf ein Konto nach dem anderen. VaultJacking ist eine andere Angriffsklasse: Der Angreifer umgeht einzelne Anmeldedaten vollständig und greift direkt auf das Repository zu, das alle enthält.

Die Forschung von PhishU beschreibt den Angriff als vollständig konsistent mit Standard-AiTM-Phishing. Der AiTM-Proxy fängt die PIN zusammen mit Session-Cookies ab. Ein Hintergrundprozess fügt dann einen Passkey des Angreifers zum Google-Konto des Opfers für Persistenz hinzu, tritt der Sicherheitsdomäne von der Angreifer-Infrastruktur aus mit der abgefangenen PIN bei und entschlüsselt den gesamten Tresor. Der Betreiber sieht alle synchronisierten Anmeldedaten in einer einzigen Ansicht.

Phishing vs. VaultJacking

Phishing

1. Gefälschte Anmeldeseite

↓

2. Passwort-Abfang

↓

3. Zugang zu einzelnem Konto

↓

4. Begrenzter Schaden

VaultJacking

1. AiTM-Proxy-Seite

↓

2. PIN-Abfang

↓

3. Geräteregistrierung

↓

4. SDS-Zugang

↓

5. Vollständige Tresor-Kompromittierung

Browser Syncjacking, eine separate Technik, auf die PhishU verweist, erreicht dieselbe Google-Sync-Ebene über eine bösartige Browser-Erweiterung. VaultJacking erfordert weder einen Geräte-Zugang noch eine Erweiterung.

Was ist die Google-Passwortmanager-PIN?

Die Google-Passwortmanager-PIN ist ein separates Geheimnis, das sich von Ihrem Google-Kontopasswort und Ihrer Geräte-Bildschirmsperre unterscheidet. Googles Dokumentation beschreibt sie als eine Möglichkeit, verschlüsselte Google-Passwortmanager-Daten zu schützen, Passkeys auf einem neuen Gerät zu verwenden und die Identität zu verifizieren.

Benutzer verwechseln häufig drei verschiedene Geheimnisse, und diese Verwirrung ist Teil dessen, was VaultJacking so effektiv macht:

Geheimnis	Was es ist	Warum die Verwechslung relevant ist
Google-Kontopasswort	Die Anmeldedaten für die Anmeldung bei einem Google-Konto	Benutzer geben möglicherweise dieses ein, wenn sie nach einer PIN gefragt werden, ohne den Unterschied zu bemerken
Geräte-Bildschirmsperre	Eine lokale PIN, ein Passcode, biometrische Daten oder ein Muster, das das Gerät entsperrt	Passkeys verwenden oft die Geräte-Entsperrung, aber diese ist nicht identisch mit der Google-Passwortmanager-PIN
Google-Passwortmanager-PIN	Eine PIN, die verschlüsselte Google-Passwortmanager-Daten schützt und in Tresor-Zugangs- und Geräteregistrierungsabläufen verwendet wird	VaultJacking zielt speziell auf dieses Geheimnis ab

Die Aufforderung zur Eingabe der Google-Passwortmanager-PIN erscheint beim Erstellen Ihres ersten Passkeys auf einem neuen Gerät, beim Zugriff auf verschlüsselte gespeicherte Anmeldedaten in bestimmten Wiederherstellungskontexten oder wenn ein neues Gerät Ihrer Google-Sicherheitsdomäne beitritt. Das letzte Szenario ist genau das, was VaultJacking ausnutzt.

Der strukturelle Grund, warum dies funktioniert, liegt laut der Analyse von PhishU des Chromium-Quellcodes (chrome/browser/webauthn/enclave_manager.cc und components/trusted_vault/) darin, dass Googles Sicherheitsdomänen-Beitrittsablauf zwei Prüfungen erfordert: eine Google-Kontoanmeldung und eine erfolgreiche PIN-Eingabe. Es gibt keine geräteübergreifende Genehmigungsaufforderung, keine Push-Benachrichtigung an bestehende Geräte, keine „Von einem anderen Gerät genehmigen"-Bestätigung.

Apples iCloud-Schlüsselbund erfordert, dass bestehende Geräte neue genehmigen. Googles Modell nicht. Google hat einen bewussten UX-Kompromiss getroffen: Eine PIN mit einem serverseitigen Wiederholungslimit ist einfacher zu handhaben als ein Push-to-Approve-Modell, wenn ein Benutzer alle seine Geräte verloren hat. VaultJacking ist die Konsequenz dieses Kompromisses.

Wie die VaultJacking-Angriffskette funktioniert

Das Folgende beschreibt den Angriff konzeptionell für Verteidigungszwecke. Es sind keine offensiven Implementierungsdetails enthalten.

Köder. Das Opfer erhält einen Phishing-Link und landet auf einer Seite, die einen legitimen Google-Anmelde- oder Kontoablauf imitiert. Behandeln Sie jeden unerwarteten Anmeldeablauf, der per E-Mail, Chat oder Werbelink ankommt, mit Misstrauen.
Vertrauenstransfer. Der AiTM-Proxy rendert eine PIN-Aufforderung, die dem Stil von Googles eigener Oberfläche entspricht: gleiche Schriftart, gleiche sechs-Zellen-Eingabe, gleicher Text. Die Benutzerschulung muss Passwortmanager-PIN-Aufforderungen abdecken, nicht nur Passwörter und OTP-Codes.
PIN-Abfang. Das Opfer gibt die PIN in den Phishing-Ablauf ein. Die PIN ist ein Tresor-Zugangsgeheimnis, das in seiner Sensibilität einem Masterpasswort entspricht.
Angreifer-Geräteregistrierung. Der Angreifer verwendet die abgefangene PIN, um der Google-Sicherheitsdomäne des Opfers von einer vom Angreifer kontrollierten Infrastruktur aus beizutreten. Ein Passkey des Angreifers wird ebenfalls für Persistenz registriert. Überprüfen Sie angemeldete Geräte und registrierte Passkeys sofort nach jedem vermuteten Phishing-Kontakt.
Tresor-Entschlüsselung. Das Security Domain Secret wird von Googles Cloud-Authenticator freigegeben, und das Gerät des Angreifers entschlüsselt jedes synchronisierte Passwort und jeden Passkey. Der Tresor kann Anmeldedaten für E-Mail, SSO, Cloud-Konsolen, Finanzplattformen und Code-Repositories enthalten.
Nachgelagerte Kompromittierung. Gespeicherte Drittanbieter-Anmeldedaten werden gegen andere Dienste verwendet. Rotieren Sie hochwertige Anmeldedaten und überwachen Sie Drittanbieter-Logins.

PhishU hat dies End-to-End gegen Live-Google-Passwortmanager-Konten getestet, einschließlich der Wiedergabe von abgefangenen Drittanbieter-Passkeys, unabhängig davon, ob die ursprünglichen Anmeldedaten hardwaregestützt waren. Behandeln Sie dies als eine demonstrierte Technik. Es gibt zum Zeitpunkt des Schreibens keine öffentlichen Beweise für eine weit verbreitete aktive Ausnutzung, aber die Technik erfordert keinen spezialisierten Zugang oder Geräte-Zugriff.

Bedeutet VaultJacking, dass Passkeys unsicher sind?

Nein. VaultJacking bricht nicht die Passkey-Kryptographie. Passkeys basieren auf ursprungsgebundener Public-Key-Authentifizierung, wie in der W3C WebAuthn-Spezifikation definiert: Der private Schlüssel verlässt niemals das Gerät, und die Authentifizierungszeremonie ist an den legitimen Website-Ursprung gebunden. Eine Phishing-Seite kann eine WebAuthn-Assertion nicht gegen die echte Website wiedergeben, weil die Ursprungsprüfung fehlschlägt. Dieser Schutz bleibt bestehen.

Was VaultJacking demonstriert, ist, dass Passkeys nicht isoliert existieren. Sie existieren in einem Tresor, der über Geräte synchronisiert wird, der auf einem Wiederherstellungsmechanismus basiert, der durch eine PIN gesteuert wird. Der Angreifer umgeht die kryptographische Zeremonie vollständig, indem er stattdessen auf die Tresor-Verwaltungsebene abzielt.

Google beschreibt Passkeys als eine Möglichkeit, sich mit Fingerabdruck, Gesichtserkennung oder Bildschirmsperre anzumelden — einfacher und sicherer als Passwörter. Diese Beschreibung ist auf der Ebene der Einzelsite-Authentifizierung korrekt. Das Problem, das VaultJacking aufzeigt, liegt eine Ebene höher: Was steuert den Zugang zum Speicher, der diese Passkeys enthält.

Ebene	Normaler Schutz	VaultJacking-Relevanz
WebAuthn-Authentifizierung	Ursprungsgebundene Public-Key-Kryptographie verhindert die Wiedergabe von Anmeldedaten auf Phishing-Seiten	Der Angriff muss keine wiederverwendbaren Passkey-Anmeldedaten stehlen
Google-Passwortmanager-Tresor	Verschlüsselte Speicherung mit PIN-geschützter Wiederherstellung	Der Angreifer zielt auf die PIN und den Geräteregistrierungsablauf rund um den Tresor ab
Benutzeroberfläche	Benutzer vertrauen Browser- und Google-Aufforderungen	Phishing missbraucht dieses Vertrauen, indem es legitime PIN-Aufforderungen imitiert
Unternehmens-Governance	Administratoren können die Browser-Profilnutzung und gespeicherte Anmeldedaten kontrollieren oder auch nicht	Schlechte Governance erhöht den Schadensradius nach einer Tresor-Kompromittierung

Warum eine PIN einen großen Schadensradius erzeugen kann

Ein Passwortmanager-Tresor ist ein konzentrierter Speicher für Zugang. Eine abgefangene PIN legt alle Anmeldedaten offen, die das Opfer jemals im Google Passwortmanager gespeichert hat.

Der Identity Threat Landscape Report 2025 von Recorded Future stellte fest, dass das durchschnittliche kompromittierte Gerät 87 gestohlene Anmeldedaten ergab und dass 276 Millionen der 2025 indexierten Anmeldedaten aktive Session-Cookies enthielten — was bedeutet, dass Angreifer MFA für diese Konten vollständig umgehen konnten.

Verizons DBIR 2026 setzt die nachgelagerten Auswirkungen in einen Kontext: Der Missbrauch von Anmeldedaten erscheint irgendwann in 39 % aller bestätigten Sicherheitsverletzungen, über mehr als 22.000 Vorfälle in 145 Ländern hinweg. Angreifer bleiben selten bei der ersten Tür stehen, die gestohlene Anmeldedaten öffnen. Sie bewegen sich lateral, eskalieren Privilegien und arbeiten sich durch jeden gespeicherten Login, bis sie etwas Wertvolles finden.

Tresor-Inhaltstyp	Potenzielles nachgelagertes Risiko
E-Mail- und SSO-Anmeldedaten	Missbrauch der Kontowiederherstellung, laterale Bewegung, Identitätsübernahme
Cloud-Konsolen-Anmeldedaten	Infrastrukturzugang, Privilegien-Eskalation, Datenexposition
Code-Repository-Anmeldedaten	Quellcode-Diebstahl, CI/CD-Pipeline-Kompromittierung, Offenlegung von Secrets
Finanz- und Gehaltsabrechnungs-Anmeldedaten	Betrug, Rechnungsmanipulation, Zahlungsumleitung
Persönliche Konten gemischt mit Arbeitsprofilen	Nicht verwalteter Expositionspfad in Geschäftssysteme
Gespeicherte Passkeys	Das Risiko hängt vom Synchronisierungsstatus, den Wiederherstellungskontrollen und der Geräteregistrierungsrichtlinie ab

Wer ist am stärksten gefährdet?

Das Risiko konzentriert sich dort, wo drei Bedingungen zusammentreffen: Browser-Tresor-Daten sind der primäre Anmeldedatenspeicher, Arbeits- und persönliche Anmeldedaten teilen ein Profil, und privilegierte Anmeldedaten sind in einem Consumer-System gelandet.

Das Problem der Vermischung von Anmeldedaten. Mitarbeiter speichern Arbeits-Anmeldedaten in persönlichen Chrome-Profilen. Administratoren haben keine Sichtbarkeit oder Kontrolle über Tresorinhalte oder synchronisierte Geräte. Dies bedeutet, dass Unternehmenspasswörter außerhalb des Sicherheitsperimeters leben, auf Googles Servern gesichert werden und von jedem Gerät aus zugänglich sind, bei dem sich der Mitarbeiter jemals angemeldet hat.
Privilegierte Benutzer sind das hochwertigste Ziel. Im Google Passwortmanager gespeicherte Admin-Passwörter stellen die gefährlichste Risikokonzentration dar. Eine Tresor-Kompromittierung legt die Schlüssel zu Identitätsplattformen, Cloud-Infrastruktur, Finanzsystemen und Sicherheits-Tools offen. Ein einziges kompromittiertes Admin-Konto wird zum Drehpunkt für laterale Bewegung in der gesamten Organisation.
Sicherheitstraining deckt diese Angriffsfläche nicht ab. Security-Awareness-Programme lehren Benutzer, Phishing-E-Mails zu erkennen und OTP-Codes zu schützen. Sie lehren Benutzer nicht, Passwortmanager-PIN-Aufforderungen als sensible Ziele zu erkennen. Benutzer sehen eine PIN-Anfrage und kommen ihr nach — sie sehen es nicht als ein Sicherheitsereignis, das Skepsis auslösen sollte.
Richtlinienlücken lassen Anmeldedaten am falschen Ort. Die meisten Organisationen haben keine Richtlinie, die Browser-Tresore von der Unternehmens-Anmeldedatenverwaltung trennt. Geteilte Anmeldedaten, Admin-Passwörter und Break-Glass-Konten werden möglicherweise dort gespeichert, wo es Mitarbeitern bequem erscheint. Es existiert kein Audit-Trail, der zeigt, wo diese Anmeldedaten liegen oder wer darauf zugegriffen hat.
Geräte- und Sitzungsüberprüfungsprozesse sind zu langsam. Verdächtige Geräteregistrierungen oder Tresorzugriffe können wochenlang unbemerkt bleiben.

Der letzte Punkt ist wichtiger, als es erscheinen mag. PhishU merkt an, dass Google eine einzige E-Mail „Neue Anmeldung unter Windows" sendet, wenn ein neues Gerät der Sicherheitsdomäne beitritt — dieselbe Benachrichtigung, die für jede neue Chrome-Anmeldung gesendet wird. Auf bestehenden Geräten wird keine Push-Benachrichtigung ausgelöst. In einem AiTM-Angriff, bei dem der Angreifer auch die Posteingangs-Sitzung des Opfers abgefangen hat, kann diese E-Mail unterdrückt werden, bevor der Benutzer sie sieht.

Was zu tun ist, wenn eine Google-Passwortmanager-PIN möglicherweise gephisht wurde

Behandeln Sie ein vermutetes VaultJacking-Ereignis nicht als Einzelpasswort-Vorfall. Behandeln Sie es als mögliche Tresor-Exposition, bis das Gegenteil bewiesen ist.

Die folgende Triage-Sequenz richtet sich an Sicherheitsteams und Einzelpersonen. Google-Workspace-Ereignisnamen sollten anhand der aktuellen Google-Admin-Dokumentation überprüft werden, bevor eine automatisierte Erkennung erstellt wird.

Priorität	Maßnahme	Warum es wichtig ist
1	Trennen Sie die Verbindung zur verdächtigen Phishing-Seite; sichern Sie die URL, den Zeitstempel und Screenshots, wenn dies sicher möglich ist	Beweise helfen, den Umfang zu bestimmen und andere Benutzer zu warnen
2	Überprüfen Sie die Sicherheitsaktivität des Google-Kontos, angemeldete Geräte und kürzlich hinzugefügte Passkeys unter myaccount.google.com	Tresor- oder Geräteregistrierung könnte Angreifer-Persistenz geschaffen haben
3	Melden Sie verdächtige Sitzungen ab und widerrufen Sie unbekannte Geräte	Reduziert den Angreiferzugang, falls das Konto oder der Tresor erreicht wurde
4	Ändern Sie das Google-Kontopasswort, wenn eine Kompromittierung auf Kontoebene vermutet wird	Verhindert weiteren Zugang auf Kontoebene; notwendig, aber allein nicht ausreichend
5	Rotieren Sie hochwertige Anmeldedaten, die im Tresor gespeichert sind	Priorisieren Sie SSO, E-Mail, Cloud-Konsolen, Finanzplattformen, Admin-Konten, VPNs, Code-Repositories und alle Passwortmanager-Konten
6	Überprüfen Sie Drittanbieterdienste auf ungewöhnliche Login-Aktivitäten	Angreifer können gespeicherte Anmeldedaten außerhalb von Google sofort nach dem Tresorzugang verwenden
7	Für Organisationen: Eröffnen Sie einen Incident-Response-Fall und überprüfen Sie Geräte-, Identitäts- und Browser-Telemetrie	Ein einzelner betroffener Benutzer kann organisatorische Exposition verursachen, wenn er privilegierte Anmeldedaten besitzt
8	Überprüfen Sie die Browser-Tresor-Richtlinie und die Speicherpraktiken für privilegierte Anmeldedaten	Verhindert wiederholte Vorfälle und reduziert den zukünftigen Schadensradius

Die Schritte 5 und 7 sind dort, wo die meisten Incident Responses zu kurz greifen. Das Google-Kontopasswort zu rotieren, ohne die nachgelagerten Anmeldedaten zu rotieren, die es schützt, ist wie das Schloss an einem Safe zu wechseln, nachdem der Inhalt bereits fotografiert wurde.

Passwork gibt Ihnen Einblick in alle Anmeldedaten, wer darauf zugegriffen hat und wann. Rollenbasierter Zugriff bedeutet, dass geteilte Anmeldedaten an einem Ort mit vollständigem Audit-Trail bleiben — nicht über persönliche Browser-Profile verstreut. Erfahren Sie, wie es funktioniert

Wie Einzelpersonen das VaultJacking-Risiko reduzieren können

Der praktische Rat hier ist kurz. Das meiste läuft darauf hinaus, die Google-Passwortmanager-PIN genauso zu behandeln wie ein Masterpasswort.

Geben Sie die Google-Passwortmanager-PIN nicht auf einer Seite ein, die Sie durch Klicken auf einen Link in einer E-Mail, einem Chat oder einer Werbung erreicht haben. Navigieren Sie direkt zu den Google-Kontoeinstellungen.
Überprüfen Sie Ihre angemeldeten Geräte und registrierten Passkeys unter myaccount.google.com regelmäßig. Ein unbekanntes Gerät oder ein unbekannter Passkey ist eine Untersuchung wert.
Halten Sie persönliche und berufliche Browser-Profile getrennt. Wenn ein persönliches Profil kompromittiert wird, sollten Arbeits-Anmeldedaten nicht im Schadensradius sein.
Vermeiden Sie das Speichern hochsensibler Admin- oder privilegierter Anmeldedaten in einem Consumer-Browser-Tresor. Diese Anmeldedaten benötigen Auditierbarkeit und Zugriffskontrollen, die Browser-Tresore nicht bieten.
Verwenden Sie weiterhin Passkeys. Sie bleiben auf der Einzelsite-Ebene sicherer als wiederverwendbare Passwörter. Verstehen Sie nur, welche Aufforderungen legitim sind und welche nicht.

Unternehmenskontrollen und Richtlinienempfehlungen

Oktas Secure Sign-in Trends Report 2025 stellte fest, dass die Einführung von phishing-resistenten Authentifikatoren in einem Jahr von 8,6 % auf 14,0 % der Benutzer wuchs — ein Anstieg von 63 %. Dieses Wachstum ist eine gute Nachricht. Das Governance-Problem ist, dass Organisationen Passkeys schneller einführen, als sie die Richtlinien zur Verwaltung der Tresore aufbauen, die sie speichern.

Die folgenden Kontrollen sind proportional zur Sensibilität der beteiligten Anmeldedaten. Nicht jede Organisation benötigt jede Kontrolle, aber jede Organisation, die privilegierte Anmeldedaten in Browser-Tresoren speichert, benötigt eine Richtlinie, die dies speziell adressiert.

Browser-Profil-Governance. Erzwingen Sie separate verwaltete Arbeitsprofile. Entmutigen Sie die Vermischung von persönlichen und Arbeits-Tresoren durch Richtlinien und Benutzerschulung.
Speicherung privilegierter Anmeldedaten. Verbieten Sie das Speichern von Admin-, Break-Glass-, Cloud-Root-, Finanz- und Service-Account-Anmeldedaten in nicht verwalteten Browser-Tresoren. Browser-Tresore sind bequem für die persönliche Nutzung. Sie sind nicht für geteilte Anmeldedaten, privilegierten Zugang oder Audit-Trails konzipiert.
Enterprise-Passwort-Management. Verwenden Sie einen dedizierten Enterprise-Passwortmanager für geteilte, privilegierte und auditierte Anmeldedaten. Passwork ist eine selbst gehostete Lösung, die genau für diese Trennung entwickelt wurde: privilegierte Anmeldedaten in einem kontrollierten, auditierbaren Tresor mit rollenbasierter Zugriffskontrolle, AD/LDAP-Integration und vollständigem Audit-Log.
Phishing-resistente MFA. Setzen Sie die Einführung von WebAuthn und FIDO2 fort. Erweitern Sie die Benutzerschulung auf Wiederherstellungsabläufe und Tresor-Aufforderungen, nicht nur auf Passwörter und OTP-Codes.
Geräte- und Sitzungssichtbarkeit. Überwachen Sie auf unbekannte Geräteregistrierungen, ungewöhnliche Sitzungsaktivitäten und unerwartete Kontosicherheitsänderungen. Google sendet eine „Neue Anmeldung"-E-Mail für jede neue Chrome-Anmeldung. In einem AiTM-Angriff, bei dem der Angreifer auch die Posteingangs-Sitzung des Opfers abgefangen hat, kann diese E-Mail unterdrückt werden, bevor der Benutzer sie sieht.
Incident Response. Erstellen Sie ein Tresor-Expositions-Runbook, das Anmeldedaten-Rotation, Sitzungswiderruf, Passkey-Überprüfung und Drittanbieter-Kontoüberwachung umfasst.
Security Awareness. Schulen Sie Benutzer, dass PINs, Passwortmanager-Aufforderungen und Wiederherstellungsabläufe Phishing-Ziele sind. Sie tragen dasselbe Risiko wie Passwörter und OTP-Codes.

Der Punkt zum Enterprise-Passwortmanager verdient Betonung. Browser-Tresore sind bequem und verbessern die Passwort-Einzigartigkeit für viele Benutzer. Sie sind nicht für geteilte Anmeldedaten, privilegierten Zugang oder Audit-Trails konzipiert.

Warum ein Enterprise-Passwortmanager sicherer ist als ein Browser-Tresor für Arbeits-Anmeldedaten

Ein Browser-Passwortmanager löst ein persönliches Komfortproblem: Autofill, Gerätesynchronisation, mühelose Speicherung. Für einen einzelnen Benutzer ist das eine vernünftige Wahl. Für eine Unternehmensumgebung wird dieselbe Einfachheit zu einer strukturellen Schwachstelle.

Passwork ist die Enterprise-Alternative zu persönlichen Browser-Tresoren. Die Passwork-Browser-Erweiterung funktioniert genau wie ein integrierter Browser-Passwortmanager — sie füllt Logins auf Websites automatisch aus, bietet an, neue Anmeldedaten zu speichern — speichert sie aber in einem geschützten Unternehmens-Tresor anstatt in einem persönlichen Browser-Profil.

Passwork unterstützt selbst gehostete Bereitstellung, AES-256-Verschlüsselung, Active Directory- und LDAP-Integration, SSO-Autorisierung, rollenbasierte Zugriffskontrolle, vollständiges Audit-Logging, SIEM-Integration sowie REST API- und CLI-Tools für DevOps-Workflows.

Kriterium	Browser-Tresor	Passwork
Datenspeicherung	Server des Cloud-Anbieters	Eigene Infrastruktur des Unternehmens
Verschlüsselung	Vom Anbieter verwaltet; Schlüssel beim Anbieter	AES-256; Verschlüsselungsschlüssel beim Unternehmen
Autofill	Ja	Ja, über Browser-Erweiterung — identische Benutzererfahrung
Zugriffskontrolle	Keine — alle Benutzer sehen alle Anmeldedaten, auf die sie zugreifen können	Rollenbasiert: Mitarbeiter sehen nur ihre zugewiesenen Tresore und Ordner
Geteilte Team-Anmeldedaten	Manuell per Chat, E-Mail, Notizen weitergegeben	In geteilten Tresoren mit granularer Zugriffskontrolle gespeichert
Audit-Log	Keines	Vollständig: wer worauf zugegriffen hat, wann und was geändert wurde
Sichtbarkeit für das Sicherheitsteam	Keine — persönliches Profil außerhalb der Unternehmenskontrolle	Volle Sichtbarkeit: alle Tresore, Berechtigungen und Zugriffsereignisse
Infrastruktur-Integration	Keine	Active Directory, LDAP, SSO, SIEM, REST API, CLI
VaultJacking-Schutz	Anfällig: Eine einzige PIN legt den gesamten Tresor offen	Tresor vom Browser-Profil und persönlichen Konto isoliert
Regulatorische Compliance	Nicht verifiziert	ISO 27001, DSGVO, NIS2, SOC 2 zertifiziert

Der Unterschied ist architektonisch. Ein Browser-Tresor priorisiert individuellen Komfort. Ein Enterprise-Passwortmanager priorisiert organisatorische Kontrolle und Sichtbarkeit. Wenn privilegierte Anmeldedaten in einem Browser-Tresor landen, wurde das falsche Werkzeug für die Aufgabe gewählt — nicht weil das Werkzeug schlecht ist, sondern weil es für ein anderes Problem konzipiert wurde.

Fazit: Was gegen VaultJacking zu tun ist

Die Bedrohung, die VaultJacking beschreibt, ist spezifisch: eine Phishing-Technik, die eine abgefangene PIN in tresorweite Anmeldedaten-Exposition verwandelt. Die Reaktion sollte ebenso spezifisch sein — keine Panik über Passkeys und keine Verharmlosung des Browser-Tresor-Risikos, sondern eine klare Richtlinie, die persönlichen Anmeldedaten-Komfort von privilegierter Anmeldedaten-Governance trennt.

Beginnen Sie mit dem Audit. Finden Sie heraus, welche privilegierten Anmeldedaten derzeit in Browser-Tresoren liegen. Welche Admin-Konten sind mit persönlichen Geräten synchronisiert? Welche Break-Glass-Anmeldedaten sind im Google Passwortmanager gespeichert? Diese Antwort wird Ihnen sagen, wie viel Arbeit noch zu tun ist.

Von dort aus ist der Weg klar: Verbieten Sie privilegierte Anmeldedaten in Browser-Tresoren, verschieben Sie sie in einen Enterprise-Passwortmanager mit Audit-Trails und Zugriffskontrollen, und erweitern Sie Ihr Security-Awareness-Training auf Tresor-Aufforderungen und Wiederherstellungsabläufe.

VaultJacking ist kein Grund, Browser-Passwortmanager aufzugeben. Es ist ein Grund, sie für das zu verwenden, wofür sie konzipiert wurden — persönliche Anmeldedaten — und ein separates, auditierbares System für alles andere aufzubauen.

Passwork ist ein selbst gehosteter Enterprise-Passwort- und Secrets-Manager, der für privilegierte Anmeldedaten-Governance entwickelt wurde. Er bietet rollenbasierten Zugriff, vollständige Audit-Logs und vollständige Trennung von Consumer-Browser-Tresoren. Erfahren Sie, wie er in Ihre Infrastruktur passt

Häufig gestellte Fragen

Was ist VaultJacking?

VaultJacking ist eine Phishing-Technik, die auf den Tresor des Google Passwortmanagers abzielt, indem sie die Google-Passwortmanager-PIN des Benutzers während einer Adversary-in-the-Middle-Phishing-Sitzung abfängt. Die abgefangene PIN wird verwendet, um ein vom Angreifer kontrolliertes Gerät in die Google-Sicherheitsdomäne des Opfers einzuschreiben, wodurch jedes synchronisierte Passwort und jeder Passkey im Tresor entschlüsselt wird. Die Technik wurde im Mai 2026 End-to-End von PhishU demonstriert.

Ist VaultJacking eine Google-Schwachstelle?

Basierend auf veröffentlichten Berichten ist VaultJacking eine demonstrierte Phishing- und Workflow-Missbrauchstechnik, keine klassifizierte Schwachstelle in Googles Systemen. Sie nutzt das Design von Googles Geräteregistrierungsablauf aus — insbesondere das Fehlen einer geräteübergreifenden Genehmigung für neue Sicherheitsdomänen-Beitritte — was Google bewusst als UX-Kompromiss für die Wiederherstellung bei verlorenem Gerät gewählt hat. Ob Google dies als Schwachstelle klassifiziert, die eine Behebung erfordert, ist eine separate Frage, die zum Zeitpunkt des Schreibens nicht öffentlich beantwortet wurde.

Bricht VaultJacking Passkeys?

Nein. Passkeys basieren auf ursprungsgebundener Public-Key-Kryptographie, wie in der W3C WebAuthn-Spezifikation definiert. Eine Phishing-Seite kann eine WebAuthn-Assertion nicht gegen die echte Website wiedergeben, weil die Ursprungsbindung fehlschlägt. VaultJacking zielt auf den Tresor und die Wiederherstellungsebene ab, die Passkeys speichert — nicht auf die kryptographische Authentifizierungszeremonie selbst. Passkeys bleiben auf der Einzelsite-Login-Ebene phishing-resistent.

Was ist die Google-Passwortmanager-PIN?

Die Google-Passwortmanager-PIN ist ein Geheimnis, das verschlüsselte Google-Passwortmanager-Daten schützt. Laut Googles Dokumentation wird sie erstellt, wenn ein Benutzer seinen ersten Passkey auf einem Computer, iPhone oder iPad speichert, und sie wird verwendet, um auf Passkeys auf neuen Geräten zuzugreifen, die Identität zu verifizieren und sicherzustellen, dass nicht einmal Google den verschlüsselten Tresorinhalt lesen kann. Sie unterscheidet sich vom Google-Kontopasswort und von der Geräte-Bildschirmsperre.

Kann eine PIN alle meine gespeicherten Passwörter offenlegen?

Die Demonstration von PhishU zeigt, dass eine abgefangene sechsstellige Google-Passwortmanager-PIN einem Angreifer ermöglichen kann, den gesamten synchronisierten Tresor zu entschlüsseln — jedes gespeicherte Passwort und jeden synchronisierten Passkey — von einer vom Angreifer kontrollierten Infrastruktur aus. Die PIN gibt das Security Domain Secret frei, das den Tresor in einer einzigen Operation entschlüsselt. Wenn Sie die PIN auf einer Seite eingegeben haben, zu der Sie nicht direkt navigiert sind, behandeln Sie dies als mögliche vollständige Tresor-Exposition.

Was sollte ich tun, wenn ich die PIN auf einer verdächtigen Seite eingegeben habe?

Überprüfen Sie sofort Ihre angemeldeten Geräte und registrierten Passkeys unter myaccount.google.com. Widerrufen Sie alle unbekannten Geräte oder Sitzungen. Ändern Sie Ihr Google-Kontopasswort. Rotieren Sie hochwertige Anmeldedaten, die im Tresor gespeichert sind — priorisieren Sie SSO, E-Mail, Cloud-Konsolen, Finanzplattformen und Admin-Konten. Überprüfen Sie Drittanbieterdienste auf ungewöhnliche Login-Aktivitäten. Wenn Sie in einer Organisation sind, eröffnen Sie einen Incident-Response-Fall, anstatt dies als Einzelkonto-Problem zu behandeln.

Sollten Unternehmen den Google Passwortmanager verbieten?

Ein pauschales Verbot ist für die meisten Organisationen nicht die richtige Richtlinie. Ein risikobasierter Ansatz funktioniert besser: Beschränken Sie die Speicherung privilegierter und geteilter Anmeldedaten auf einen Enterprise-Passwortmanager mit Audit-Kontrollen, erzwingen Sie separate verwaltete Browser-Profile für die Arbeit und erweitern Sie das Phishing-Awareness-Training auf Passwortmanager-Aufforderungen und Wiederherstellungsabläufe. Der Google Passwortmanager ist für persönliche Anmeldedaten geeignet; er ist nicht für Break-Glass-Konten oder geteilten Admin-Zugang konzipiert.

Reichen Hardware-Sicherheitsschlüssel aus, um dies zu stoppen?

Hardware-Sicherheitsschlüssel stärken die Sicherheitsgarantie bei der Google-Kontoanmeldung, aber sie steuern nicht automatisch die Browser-Tresor-Synchronisation, Wiederherstellungsabläufe oder die im Tresor gespeicherten Anmeldedaten. VaultJacking zielt auf die Tresor-Verwaltungsebene ab, nicht auf den Kontoanmeldeschritt. Ein Hardware-Schlüssel für das Google-Konto reduziert das Risiko einer Kontoübernahme, verhindert aber nicht, dass ein Benutzer dazu verleitet wird, seine Google-Passwortmanager-PIN auf einer Phishing-Seite einzugeben.

VaultJacking: Wie eine einzige PIN den Google Passwortmanager-Tresor offenlegt

VaultJacking zielt auf die PIN des Google Passwortmanagers ab, um Ihren gesamten Tresor zu entsperren. Eine abgefangene PIN legt alle gespeicherten Passwörter und Passkeys offen. Erfahren Sie, wie der Angriff funktioniert, wer gefährdet ist und was Sie tun können, wenn Sie Opfer von Phishing wurden.

Cybersecurity

May 31, 2026 — 22 min read

VaultJacking: cómo un solo PIN expone la bóveda de Google Password Manager

VaultJacking es una técnica de phishing que ataca la bóveda de Google Password Manager capturando el PIN que la desbloquea. Demostrada por PhishU el 20 de mayo de 2026, el ataque muestra cómo un único secreto de seis dígitos, capturado durante una sesión de phishing adversary-in-the-middle (AiTM), puede dar a un atacante acceso a cada contraseña y passkey sincronizada que la víctima haya almacenado en Google Password Manager.

Para las empresas, los riesgos son mayores de lo que parecen. La bóveda del navegador de un solo empleado puede contener credenciales SSO, acceso a consolas en la nube, inicios de sesión de plataformas financieras y claves de repositorios de código: todo en un solo lugar y expuesto por un único PIN capturado. Es un riesgo organizacional que queda fuera de la mayoría de los manuales de respuesta a incidentes existentes, y fuera de la visibilidad de la mayoría de los equipos de TI y seguridad.

Puntos clave

VaultJacking importa porque los gestores de contraseñas del navegador concentran contraseñas, passkeys y flujos de recuperación en un único objetivo de alto valor. Antes de continuar leyendo, esto es lo que necesita saber.

VaultJacking ataca la capa de sincronización de la bóveda. El ataque no rompe la criptografía WebAuthn. Abusa del flujo de inscripción de dispositivos que gobierna quién puede leer la bóveda sincronizada.
El PIN de Google Password Manager es un secreto de acceso a la bóveda. Google utiliza el PIN para proteger los datos de credenciales cifrados. Trátelo en consecuencia, no como un código desechable.
Un único PIN capturado puede exponer toda la bóveda. La demostración de PhishU muestra que una única entrada de PIN puede permitir a un atacante descifrar cada contraseña y passkey sincronizada en infraestructura controlada por el operador.
El riesgo empresarial escala con las brechas de gobernanza. La mezcla de perfiles personales y laborales, los perfiles de Chrome no gestionados y las credenciales privilegiadas almacenadas en bóvedas del navegador aumentan el radio de impacto.
La respuesta a incidentes debe ir más allá de un restablecimiento de contraseña. Un evento sospechoso de VaultJacking requiere revisar dispositivos, sesiones, passkeys, contenidos de la bóveda e inicios de sesión posteriores, no solo cambiar una contraseña.

¿Qué es VaultJacking?

VaultJacking es una técnica de phishing que ataca la experiencia de acceso y recuperación de la bóveda de Google Password Manager. En lugar de robar una credencial de un sitio, el atacante captura el PIN de Google Password Manager durante una sesión de phishing AiTM y lo utiliza para inscribir un dispositivo controlado por el atacante en el dominio de seguridad de Google de la víctima, obteniendo acceso a toda la bóveda de credenciales sincronizadas. El término y la demostración completa se originan en la investigación publicada por PhishU.

El phishing tradicional de credenciales ataca una cuenta a la vez. VaultJacking es una clase diferente de ataque: el atacante evita las credenciales individuales por completo y va directamente al repositorio que las contiene todas.

La investigación de PhishU describe el ataque como totalmente consistente con el phishing AiTM estándar. El proxy AiTM captura el PIN junto con las cookies de sesión. Un proceso en segundo plano añade entonces una passkey propiedad del atacante a la cuenta de Google de la víctima para persistencia, se une al dominio de seguridad desde la infraestructura del atacante usando el PIN capturado, y descifra toda la bóveda. El operador ve cada credencial sincronizada en una sola vista.

Phishing vs VaultJacking

Phishing

1. Página de inicio de sesión falsa

↓

2. Captura de contraseña

↓

3. Acceso a una sola cuenta

↓

4. Daño limitado

VaultJacking

1. Página proxy AiTM

↓

2. Interceptación del PIN

↓

3. Inscripción del dispositivo

↓

4. Acceso al SDS

↓

5. Compromiso total de la bóveda

Browser Syncjacking, una técnica separada que PhishU referencia, alcanza la misma capa de sincronización de Google mediante una extensión de navegador maliciosa. VaultJacking no requiere ni un punto de apoyo en el dispositivo ni una extensión.

¿Qué es el PIN de Google Password Manager?

El PIN de Google Password Manager es un secreto separado de la contraseña de su cuenta de Google y del bloqueo de pantalla de su dispositivo. La documentación de Google lo describe como una forma de proteger los datos cifrados de Google Password Manager, usar passkeys en un nuevo dispositivo y verificar la identidad.

Los usuarios frecuentemente confunden tres secretos diferentes, y esa confusión es parte de lo que hace efectivo a VaultJacking:

Secreto	Qué es	Por qué importa la confusión
Contraseña de la cuenta de Google	La credencial utilizada para iniciar sesión en una cuenta de Google	Los usuarios pueden introducir esto cuando se les solicita un PIN, sin darse cuenta de la diferencia
Bloqueo de pantalla del dispositivo	Un PIN local, código de acceso, biométrico o patrón que desbloquea el dispositivo	Las passkeys a menudo usan el desbloqueo del dispositivo, pero esto no es lo mismo que el PIN de Google Password Manager
PIN de Google Password Manager	Un PIN que protege los datos cifrados de Google Password Manager, utilizado en flujos de acceso a la bóveda e inscripción de dispositivos	VaultJacking ataca específicamente este secreto

Verá el aviso del PIN de Google Password Manager al crear su primera passkey en un nuevo dispositivo, al acceder a credenciales guardadas cifradas en ciertos contextos de recuperación, o cuando un nuevo dispositivo se une a su dominio de seguridad de Google. Este último escenario es exactamente lo que VaultJacking explota.

La razón estructural por la que esto funciona, según el análisis de PhishU del código fuente de Chromium (chrome/browser/webauthn/enclave_manager.cc y components/trusted_vault/), es que el flujo de unión al dominio de seguridad de Google requiere dos verificaciones: un inicio de sesión en la cuenta de Google y una entrada exitosa del PIN. No hay aviso de aprobación entre dispositivos, ni notificación push a los dispositivos existentes, ni confirmación de «aprobar desde otro dispositivo».

El Llavero de iCloud de Apple requiere que los dispositivos existentes aprueben los nuevos. El modelo de Google no lo hace. Google hizo una elección deliberada de experiencia de usuario: un PIN con un límite de reintentos del lado del servidor es más fácil de recuperar que un modelo de aprobación por push cuando un usuario ha perdido todos sus dispositivos. VaultJacking es la consecuencia de esa decisión.

Cómo funciona la cadena de ataque de VaultJacking

Lo siguiente describe el ataque conceptualmente con fines defensivos. No se incluyen detalles de implementación ofensiva.

Señuelo. La víctima recibe un enlace de phishing y llega a una página que imita un flujo legítimo de inicio de sesión o cuenta de Google. Trate cualquier flujo de inicio de sesión inesperado que llegue por correo electrónico, chat o enlace de anuncio con sospecha.
Transferencia de confianza. El proxy AiTM presenta un aviso de PIN con el mismo estilo que la propia interfaz de Google: misma fuente, misma entrada de seis celdas, mismo texto. La educación del usuario debe cubrir los avisos de PIN del gestor de contraseñas, no solo las contraseñas y los códigos OTP.
Captura del PIN. La víctima introduce el PIN en el flujo de phishing. El PIN es un secreto de acceso a la bóveda, equivalente en sensibilidad a una contraseña maestra.
Inscripción del dispositivo del atacante. El atacante utiliza el PIN capturado para unirse al dominio de seguridad de Google de la víctima desde infraestructura controlada por el atacante. También se registra una passkey propiedad del atacante para persistencia. Revise los dispositivos conectados y las passkeys registradas inmediatamente después de cualquier contacto sospechoso de phishing.
Descifrado de la bóveda. El Security Domain Secret es liberado por el autenticador en la nube de Google, y el dispositivo del atacante descifra cada contraseña y passkey sincronizada. La bóveda puede contener credenciales para correo electrónico, SSO, consolas en la nube, plataformas financieras y repositorios de código.
Compromiso posterior. Las credenciales de terceros guardadas se utilizan contra otros servicios. Rote las credenciales de alto valor y monitorice los inicios de sesión de terceros.

PhishU probó esto de extremo a extremo contra cuentas reales de Google Password Manager, incluyendo la reproducción de passkeys de terceros capturadas independientemente de si la credencial original estaba respaldada por hardware. Trate esto como una técnica demostrada. No hay evidencia pública de explotación activa generalizada en el momento de escribir esto, pero la técnica no requiere acceso especializado ni punto de apoyo en el dispositivo.

¿VaultJacking significa que las passkeys están rotas?

No. VaultJacking no rompe la criptografía de las passkeys. Las passkeys se basan en autenticación de clave pública vinculada al origen según se define en la especificación W3C WebAuthn: la clave privada nunca sale del dispositivo, y la ceremonia de autenticación está vinculada al origen del sitio legítimo. Una página de phishing no puede reproducir una aserción WebAuthn contra el sitio real porque la verificación de origen falla. Esa protección se mantiene.

Lo que demuestra VaultJacking es que las passkeys no existen de forma aislada. Existen dentro de una bóveda, que se sincroniza entre dispositivos, que depende de un mecanismo de recuperación, que está gobernado por un PIN. El atacante evita la ceremonia criptográfica por completo al atacar la capa de gestión de la bóveda en su lugar.

Google describe las passkeys como una forma de iniciar sesión con huella dactilar, escaneo facial o bloqueo de pantalla — más simple y más seguro que las contraseñas. Esa descripción es precisa en la capa de autenticación por sitio. El problema que VaultJacking expone está un nivel más arriba: qué gobierna el acceso al almacén que contiene esas passkeys.

Capa	Protección normal	Relevancia de VaultJacking
Autenticación WebAuthn	La criptografía de clave pública vinculada al origen previene la reproducción de credenciales en sitios de phishing	El ataque no necesita robar una credencial passkey reutilizable
Bóveda de Google Password Manager	Almacenamiento cifrado con recuperación protegida por PIN	El atacante ataca el PIN y el flujo de inscripción de dispositivos alrededor de la bóveda
Interfaz de usuario	Los usuarios confían en los avisos del navegador y de Google	El phishing abusa de esa confianza imitando avisos legítimos de PIN
Gobernanza empresarial	Los administradores pueden o no controlar el uso del perfil del navegador y las credenciales guardadas	Una gobernanza deficiente aumenta el radio de impacto después del compromiso a nivel de bóveda

Por qué un único PIN puede crear un gran radio de impacto

Una bóveda de gestor de contraseñas es un almacén concentrado de accesos. Un único PIN capturado expone cada credencial que la víctima haya guardado en Google Password Manager.

El Informe del Panorama de Amenazas de Identidad 2025 de Recorded Future encontró que el dispositivo comprometido promedio proporcionaba 87 credenciales robadas, y que 276 millones de las credenciales indexadas en 2025 incluían cookies de sesión activas — lo que significa que los atacantes podían eludir completamente el MFA para esas cuentas.

El DBIR 2026 de Verizon pone el efecto posterior en contexto: el abuso de credenciales aparece en algún momento en el 39% de todas las brechas confirmadas, en más de 22.000 incidentes en 145 países. Los atacantes rara vez se detienen en la primera puerta que abre una credencial robada. Se mueven lateralmente, escalan privilegios y trabajan a través de cada inicio de sesión guardado hasta que encuentran algo valioso.

Tipo de contenido de la bóveda	Riesgo potencial posterior
Credenciales de correo electrónico y SSO	Abuso de recuperación de cuenta, movimiento lateral, suplantación de identidad
Credenciales de consola en la nube	Acceso a infraestructura, escalada de privilegios, exposición de datos
Credenciales de repositorios de código	Robo de código fuente, compromiso de pipelines CI/CD, exposición de secretos
Credenciales de finanzas y nóminas	Fraude, manipulación de facturas, desvío de pagos
Cuentas personales mezcladas con perfiles de trabajo	Ruta de exposición no gestionada hacia sistemas empresariales
Passkeys guardadas	El riesgo depende del estado de sincronización, controles de recuperación y política de inscripción de dispositivos

¿Quién está en mayor riesgo?

El riesgo se concentra donde se superponen tres condiciones: los datos de la bóveda del navegador son el almacén principal de credenciales, las credenciales de trabajo y personales comparten un perfil, y las credenciales privilegiadas han terminado en un sistema de nivel consumidor.

El problema de mezcla de credenciales. Los empleados guardan credenciales de trabajo en perfiles personales de Chrome. Los administradores no tienen visibilidad ni control sobre el contenido de la bóveda o los dispositivos sincronizados. Esto significa que las contraseñas corporativas viven fuera del perímetro de seguridad, respaldadas en los servidores de Google, y accesibles desde cualquier dispositivo en el que el empleado haya iniciado sesión.
Los usuarios privilegiados son el objetivo de mayor valor. Las contraseñas de administrador almacenadas en Google Password Manager representan la concentración de riesgo más peligrosa. Un compromiso de bóveda expone las llaves a plataformas de identidad, infraestructura en la nube, sistemas financieros y herramientas de seguridad. Una única cuenta de administrador comprometida se convierte en un punto de pivote para el movimiento lateral a través de toda la organización.
La formación en seguridad no cubre esta superficie de ataque. Los programas de concienciación de seguridad enseñan a los usuarios a reconocer correos de phishing y proteger códigos OTP. No enseñan a los usuarios a reconocer los avisos de PIN del gestor de contraseñas como objetivos sensibles. Los usuarios ven una solicitud de PIN y cumplen — no lo ven como un evento de seguridad que debería activar el escepticismo.
Las brechas de políticas dejan las credenciales en el lugar equivocado. La mayoría de las organizaciones no tienen una política que separe las bóvedas del navegador de la gestión de credenciales empresariales. Las credenciales compartidas, contraseñas de administrador y cuentas de emergencia pueden almacenarse donde los empleados encuentren conveniente. No existe un registro de auditoría que muestre dónde viven estas credenciales o quién las ha accedido.
Los procesos de revisión de dispositivos y sesiones son demasiado lentos. La inscripción sospechosa de dispositivos o el acceso a la bóveda puede pasar desapercibido durante semanas.

El último punto importa más de lo que podría parecer. PhishU señala que Google envía un único correo electrónico de «nuevo inicio de sesión en Windows» cuando un nuevo dispositivo se une al dominio de seguridad — la misma notificación enviada para cualquier nuevo inicio de sesión en Chrome. No se dispara ninguna notificación push en los dispositivos existentes. En un compromiso AiTM donde el atacante también ha capturado la sesión del buzón de la víctima, ese correo puede ser suprimido antes de que el usuario lo vea.

Qué hacer si un PIN de Google Password Manager puede haber sido phisheado

No trate un evento sospechoso de VaultJacking como un incidente de una sola contraseña. Trátelo como posible exposición de la bóveda hasta que se demuestre lo contrario.

La siguiente secuencia de triaje es para equipos de seguridad e individuos. Los nombres de eventos de Google Workspace deben verificarse contra la documentación actual del Administrador de Google antes de construir detección automatizada.

Prioridad	Acción	Por qué importa
1	Desconéctese de la página sospechosa de phishing; preserve la URL, marca de tiempo y capturas de pantalla si es seguro hacerlo	La evidencia ayuda a determinar el alcance y alertar a otros usuarios
2	Revise la actividad de seguridad de la cuenta de Google, dispositivos conectados y passkeys añadidas recientemente en myaccount.google.com	La inscripción de bóveda o dispositivo puede haber creado persistencia del atacante
3	Cierre sesiones sospechosas y revoque dispositivos desconocidos	Reduce el acceso del atacante si se alcanzó la cuenta o la bóveda
4	Cambie la contraseña de la cuenta de Google si se sospecha un compromiso a nivel de cuenta	Previene el acceso continuo a nivel de cuenta; necesario pero no suficiente por sí solo
5	Rote las credenciales de alto valor guardadas en la bóveda	Priorice SSO, correo electrónico, consolas en la nube, plataformas financieras, cuentas de administrador, VPNs, repositorios de código y cualquier cuenta de gestor de contraseñas
6	Compruebe los servicios de terceros en busca de actividad de inicio de sesión inusual	Los atacantes pueden usar credenciales guardadas fuera de Google inmediatamente después del acceso a la bóveda
7	Para organizaciones: abra un caso de respuesta a incidentes y revise la telemetría de dispositivos, identidad y navegador	Un único usuario afectado puede crear exposición organizacional si tiene credenciales privilegiadas
8	Revise la política de bóveda del navegador y las prácticas de almacenamiento de credenciales privilegiadas	Previene incidentes repetidos y reduce el radio de impacto futuro

Los pasos 5 y 7 son donde la mayoría de las respuestas a incidentes fallan. Rotar la contraseña de la cuenta de Google sin rotar las credenciales posteriores que protege es como cambiar la cerradura de una caja fuerte después de que el contenido ya haya sido fotografiado.

Passwork le proporciona visibilidad de cada credencial, quién accedió a ella y cuándo. El control de acceso basado en roles significa que las credenciales compartidas permanecen en un solo lugar con un registro de auditoría completo — no dispersas en perfiles de navegador personales. Explore cómo funciona

Cómo los individuos pueden reducir el riesgo de VaultJacking

El consejo práctico aquí es breve. La mayor parte se reduce a tratar el PIN de Google Password Manager de la misma manera que trataría una contraseña maestra.

No introduzca el PIN de Google Password Manager en ninguna página a la que haya llegado haciendo clic en un enlace de correo electrónico, chat o anuncio. Navegue directamente a la configuración de la cuenta de Google.
Revise sus dispositivos conectados y passkeys registradas en myaccount.google.com periódicamente. Un dispositivo o passkey desconocido vale la pena investigar.
Mantenga los perfiles de navegador personales y de trabajo separados. Si un perfil personal se ve comprometido, las credenciales de trabajo no deberían estar en el radio de impacto.
Evite guardar credenciales de administrador o privilegiadas altamente sensibles en una bóveda de navegador de consumidor. Esas credenciales necesitan auditabilidad y controles de acceso que las bóvedas del navegador no proporcionan.
Continúe usando passkeys. Siguen siendo más seguras que las contraseñas reutilizables en la capa por sitio. Solo comprenda qué avisos son legítimos y cuáles no.

Controles empresariales y recomendaciones de políticas

El Informe de Tendencias de Inicio de Sesión Seguro 2025 de Okta encontró que la adopción de autenticadores resistentes al phishing creció del 8,6% al 14,0% de usuarios en un año — un aumento del 63%. Ese crecimiento es una buena noticia. El problema de gobernanza es que las organizaciones están adoptando passkeys más rápido de lo que están construyendo las políticas para gestionar las bóvedas que las almacenan.

Los siguientes controles son proporcionales a la sensibilidad de las credenciales involucradas. No todas las organizaciones necesitan todos los controles, pero toda organización que almacene credenciales privilegiadas en bóvedas del navegador necesita una política que aborde eso específicamente.

Gobernanza del perfil del navegador. Imponga perfiles de trabajo gestionados separados. Desaconseje la mezcla de bóvedas personales y de trabajo a través de políticas y educación del usuario.
Almacenamiento de credenciales privilegiadas. Prohíba almacenar credenciales de administrador, emergencia, root de nube, finanzas y cuentas de servicio en bóvedas de navegador no gestionadas. Las bóvedas del navegador son convenientes para uso personal. No están diseñadas para credenciales compartidas, acceso privilegiado o registros de auditoría.
Gestión empresarial de contraseñas. Use un gestor de contraseñas empresarial dedicado para credenciales compartidas, privilegiadas y auditadas. Passwork es una solución autoalojada construida exactamente para esta separación: credenciales privilegiadas en una bóveda controlada y auditable con control de acceso basado en roles, integración AD/LDAP y registro de auditoría completo.
MFA resistente al phishing. Continúe adoptando WebAuthn y FIDO2. Extienda la educación del usuario para cubrir flujos de recuperación y avisos de bóveda, no solo contraseñas y códigos OTP.
Visibilidad de dispositivos y sesiones. Monitorice inscripciones de dispositivos desconocidos, actividad de sesión inusual y cambios inesperados en la seguridad de la cuenta. Google envía un correo de «nuevo inicio de sesión» para cualquier nuevo inicio de sesión en Chrome. En un compromiso AiTM donde el atacante también ha capturado la sesión del buzón de la víctima, ese correo puede ser suprimido antes de que el usuario lo vea.
Respuesta a incidentes. Construya un manual de exposición de bóveda que incluya rotación de credenciales, revocación de sesiones, revisión de passkeys y monitorización de cuentas de terceros.
Concienciación de seguridad. Capacite a los usuarios de que los PINs, avisos del gestor de contraseñas y flujos de recuperación son objetivos de phishing. Conllevan el mismo riesgo que las contraseñas y los códigos OTP.

El punto sobre el gestor de contraseñas empresarial merece énfasis. Las bóvedas del navegador son convenientes y mejoran la unicidad de las contraseñas para muchos usuarios. No están diseñadas para credenciales compartidas, acceso privilegiado o registros de auditoría.

Por qué un gestor de contraseñas empresarial es más seguro que una bóveda del navegador para credenciales de trabajo

Un gestor de contraseñas del navegador resuelve un problema de conveniencia personal: autocompletado, sincronización entre dispositivos, almacenamiento sin esfuerzo. Para un usuario individual, esa es una elección razonable. Para un entorno corporativo, esa misma simplicidad se convierte en una vulnerabilidad estructural.

Passwork es la alternativa empresarial a las bóvedas personales del navegador. La extensión de navegador de Passwork funciona exactamente como un gestor de contraseñas integrado del navegador — autocompleta inicios de sesión en sitios web, ofrece guardar nuevas credenciales — pero las almacena en una bóveda corporativa protegida en lugar de un perfil personal del navegador.

Passwork soporta despliegue autoalojado, cifrado AES-256, integración con Active Directory y LDAP, autorización SSO, control de acceso basado en roles, registro de auditoría completo, integración SIEM y herramientas REST API y CLI para flujos de trabajo DevOps.

Criterio	Bóveda del navegador	Passwork
Almacenamiento de datos	Servidores del proveedor en la nube	Infraestructura propia de la empresa
Cifrado	Gestionado por el proveedor; claves en poder del proveedor	AES-256; claves de cifrado en poder de la empresa
Autocompletado	Sí	Sí, mediante extensión de navegador — experiencia de usuario idéntica
Control de acceso	Ninguno — todos los usuarios ven todas las credenciales a las que pueden acceder	Basado en roles: los empleados solo ven sus bóvedas y carpetas asignadas
Credenciales compartidas del equipo	Pasadas manualmente por chat, correo, notas	Almacenadas en bóvedas compartidas con control de acceso granular
Registro de auditoría	Ninguno	Completo: quién accedió a qué, cuándo y qué cambió
Visibilidad del equipo de seguridad	Ninguna — perfil personal fuera del control de la empresa	Visibilidad completa: todas las bóvedas, permisos y eventos de acceso
Integración de infraestructura	Ninguna	Active Directory, LDAP, SSO, SIEM, REST API, CLI
Protección contra VaultJacking	Vulnerable: un único PIN expone toda la bóveda	Bóveda aislada del perfil del navegador y la cuenta personal
Cumplimiento normativo	No verificado	Certificado ISO 27001, GDPR, NIS2, SOC 2

La diferencia es arquitectónica. Una bóveda del navegador prioriza la conveniencia individual. Un gestor de contraseñas empresarial prioriza el control y la visibilidad organizacional. Cuando las credenciales privilegiadas terminan en una bóveda del navegador, se ha elegido la herramienta incorrecta para el trabajo — no porque la herramienta sea mala, sino porque fue diseñada para un problema diferente.

Conclusión: Qué hacer ante VaultJacking

La amenaza que describe VaultJacking es específica: una técnica de phishing que convierte un único PIN capturado en exposición de credenciales a nivel de bóveda. La respuesta debe ser igualmente específica — no pánico sobre las passkeys, y no descarte del riesgo de la bóveda del navegador, sino una política clara que separe la conveniencia de credenciales personales de la gobernanza de credenciales privilegiadas.

Comience con la auditoría. Descubra qué credenciales privilegiadas viven actualmente en bóvedas del navegador. ¿Qué cuentas de administrador están sincronizadas con dispositivos personales? ¿Qué credenciales de emergencia están almacenadas en Google Password Manager? Esa respuesta le dirá cuánto trabajo hay por hacer.

A partir de ahí, el camino es directo: prohíba las credenciales privilegiadas en bóvedas del navegador, muévalas a un gestor de contraseñas empresarial con registros de auditoría y controles de acceso, y extienda su formación de concienciación de seguridad para cubrir avisos de bóveda y flujos de recuperación.

VaultJacking no es una razón para abandonar los gestores de contraseñas del navegador. Es una razón para usarlos para lo que fueron diseñados — credenciales personales — y para construir un sistema separado y auditable para todo lo demás.

Passwork es un gestor de contraseñas y secretos empresarial autoalojado construido para la gobernanza de credenciales privilegiadas. Proporciona acceso basado en roles, registros de auditoría completos y separación total de las bóvedas de navegador de consumidor. Vea cómo encaja en su infraestructura

Preguntas frecuentes

¿Qué es VaultJacking?

VaultJacking es una técnica de phishing que ataca la bóveda de Google Password Manager capturando el PIN de Google Password Manager del usuario durante una sesión de phishing adversary-in-the-middle. El PIN capturado se utiliza para inscribir un dispositivo controlado por el atacante en el dominio de seguridad de Google de la víctima, descifrando cada contraseña y passkey sincronizada almacenada en la bóveda. La técnica fue demostrada de extremo a extremo por PhishU en mayo de 2026.

¿Es VaultJacking una vulnerabilidad de Google?

Según los informes publicados, VaultJacking es una técnica demostrada de phishing y abuso de flujos de trabajo, no una vulnerabilidad clasificada en los sistemas de Google. Explota el diseño del flujo de inscripción de dispositivos de Google — específicamente la ausencia de aprobación entre dispositivos para nuevas uniones al dominio de seguridad — que Google eligió deliberadamente como una decisión de experiencia de usuario para la recuperación de dispositivos perdidos. Si Google clasifica esto como una vulnerabilidad que requiere una corrección es una cuestión separada que no ha sido respondida públicamente en el momento de escribir esto.

¿VaultJacking rompe las passkeys?

No. Las passkeys se basan en criptografía de clave pública vinculada al origen según se define en la especificación W3C WebAuthn. Una página de phishing no puede reproducir una aserción WebAuthn contra el sitio real porque la vinculación al origen falla. VaultJacking ataca la capa de bóveda y recuperación que almacena las passkeys — no la ceremonia de autenticación criptográfica en sí. Las passkeys siguen siendo resistentes al phishing en la capa de inicio de sesión por sitio.

¿Qué es el PIN de Google Password Manager?

El PIN de Google Password Manager es un secreto que protege los datos cifrados de Google Password Manager. Según la documentación de Google, se crea cuando un usuario guarda su primera passkey en un ordenador, iPhone o iPad, y se utiliza para acceder a passkeys en nuevos dispositivos, verificar la identidad y asegurar que ni siquiera Google pueda leer el contenido cifrado de la bóveda. Es distinto de la contraseña de la cuenta de Google y del bloqueo de pantalla del dispositivo.

¿Puede un único PIN exponer todas mis contraseñas guardadas?

La demostración de PhishU muestra que un PIN de Google Password Manager de seis dígitos capturado puede permitir a un atacante descifrar toda la bóveda sincronizada — cada contraseña guardada y cada passkey sincronizada — desde infraestructura controlada por el atacante. El PIN libera el Security Domain Secret, que descifra la bóveda en una sola operación. Si introdujo el PIN en una página a la que no navegó directamente, trátelo como posible exposición completa de la bóveda.

¿Qué debo hacer si introduje el PIN en una página sospechosa?

Revise sus dispositivos conectados y passkeys registradas en myaccount.google.com inmediatamente. Revoque cualquier dispositivo o sesión desconocida. Cambie su contraseña de la cuenta de Google. Rote las credenciales de alto valor guardadas en la bóveda — priorice SSO, correo electrónico, consolas en la nube, plataformas financieras y cuentas de administrador. Compruebe los servicios de terceros en busca de actividad de inicio de sesión inusual. Si está en una organización, abra un caso de respuesta a incidentes en lugar de tratar esto como un problema de una sola cuenta.

¿Deberían las empresas prohibir Google Password Manager?

Una prohibición general no es la política correcta para la mayoría de las organizaciones. Un enfoque basado en riesgos funciona mejor: restrinja el almacenamiento de credenciales privilegiadas y compartidas a un gestor de contraseñas empresarial con controles de auditoría, imponga perfiles de navegador gestionados separados para uso laboral, y extienda la formación de concienciación sobre phishing para cubrir avisos del gestor de contraseñas y flujos de recuperación. Google Password Manager es apropiado para credenciales personales; no está diseñado para cuentas de emergencia o acceso de administrador compartido.

¿Son las llaves de seguridad de hardware suficientes para detener esto?

Las llaves de seguridad de hardware fortalecen la garantía de inicio de sesión de la cuenta de Google, pero no gobiernan automáticamente la sincronización de la bóveda del navegador, los flujos de recuperación o las credenciales almacenadas dentro de la bóveda. VaultJacking ataca la capa de gestión de la bóveda, no el paso de inicio de sesión de la cuenta. Una llave de hardware en la cuenta de Google reduce el riesgo de toma de control de la cuenta pero no impide que un usuario sea engañado para introducir su PIN de Google Password Manager en una página de phishing.

VaultJacking: cómo un solo PIN expone la bóveda de Google Password Manager

VaultJacking ataca el PIN de Google Password Manager para desbloquear toda la bóveda. Un solo PIN capturado expone todas las contraseñas y passkeys guardadas. Descubra cómo funciona el ataque, quién está en riesgo y qué hacer si ha sido víctima de phishing.

Cybersecurity

May 31, 2026 — 21 min read

VaultJacking: How one PIN exposes the Google password manager vault

VaultJacking is a phishing technique that targets the Google Password Manager vault by capturing the PIN that unlocks it. Demonstrated by PhishU on May 20, 2026, the attack shows how a single six-digit secret, captured during an adversary-in-the-middle (AiTM) phishing session, can give an attacker access to every synced password and passkey a victim has stored in Google Password Manager.

For businesses, the stakes are higher than they appear. A single employee's browser vault can hold SSO credentials, cloud console access, finance platform logins, and code repository keys: all in one place and exposed by one captured PIN. It is an organizational risk that sits outside most existing incident-response playbooks, and outside the visibility of most IT and security teams.

Key takeaways

VaultJacking matters because browser password managers concentrate passwords, passkeys, and recovery flows into a single high-value target. Before reading further, here is what you need to know.

VaultJacking targets the vault sync layer. The attack does not break WebAuthn cryptography. It abuses the device-enrollment flow that governs who can read the synced vault.
The Google Password Manager PIN is a vault-access secret. Google uses the PIN to protect encrypted credential data. Treat it accordingly, not as a throwaway code.
One captured PIN can expose the entire vault. PhishU's demonstration shows that a single PIN entry can allow an attacker to decrypt every synced password and passkey on operator-controlled infrastructure.
Enterprise risk scales with governance gaps. Personal/work profile mixing, unmanaged Chrome profiles, and privileged credentials stored in browser vaults all increase the blast radius.
Incident response must go beyond a password reset. A suspected VaultJacking event requires reviewing devices, sessions, passkeys, vault contents, and downstream logins, not just changing one password.

What is VaultJacking?

VaultJacking is a phishing technique that targets the Google Password Manager vault access and recovery experience. Instead of stealing one site credential, the attacker captures the Google Password Manager PIN during an AiTM phishing session and uses it to enroll an attacker-controlled device into the victim's Google security domain, gaining access to the entire synced credential vault. The term and the end-to-end demonstration originate from PhishU's published research.

Traditional credential phishing targets one account at a time. VaultJacking is a different class of attack: the attacker bypasses individual credentials entirely and goes straight for the repository that holds all of them.

PhishU's research describes the attack as fully consistent with standard AiTM phishing. The AiTM proxy captures the PIN alongside session cookies. A background worker then adds an attacker-owned passkey to the victim's Google account for persistence, joins the security domain from attacker infrastructure using the captured PIN, and decrypts the entire vault. The operator sees every synced credential in a single view.

Phishing vs VaultJacking

Phishing

1. Fake login page

↓

2. Password capture

↓

3. Single account access

↓

4. Limited damage

VaultJacking

1. AiTM proxy page

↓

2. PIN interception

↓

3. Device enrollment

↓

4. SDS access

↓

5. Full vault compromise

Browser Syncjacking, a separate technique PhishU references, reaches the same Google sync layer via a malicious browser extension. VaultJacking requires neither a device foothold nor an extension.

What is the Google Password Manager PIN?

The Google Password Manager PIN is a separate secret from your Google account password and your device screen lock. Google's documentation describes it as a way to protect encrypted Google Password Manager data, use passkeys on a new device, and verify identity.

Users frequently confuse three different secrets, and that confusion is part of what makes VaultJacking effective:

Secret	What it is	Why the confusion matters
Google account password	The credential used to sign in to a Google account	Users may enter this when prompted for a PIN, not realizing the difference
Device screen lock	A local PIN, passcode, biometric, or pattern that unlocks the device	Passkeys often use device unlock, but this is not the same as the Google Password Manager PIN
Google Password Manager PIN	A PIN that protects encrypted Google Password Manager data, used in vault access and device enrollment flows	VaultJacking specifically targets this secret

You will see the Google Password Manager PIN prompt when creating your first passkey on a new device, when accessing encrypted saved credentials in certain recovery contexts, or when a new device joins your Google security domain. That last scenario is exactly what VaultJacking exploits.

The structural reason this works, according to PhishU's analysis of the Chromium source (chrome/browser/webauthn/enclave_manager.cc and components/trusted_vault/), is that Google's security domain join flow requires two checks: a Google account sign-in and a successful PIN entry. There is no cross-device approval prompt, no push notification to existing devices, no "approve from another device" confirmation.

Apple's iCloud Keychain requires existing devices to approve new ones. Google's model does not. Google made a deliberate UX trade-off: a PIN with a server-side retry cap is easier to recover from than a push-to-approve model when a user has lost all their devices. VaultJacking is the consequence of that trade-off.

How the VaultJacking attack chain works

The following describes the attack conceptually for defensive purposes. No offensive implementation details are included.

Lure. The victim receives a phishing link and lands on a page that imitates a legitimate Google sign-in or account workflow. Treat any unexpected sign-in flow arriving via email, chat, or ad link with suspicion.
Trust transfer. The AiTM proxy renders a PIN prompt styled to match Google's own interface: same font, same six-cell input, same copy. User education must cover password-manager PIN prompts, not only passwords and OTP codes.
PIN capture. The victim enters the PIN into the phishing flow. The PIN is a vault-access secret, equivalent in sensitivity to a master password.
Attacker device enrollment. The attacker uses the captured PIN to join the victim's Google security domain from attacker-controlled infrastructure. An attacker-owned passkey is also registered for persistence. Review signed-in devices and registered passkeys immediately after any suspected phishing contact.
Vault decryption. The Security Domain Secret is released by Google's cloud authenticator, and the attacker's device decrypts every synced password and passkey. The vault may contain credentials for email, SSO, cloud consoles, financial platforms, and code repositories.
Downstream compromise. Saved third-party credentials are used against other services. Rotate high-value credentials and monitor third-party logins.

PhishU tested this end to end against live Google Password Manager accounts, including replay of captured third-party passkeys regardless of whether the original credential was hardware-backed. Treat this as a demonstrated technique. There is no public evidence of widespread active exploitation at the time of writing, but the technique requires no specialized access or device foothold.

Does VaultJacking mean passkeys are broken?

No. VaultJacking does not break passkey cryptography. Passkeys are based on origin-bound public-key authentication as defined in the W3C WebAuthn specification: the private key never leaves the device, and the authentication ceremony is bound to the legitimate site origin. A phishing page cannot replay a WebAuthn assertion against the real site because the origin check fails. That protection holds.

What VaultJacking demonstrates is that passkeys do not exist in isolation. They exist inside a vault, which syncs across devices, which relies on a recovery mechanism, which is governed by a PIN. The attacker bypasses the cryptographic ceremony entirely by targeting the vault management layer instead.

Google describes passkeys as a way to sign in with a fingerprint, face scan, or screen lock — simpler and safer than passwords. That description is accurate at the per-site authentication layer. The issue VaultJacking surfaces is one level up: what governs access to the store that holds those passkeys.

Layer	Normal protection	VaultJacking relevance
WebAuthn authentication	Origin-bound public-key cryptography prevents credential replay on phishing sites	The attack does not need to steal a reusable passkey credential
Google Password Manager vault	Encrypted storage with PIN-protected recovery	The attacker targets the PIN and device-enrollment flow around the vault
User interface	Users trust browser and Google prompts	Phishing abuses that trust by imitating legitimate PIN prompts
Enterprise governance	Admins may or may not control browser profile use and saved credentials	Poor governance increases blast radius after vault-level compromise

Why one PIN can create a large blast radius

A password-manager vault is a concentrated store of access. One captured PIN exposes every credential the victim has ever saved in Google Password Manager.

Recorded Future's 2025 Identity Threat Landscape Report found that the average compromised device yielded 87 stolen credentials, and that 276 million of the credentials indexed in 2025 included active session cookies — meaning attackers could bypass MFA entirely for those accounts.

Verizon's 2026 DBIR puts the downstream effect in context: credential abuse appears at some point in 39% of all confirmed breaches, across more than 22,000 incidents in 145 countries. Attackers rarely stop at the first door a stolen credential opens. They move laterally, escalate privileges, and work through every saved login until they hit something valuable.

Vault content type	Potential downstream risk
Email and SSO credentials	Account recovery abuse, lateral movement, identity takeover
Cloud console credentials	Infrastructure access, privilege escalation, data exposure
Code repository credentials	Source-code theft, CI/CD pipeline compromise, secret exposure
Finance and payroll credentials	Fraud, invoice manipulation, payment diversion
Personal accounts mixed with work profiles	Unmanaged exposure path into business systems
Saved passkeys	Risk depends on synchronization state, recovery controls, and device enrollment policy

Who is most at risk?

Risk concentrates where three conditions overlap: browser vault data is the primary credential store, work and personal credentials share a profile, and privileged credentials have ended up in a consumer-grade system.

The credential mixing problem. Employees save work credentials in personal Chrome profiles. Admins have no visibility or control over vault contents or synced devices. This means corporate passwords live outside the security perimeter, backed up to Google's servers, and accessible from any device the employee has ever logged into.
Privileged users are the highest-value target. Admin passwords stored in Google Password Manager represent the most dangerous concentration of risk. One vault compromise exposes the keys to identity platforms, cloud infrastructure, finance systems, and security tooling. A single compromised admin account becomes a pivot point for lateral movement across the entire organization.
Security training doesn't cover this attack surface. Security awareness programs teach users to recognize phishing emails and protect OTP codes. They don't teach users to recognize password-manager PIN prompts as sensitive targets. Users see a PIN request and comply — they don't see it as a security event that should trigger skepticism.
Policy gaps leave credentials in the wrong place. Most organizations have no policy separating browser vaults from enterprise credential management. Shared credentials, admin passwords, and break-glass accounts may be stored wherever employees find it convenient. No audit trail exists to show where these credentials live or who has accessed them.
Device and session review processes are too slow. Suspicious device enrollment or vault access may go unnoticed for weeks.

The last point matters more than it might appear. PhishU notes that Google sends a single "new sign-in on Windows" email when a new device joins the security domain — the same notification sent for any new Chrome login. No push notification fires on existing devices. In an AiTM engagement where the attacker has also captured the victim's inbox session, that email can be suppressed before the user sees it.

What to do if a Google Password Manager PIN may have been phished

Do not treat a suspected VaultJacking event as a single-password incident. Treat it as possible vault exposure until proven otherwise.

The following triage sequence is for security teams and individuals. Google Workspace event names should be verified against current Google Admin documentation before building automated detection.

Priority	Action	Why it matters
1	Disconnect from the suspected phishing page; preserve the URL, timestamp, and screenshots if safe to do so	Evidence helps determine scope and warn other users
2	Review Google account security activity, signed-in devices, and recently added passkeys at myaccount.google.com	Vault or device enrollment may have created attacker persistence
3	Sign out suspicious sessions and revoke unknown devices	Reduces attacker access if the account or vault was reached
4	Change the Google account password if account-level compromise is suspected	Prevents continued account-level access; necessary but not sufficient alone
5	Rotate high-value credentials saved in the vault	Prioritize SSO, email, cloud consoles, financial platforms, admin accounts, VPNs, code repositories, and any password-manager accounts
6	Check third-party services for unusual login activity	Attackers may use saved credentials outside Google immediately after vault access
7	For organizations: open an incident-response case and review device, identity, and browser telemetry	A single affected user can create organizational exposure if they hold privileged credentials
8	Review browser-vault policy and privileged credential storage practices	Prevents repeat incidents and reduces future blast radius

Steps 5 and 7 are where most incident responses fall short. Rotating the Google account password without rotating the downstream credentials it protects is like changing the lock on a safe after the contents have already been photographed.

Passwork gives you visibility into every credential, who accessed it, and when. Role-based access means shared credentials stay in one place with a complete audit trail — not scattered across personal browser profiles. Explore how it works

Stopping the breach: step-by-step technical response

When a VaultJacking event is suspected, the first 60 minutes determine how far the damage spreads. These steps are for security engineers and IT administrators. Execute them in order — later steps depend on evidence preserved in earlier ones.

Force sign-out of all active sessions. Navigate to myaccount.google.com/security → "Manage all devices" → revoke every session you cannot physically account for. Do not delegate this to the affected user — do it from an admin console where possible. Session revocation cuts off an attacker who has vault access but has not yet finished extracting credentials.
Audit registered passkeys before revoking anything else. Go to myaccount.google.com/security → "Passkeys and security keys." Screenshot the full list first, then revoke every entry the user cannot identify by device name and registration date. An attacker-registered passkey survives a password reset and re-establishes persistence. PhishU's research confirms that the background worker registers an operator-owned passkey as part of the standard VaultJacking flow — persistence is built in by design.
Pull the Google Workspace audit log. In admin.google.com → Reports → Audit → Login, filter for the affected user's account within the 24-hour window around the reported phishing event. Look for any login_type event combined with a source IP outside your organization's known ranges. A new device enrollment from an unrecognized IP within minutes of a phishing click timestamp is a strong indicator of vault compromise. Verify current Google Workspace event field names against Google Admin SDK documentation before building automated queries.
Configure a SIEM alert for future detection. Create a high-priority correlation rule: new Google account device enrollment event + source IP not in corporate IP allowlist + time delta under 10 minutes from a known phishing click. Most organizations currently have no detection for vault-layer events — this rule closes that gap. F5 Labs' threat bulletin format recommends building SIEM detection rules tied to specific behavioral indicators rather than relying on email notifications alone.
Rotate credentials in strict priority order. Do not rotate in bulk without logging each action — you need the audit trail for the incident report and for downstream notification decisions.
1. SSO and identity provider accounts
2. Cloud console root and admin credentials
3. Code repository tokens and CI/CD pipeline secrets
4. Finance and payroll platform logins
5. VPN and remote access credentials
6. Any break-glass or shared service accounts stored in the vault
Check downstream third-party services. Review login events from the affected account on all third-party services for the 48-hour window after the phishing event. Attackers typically test saved credentials within hours of vault access. Verizon's 2026 DBIR found credential abuse appears in 39% of confirmed breaches — lateral movement through saved logins is the expected next step, not an edge case.
Step 7. Preserve forensic evidence before full remediation. Screenshot the device list, export the audit log, record the phishing URL and timestamp, and document which credentials were in the vault at the time of the event. Revocation destroys attacker persistence — but it also destroys some evidence. Preserve first, remediate second.

Passwork gives your security team a full audit log of every credential access event — who opened what, when, and from which device. When an incident happens, you have the evidence trail ready. See how it works

How individuals can reduce VaultJacking risk

The practical advice here is short. Most of it comes down to treating the Google Password Manager PIN the same way you would treat a master password — because functionally, it is one.

Do not enter the Google Password Manager PIN into any page you reached by clicking a link in email, chat, or an ad. Navigate to Google account settings directly by typing myaccount.google.com into the address bar.
Review your signed-in devices and registered passkeys at myaccount.google.com periodically. An unfamiliar device or a passkey you do not recognize is worth investigating — not ignoring. PhishU's research shows that attacker-registered passkeys are added silently, with no notification to existing devices and no push prompt.
Keep personal and work browser profiles separate. If a personal profile is compromised, work credentials should not be in the blast radius. Okta's 2025 Secure Sign-in Trends Report found phishing-resistant authenticator adoption grew from 8.6% to 14.0% in one year — but adoption at the authentication layer does not protect a vault that is governed by a PIN.
Avoid saving highly sensitive admin or privileged credentials in a consumer browser vault. Those credentials need auditability and access controls that browser vaults do not provide. Continue using passkeys — they remain safer than reusable passwords at the per-site layer. The issue is not passkeys. The issue is what governs the store that holds them.

Building the controls that prevent the next one: policy and governance checklist

Okta's 2025 Secure Sign-in Trends Report found that phishing-resistant authenticator adoption grew from 8.6% to 14.0% of users in one year — a 63% increase. That growth is real progress. The governance gap is that organizations are adopting passkeys faster than they are building policies to manage the vaults that store them.

The following steps are proportional to the sensitivity of credentials involved. Not every organization needs every control. Every organization that stores privileged credentials in browser vaults needs a policy that addresses that specifically.

Audit which privileged credentials currently live in browser vaults. Use your MDM or endpoint tooling to identify Chrome profile sync status on all managed devices. If you cannot answer "which admin accounts are synced to personal Google profiles," that is the first gap to close — before writing any policy.
Write a policy that names specific credential categories. Prohibit storage of break-glass accounts, admin credentials, shared service accounts, cloud-root credentials, and CI/CD secrets in any consumer browser vault. A policy that says "sensitive data" without naming categories produces inconsistent compliance. Name the categories. Set an enforcement date.
Migrate covered credentials before the enforcement date. A policy without a migration path produces shadow credential stores. Move all credentials covered by Step 2 into an enterprise password manager with role-based access control and a full audit log before the policy takes effect. Passwork supports self-hosted deployment with AES-256 encryption, AD/LDAP integration, and complete audit logging — built specifically for this separation between privileged corporate credentials and personal browser convenience.
Enforce separate managed browser profiles for work use. Prevent personal and work vault mixing through MDM policy and user education. When a personal profile is compromised, work credentials should not be in scope. This is a configuration change, not just a recommendation.
Update phishing awareness training to cover vault prompts. Security awareness programs teach users to recognize phishing emails and protect OTP codes. They do not teach users that a password-manager PIN prompt carries the same risk as a master password. Add vault prompts, recovery flows, and PIN requests to your training curriculum explicitly. Users who understand what the PIN unlocks are significantly harder to VaultJack.
Build a vault-exposure runbook into your incident response plan. The runbook must cover: session revocation, device enrollment audit, passkey review, downstream credential rotation, and third-party account monitoring — as a single coordinated response. Walk through detection, containment, and rotation. Identify which steps your team cannot currently execute.
Configure detection for new device enrollments on privileged accounts. Set your CASB or identity platform to alert on new Google account device enrollments from unmanaged or unrecognized devices for all users with privileged access.
Review browser profile governance quarterly. Employees change roles, devices, and credential habits faster than annual reviews capture. A quarterly check on which managed devices have Chrome sync enabled and what profile type is active costs less than one vault-exposure incident response.

Why an enterprise password manager is safer than a browser vault for work credentials

A browser password manager solves a personal convenience problem: autofill, device sync, effortless storage. For an individual user, that is a reasonable choice. For a corporate environment, that same simplicity becomes a structural vulnerability.

Passwork is the enterprise alternative to personal browser vaults. The Passwork browser extension works exactly like a built-in browser password manager — it autofills logins on websites, offers to save new credentials — but stores them in a protected corporate vault instead of a personal browser profile.

Passwork supports self-hosted deployment, AES-256 encryption, Active Directory and LDAP integration, SSO authorization, role-based access control, full audit logging, SIEM integration, and REST API and CLI tools for DevOps workflows.

Criterion	Browser vault	Passwork
Data storage	Cloud provider's servers	Company's own infrastructure
Encryption	Provider-managed; keys held by provider	AES-256; encryption keys held by company
Autofill	Yes	Yes, via browser extension — identical user experience
Access control	None — all users see all credentials they can access	Role-based: employees see only their assigned vaults and folders
Shared team credentials	Passed manually via chat, email, notes	Stored in shared vaults with granular access control
Audit log	None	Complete: who accessed what, when, and what changed
Security team visibility	None — personal profile outside company control	Full visibility: all vaults, permissions, and access events
Infrastructure integration	None	Active Directory, LDAP, SSO, SIEM, REST API, CLI
VaultJacking protection	Vulnerable: a single PIN exposes the entire vault	Vault isolated from browser profile and personal account
Regulatory compliance	Unverified	ISO 27001, GDPR, NIS2, SOC 2 certified

The difference is architectural. A browser vault prioritizes individual convenience. An enterprise password manager prioritizes organizational control and visibility. When privileged credentials end up in a browser vault, you have chosen the wrong tool for the job — not because the tool is bad, but because it was designed for a different problem.

Conclusion: What to do about VaultJacking

The threat VaultJacking describes is specific: a phishing technique that turns one captured PIN into vault-wide credential exposure. The response should be equally specific — not panic about passkeys, and not dismissal of browser vault risk, but a clear-eyed policy that separates personal credential convenience from privileged credential governance.

Start with the audit. Find out which privileged credentials currently live in browser vaults.Which admin accounts are synced to personal devices? Which break-glass credentials are stored in Google Password Manager? That answer will tell you how much work there is to do.

From there, the path is straightforward: prohibit privileged credentials in browser vaults, move them to an enterprise password manager with audit trails and access controls, and extend your security awareness training to cover vault prompts and recovery flows.

VaultJacking is not a reason to abandon browser password managers. It is a reason to use them for what they were designed for — personal credentials — and to build a separate, auditable system for everything else.

Passwork is a self-hosted enterprise password and secrets manager built for privileged credential governance. It provides role-based access, full audit logs, and complete separation from consumer browser vaults. See how it fits into your infrastructure

Frequently Asked Questions

What is VaultJacking?

VaultJacking is a phishing technique that targets the Google Password Manager vault by capturing the user's Google Password Manager PIN during an adversary-in-the-middle phishing session. The captured PIN is used to enroll an attacker-controlled device into the victim's Google security domain, decrypting every synced password and passkey stored in the vault. The technique was demonstrated end to end by PhishU in May 2026.

Is VaultJacking a Google vulnerability?

Based on published reporting, VaultJacking is a demonstrated phishing and workflow-abuse technique, not a classified vulnerability in Google's systems. It exploits the design of Google's device-enrollment flow — specifically the absence of cross-device approval for new security domain joins — which Google chose deliberately as a UX trade-off for lost-device recovery. Whether Google classifies this as a vulnerability requiring a fix is a separate question that has not been publicly answered at the time of writing.

Does VaultJacking break passkeys?

No. Passkeys are based on origin-bound public-key cryptography as defined in the W3C WebAuthn specification. A phishing page cannot replay a WebAuthn assertion against the real site because the origin binding fails. VaultJacking targets the vault and recovery layer that stores passkeys — not the cryptographic authentication ceremony itself. Passkeys remain phishing-resistant at the per-site login layer.

What is the Google Password Manager PIN?

The Google Password Manager PIN is a secret that protects encrypted Google Password Manager data. According to Google's documentation, it is created when a user saves their first passkey on a computer, iPhone, or iPad, and it is used to access passkeys on new devices, verify identity, and ensure that not even Google can read the encrypted vault contents. It is distinct from the Google account password and from the device screen lock.

Can one PIN expose all my saved passwords?

PhishU's demonstration shows that a captured six-digit Google Password Manager PIN can allow an attacker to decrypt the entire synced vault — every saved password and every synced passkey — from attacker-controlled infrastructure. The PIN releases the Security Domain Secret, which decrypts the vault in a single operation. If you entered the PIN on a page you did not navigate to directly, treat it as possible full vault exposure.

What should I do if I entered the PIN on a suspicious page?

Review your signed-in devices and registered passkeys at myaccount.google.com immediately. Revoke any unfamiliar devices or sessions. Change your Google account password. Rotate high-value credentials saved in the vault — prioritize SSO, email, cloud consoles, financial platforms, and admin accounts. Check third-party services for unusual login activity. If you are in an organization, open an incident-response case rather than treating this as a single-account issue.

Should companies ban Google Password Manager?

A blanket ban is not the right policy for most organizations. A risk-based approach works better: restrict privileged and shared credential storage to an enterprise password manager with audit controls, enforce separate managed browser profiles for work use, and extend phishing awareness training to cover password-manager prompts and recovery flows. Google Password Manager is appropriate for personal credentials; it is not designed for break-glass accounts or shared admin access.

Are hardware security keys enough to stop this?

Hardware security keys strengthen Google account sign-in assurance, but they do not automatically govern browser-vault synchronization, recovery flows, or the credentials stored inside the vault. VaultJacking targets the vault management layer, not the account sign-in step. A hardware key on the Google account reduces the risk of account takeover but does not prevent a user from being tricked into entering their Google Password Manager PIN on a phishing page.

VaultJacking: How one PIN exposes the Google password manager vault

VaultJacking targets the Google Password Manager PIN to unlock your entire vault. One captured PIN exposes every saved password and passkey. Learn how the attack works, who's at risk, and what to do if you've been phished.

Compliance & regulations

May 29, 2026 — 11 min read

NIS2-Compliance leicht gemacht: Wie ein Passwortmanager Ihnen Geld und Zeit spart

Die NIS2-Richtlinie (EU 2022/2555) ist jetzt in ganz Europa in Kraft. Wesentliche und wichtige Einrichtungen haben eine verbindliche Frist: Bis Oktober 2024 müssen robuste Maßnahmen zum Management von Cybersicherheitsrisiken implementiert werden — andernfalls drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Die meisten Organisationen unterschätzen die operativen Kosten der Compliance. Ein Passwortmanager bildet das Fundament, das die Einhaltung von Artikel 21 ermöglicht — ohne das Budget zu sprengen oder Ihr IT-Team zu überlasten.

Kernaussagen

NIS2 Artikel 21 ist ergebnisorientiert, nicht werkzeugspezifisch. Regulierungsbehörden verlangen den Nachweis, dass Ihre Organisation kontrolliert, wer auf was, wann und warum zugreift. Ein zentraler Passwortmanager mit RBAC und Audit-Protokollierung verwandelt dies von einer Compliance-Schwachstelle in einen dokumentierten, auditierbaren Prozess.
Die Kosten der Nichteinhaltung übersteigen die Compliance-Investition bei Weitem. Direkte Bußgelder erreichen 10 Millionen Euro für wesentliche Einrichtungen, hinzu kommen durchschnittlich 5,1 Millionen Euro an Kosten für die Behebung von Sicherheitsverletzungen. Eine einzige vermeidbare Kompromittierung von Anmeldedaten kostet mehr als die Implementierung eines Passwortmanagers — der ROI ist sofort und unbestreitbar.
81 Prozent der Datenschutzverletzungen lassen sich auf gestohlene oder schwache Anmeldedaten zurückführen. Ein Passwortmanager eliminiert diesen Angriffsvektor, indem er starke Passwortrichtlinien durchsetzt, die Wiederverwendung von Anmeldedaten verhindert, unbefugten Zugriff durch Audit-Protokolle erkennt und die Massenrotation von Passwörtern innerhalb von Stunden nach einer Kompromittierung ermöglicht.
Passwortbezogene Helpdesk-Tickets verbrauchen 30–50 % der IT-Support-Kapazität. Ein Passwortmanager reduziert diese Tickets um bis zu 40 % und gibt IT-Mitarbeitern Freiraum für strategische Aufgaben. Die jährlichen Einsparungen erreichen 210.000 Euro für eine typische mittelständische Organisation, wenn Helpdesk-Arbeitskosten, Audit-Zeitaufwand und Incident-Response-Kosten berücksichtigt werden.
EU-Datensouveränität ist ohne operative Komplexität erreichbar. Passwork Cloud hostet Daten vollständig in EU-Rechenzentren ohne grenzüberschreitende Übertragungen und erfüllt damit DSGVO Artikel 32 und NIS2 Artikel 21. Sie behalten die Kontrolle über die Verschlüsselungsschlüssel und unveränderliche Audit-Trails, während Sie den Patching-Aufwand einer On-Premise-Bereitstellung vermeiden.
Die Wahl ist binär: Proaktive Compliance oder reaktive Compliance. Investieren Sie jetzt, um Bußgelder zu vermeiden, oder zahlen Sie später nach einer Sicherheitsverletzung 15 Millionen Euro. Europäische Organisationen entscheiden sich für Ersteres — sie bauen Compliance auf einem Passwortmanager-Fundament auf, das den operativen Aufwand reduziert und gleichzeitig regulatorische Anforderungen erfüllt.

NIS2 Artikel 21 verstehen: Der Kern des Cybersicherheits-Risikomanagements

NIS2 Artikel 21 schreibt vor, dass wesentliche und wichtige Einrichtungen technische, operative und organisatorische Maßnahmen zum Management von Cybersicherheitsrisiken implementieren. Diese Maßnahmen umfassen zehn grundlegende Sicherheitsbereiche: Zugriffskontrolle, Authentifizierung, Verschlüsselung, Incident-Handling, Lieferkettensicherheit und andere. Die Richtlinie schreibt keine spezifischen Tools vor — sie definiert Ergebnisse. Ein Passwortmanager erfüllt direkt mehrere Anforderungen von Artikel 21, indem er das Anmeldedaten-Management zentralisiert, starke Authentifizierungsrichtlinien durchsetzt und unveränderliche Audit-Trails führt.

Die zentrale Herausforderung: Artikel 21 ist ergebnisorientiert, nicht werkzeugorientiert. Compliance-Beauftragte müssen nachweisen, dass ihre Organisation kontrolliert, wer auf was, wann und warum zugreift. Manuelles Teilen von Passwörtern per E-Mail, Tabellenkalkulation oder Haftnotizen besteht diesen Test sofort nicht. Ein zentraler Credential-Tresor mit rollenbasierter Zugriffskontrolle (RBAC) und umfassender Protokollierung verwandelt dies von einer Compliance-Schwachstelle in einen dokumentierten, auditierbaren Prozess.

Die versteckten Kosten der NIS2-Nichteinhaltung

Nichteinhaltung verursacht zwei unterschiedliche Kostenkategorien: direkte Bußgelder und indirekte Kosten durch Sicherheitsverletzungen.

Direkte Bußgelder sind erheblich. NIS2 Artikel 34 legt Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen fest, sowie 5 Millionen Euro oder 1 % für wichtige Einrichtungen. Ein mittelständisches Finanzdienstleistungsunternehmen mit 500 Millionen Euro Umsatz riskiert ein potenzielles Bußgeld von 10 Millionen Euro für einen einzigen wesentlichen Compliance-Verstoß.
Indirekte Kosten übersteigen die Bußgelder bei Weitem. Laut IBMs Cost of a Data Breach Report 2025 erreichten die durchschnittlichen globalen Kosten einer Sicherheitsverletzung 5,1 Millionen Dollar — und das vor Inkrafttreten der NIS2-Strafen. Schwaches Anmeldedaten-Management ist die Hauptursache: 81 % der Datenschutzverletzungen lassen sich auf gestohlene oder schwache Anmeldedaten zurückführen. Ein Passwortmanager eliminiert diesen Angriffsvektor vollständig, indem er starke Passwortrichtlinien durchsetzt, die Wiederverwendung von Anmeldedaten verhindert und unbefugte Zugriffsversuche durch Audit-Protokolle erkennt.

Betrachten Sie die Rechnung: Eine einzige vermeidbare Sicherheitsverletzung kostet 5,1 Millionen Euro an Behebung, Benachrichtigung und Geschäftsverlust. Ein NIS2-Bußgeld addiert weitere 10 Millionen Euro. Die Implementierung eines Passwortmanagers ist nur ein Bruchteil dieser Kosten — und der ROI ist sofort und unbestreitbar.

Den ROI quantifizieren: Wie ein Passwortmanager Ihnen Geld und Zeit spart

Passwortbezogene Helpdesk-Tickets verbrauchen 30–50 % der IT-Support-Kapazität. Ein typisches Ticket kostet 50–100 Euro an Arbeitsaufwand. Für eine 100-Personen-Organisation bedeutet das jährlich 1.500–2.500 Tickets — 75.000–250.000 Euro an reinem Helpdesk-Overhead. Die Implementierung eines Passwortmanagers reduziert diese Tickets um bis zu 40 % und gibt IT-Mitarbeitern Freiraum für strategische Aufgaben.

Kostenkategorie	Ohne Passwortmanager	Mit Passwortmanager	Jährliche Einsparungen
Helpdesk-Tickets (Passwortzurücksetzungen, Zugriffsprobleme)	€150.000	€90.000	€60.000
Arbeitsaufwand für Compliance-Audits	€80.000	€30.000	€50.000
Incident Response (Sicherheitsverletzungen durch Anmeldedaten)	€120.000	€20.000	€100.000
Jährliche Gesamtkosten	€350.000	€140.000	€210.000

Über operative Einsparungen hinaus senken Passwortmanager die Versicherungsprämien. Cyberversicherungsanbieter gewähren mittlerweile 10–15 % Rabatt für Organisationen, die zentrales Anmeldedaten-Management mit Audit-Protokollierung einsetzen — ein direktes Abbild des reduzierten Risikos von Sicherheitsverletzungen.

Zeiteinsparungen summieren sich. Endbenutzer müssen vergessene Passwörter nicht mehr zurücksetzen — sie authentifizieren sich einmal am Tresor und greifen auf alle Anmeldedaten zu. IT-Administratoren müssen nicht mehr nachverfolgen, wer auf was Zugriff hat — RBAC und Audit-Protokolle bieten sofortige Transparenz. Das Onboarding eines neuen Entwicklers dauert Stunden statt Tage.

Passwortmanager-Funktionen auf NIS2-Artikel-21-Anforderungen abbilden

NIS2 Artikel 21 verlangt „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen" zur Bewältigung von Cybersicherheitsrisiken. Alle 10 Maßnahmen sind für jede betroffene Einrichtung obligatorisch. Passwortmanager adressieren die zentralen Angriffsvektoren auf Basis von Anmeldedaten über diese Anforderungen hinweg:

Maßnahme	Kernanforderung	Wie Passwortmanager helfen
1. Risikoanalyse & Richtlinien	Cybersicherheitsrisiken identifizieren und dokumentieren	Erkennung von Anmeldedaten: Privilegierte Konten erfassen, gemeinsam genutzte Anmeldedaten identifizieren, risikoreichen Zugriff dokumentieren
2. Incident-Handling	Verfahren für Prävention, Erkennung, Reaktion	Massenrotation von Passwörtern innerhalb von Stunden; Audit-Protokolle ermöglichen schnelle Identifizierung kompromittierter Anmeldedaten
3. Geschäftskontinuität	Zugriff bei Systemausfällen aufrechterhalten	Failover-Clustering, Replikation und getestete Backup-Verfahren halten Anmeldedaten zugänglich
4. Lieferkettensicherheit	Lieferanten- und Anbieterrisiken managen	Zugriff von Drittanbietern isolieren, zeitlich begrenzen, bei Vertragsende automatisch widerrufen
5. Sichere Entwicklung	Systeme mit Sicherheit im Blick entwickeln	Sichere Praktiken zur Speicherung von Anmeldedaten, regelmäßige Penetrationstests
6. Wirksamkeit der Kontrollen	Überprüfen, ob Kontrollen tatsächlich funktionieren	Unveränderliche Audit-Trails belegen, dass Zugriffskontrollen durchgesetzt werden und jede Anmeldedaten-Aktion protokolliert wird
7. Cyberhygiene & Schulung	Passwortstärke und Awareness durchsetzen	Passwortkomplexität durchsetzen, Rotationspläne, gemeinsam genutzte Anmeldedaten eliminieren
8. Verschlüsselung	Daten im Ruhezustand und bei der Übertragung schützen	AES-256-Verschlüsselung im Ruhezustand, TLS bei der Übertragung, Zero-Knowledge-Architektur
9. Zugriffskontrolle	Alle Zugriffsänderungen dokumentieren und protokollieren	RBAC bis auf Ordnerebene, individuelle Rechte pro Benutzer, sofortiger Widerruf
10. MFA	Multi-Faktor-Authentifizierung obligatorisch	FIDO2/WebAuthn für privilegierte Konten, MFA-Durchsetzung auf Tresorebene

Passwork liefert direkte Compliance-Nachweise für 9 der 10 NIS2-Maßnahmen. Zugriffsprotokolle und unveränderliche Audit-Trails erfüllen die Maßnahmen 1, 2 und 6. Verschlüsselte Speicherung deckt Maßnahme 8 ab. RBAC, MFA-Durchsetzung und Zugriffskontrolle auf Asset-Ebene schließen die Maßnahmen 9 und 10 ab — dort, wo Regulierungsbehörden technische Nachweise verlangen.

On-Premise vs. Cloud: Die richtige Passwortverwaltung für EU-Datensouveränität wählen

Die Debatte On-Premise vs. Cloud dreht sich um Datenresidenz, Kontrolle und regulatorische Konformität.

Cloud-Passwortmanager bieten Geschwindigkeit und Einfachheit, führen aber zu einer Abhängigkeit von einem Drittanbieter. Daten verlassen Ihre Infrastruktur, überqueren Grenzen und lösen möglicherweise DSGVO-Übertragungsbeschränkungen aus. Standard-Cloud-Bereitstellungen, die außerhalb der EU gehostet werden, erzeugen Compliance-Reibung für Organisationen, die sensible EU-Daten verarbeiten.

Allerdings ändern EU-souveräne Cloud-Lösungen diese Gleichung. Passwork Cloud, vollständig in EU-Rechenzentren gehostet ohne Datenübertragung außerhalb des Blocks, eliminiert Bedenken bezüglich grenzüberschreitender Übertragungen und behält gleichzeitig die Cloud-Vorteile: automatisierte Backups, Failover-Clustering und reduzierter IT-Overhead. Passworks EU-souveräne Bereitstellung erfüllt DSGVO Artikel 32 (Datenschutzmaßnahmen) und NIS2 Artikel 21 (Datenresidenz-Erwartungen) ohne die operative Belastung einer On-Premise-Verwaltung. Ihre Verschlüsselungsschlüssel bleiben unter Ihrer Kontrolle, und Audit-Trails sind unveränderlich.

On-Premise-Passwortmanager halten alle Anmeldedaten innerhalb Ihrer Infrastruktur. Passwork On-Premise gibt Ihnen vollständige Kontrolle über Verschlüsselungsschlüssel, Backup-Zeitpläne, Zugriffsrichtlinien und physische Sicherheit. Für Organisationen, die kritische Infrastruktur oder klassifizierte Daten verarbeiten oder in Air-Gapped-Netzwerken arbeiten, ist On-Premise die einzige Option. Es entspricht dem Prinzip der Datenminimierung (ein DSGVO-Kernprinzip) und bietet maximale Compliance-Sicherheit.

Der Kompromiss: Passwork On-Premise erfordert mehr IT-operativen Overhead (Patching, Backups, Disaster Recovery, Kapazitätsplanung). Passwork Cloud reduziert diesen Overhead bei gleichzeitiger Datenresidenz. Standard-Cloud außerhalb der EU führt zu regulatorischen Risiken.

Bereitstellungsmodell	Datenresidenz	Compliance-Eignung	Operativer Overhead	Am besten geeignet für
Passwork On-Premise	Ihre Infrastruktur	Maximale Kontrolle, Air-Gapped-Netzwerke	Mittel (Patching, Backups, DR)	Kritische Infrastruktur, klassifizierte Daten, isolierte Netzwerke
Passwork Cloud (EU)	Nur EU-Rechenzentren	DSGVO + NIS2-konform, keine grenzüberschreitenden Übertragungen	Niedrig (Managed Service)	EU-Organisationen, regulierte Daten, Compliance-orientierte Teams
Standard-Cloud (Nicht-EU)	Drittanbieter, möglicherweise außerhalb der EU	Übertragungsbeschränkungen, Compliance-Reibung	Niedrig	Nicht regulierte Daten, Nicht-EU-Organisationen

Für EU-Organisationen: Passwork Cloud bietet die Compliance-Sicherheit von On-Premise mit der operativen Einfachheit der Cloud. Daten verlassen niemals die EU, Verschlüsselungsschlüssel bleiben unter Ihrer Kontrolle, und Audit-Trails sind unveränderlich — was sowohl DSGVO als auch NIS2 erfüllt, ohne den Patching-Aufwand.

NIS2-Compliance: Die Kosten des Handelns vs. Nichthandelns

NIS2-Compliance ist obligatorisch. Die Kosten der Nichteinhaltung — Bußgelder von bis zu 15 Millionen Euro plus Kosten für die Behebung von Sicherheitsverletzungen — übersteigen bei Weitem die Investition in ordnungsgemäßes Anmeldedaten-Management. Organisationen, die Compliance auf einem Passwortmanager-Fundament aufbauen, reduzieren die Gesamtbetriebskosten und erfüllen gleichzeitig die Anforderungen von Artikel 21.

Ein zentraler Credential-Tresor mit RBAC, MFA und unveränderlicher Audit-Protokollierung adressiert die Kern-NIS2-Maßnahmen: Risikoanalyse, Incident Response, Wirksamkeit der Kontrollen, Verschlüsselung, Zugriffsgovernance und MFA-Durchsetzung. Der operative Vorteil: IT-Teams verbringen weniger Zeit mit manueller Zugriffsbereitstellung und mehr Zeit mit strategischer Sicherheitsarbeit.

Die Wahl ist binär: Proaktive Compliance (jetzt investieren, Bußgelder vermeiden) oder reaktive Compliance (erst Sicherheitsverletzung, dann zahlen).

Passwork liefert dieses Fundament mit flexibler Bereitstellung: On-Premise für Organisationen, die Datensouveränität benötigen, oder EU-souveräne Cloud für Teams, die operative Einfachheit priorisieren. Beide Modelle liefern die technischen Nachweise, die Regulierungsbehörden verlangen — unveränderliche Audit-Trails, RBAC bis auf Ordnerebene, FIDO2/WebAuthn-MFA-Unterstützung und AES-256-Verschlüsselung.

Passwork ist als On-Premise (vollständige Infrastrukturkontrolle) oder EU-souveräne Cloud (Datenresidenz garantiert, DSGVO- und NIS2-konform) verfügbar. Bereitstellungsoptionen vergleichen und kostenlose Demo anfordern

Häufig gestellte Fragen

Was ist NIS2 und wer muss die Vorgaben erfüllen?

NIS2 (Network and Information Security Directive 2) ist eine EU-Gesetzgebung (EU 2022/2555), die von wesentlichen und wichtigen Einrichtungen verlangt, robuste Maßnahmen zum Management von Cybersicherheitsrisiken zu implementieren. Wesentliche Einrichtungen umfassen Betreiber in den Bereichen Energie, Transport, Wasser, Gesundheit und digitale Infrastruktur. Wichtige Einrichtungen umfassen Finanzen, Gesundheitswesen, Lebensmittelproduktion und andere kritische Sektoren. Die Frist für die Umsetzung war Oktober 2024. Bei Nichteinhaltung drohen Bußgelder von bis zu 10 Millionen Euro (wesentliche Einrichtungen) oder 5 Millionen Euro (wichtige Einrichtungen), zuzüglich Kosten für die Behebung von Sicherheitsverletzungen.

Was ist NIS2 Artikel 21?

NIS2 Artikel 21 schreibt zehn grundlegende Maßnahmen zum Management von Cybersicherheitsrisiken vor: Risikoanalyse und Richtlinien, Incident-Handling, Geschäftskontinuität, Lieferkettensicherheit, sichere Entwicklung, Überprüfung der Wirksamkeit von Kontrollen, Cyberhygiene und Schulung, Verschlüsselung, Zugriffskontrolle und Multi-Faktor-Authentifizierung. Diese Maßnahmen sind ergebnisorientiert, nicht werkzeugspezifisch — Organisationen müssen nachweisen, dass sie kontrollieren, wer auf was, wann und warum zugreift. Ein Passwortmanager adressiert direkt sechs dieser zehn Maßnahmen durch zentrales Anmeldedaten-Management, Audit-Protokollierung und Zugriffsgovernance.

Wie hoch kann ein NIS2-Bußgeld ausfallen?

Wesentliche Einrichtungen riskieren Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Wichtige Einrichtungen riskieren bis zu 5 Millionen Euro oder 1 % des Umsatzes. Ein mittelständisches Finanzdienstleistungsunternehmen mit 500 Millionen Euro Umsatz könnte ein Bußgeld von 10 Millionen Euro für einen einzigen wesentlichen Compliance-Verstoß erhalten. Diese Bußgelder kommen zusätzlich zu den Kosten für die Behebung von Sicherheitsverletzungen, die laut IBMs Cost of a Data Breach Report 2025 global durchschnittlich 5,1 Millionen Euro betragen.

Warum passieren die meisten Sicherheitsverletzungen durch Anmeldedaten?

81 Prozent der Datenschutzverletzungen lassen sich auf gestohlene oder schwache Anmeldedaten zurückführen (IBM 2025 DBIR). Die Hauptursachen sind: gemeinsam genutzte Passwörter per E-Mail oder Tabellenkalkulation, Wiederverwendung von Passwörtern über Systeme hinweg, fehlende Zugriffsprotokollierung und verzögerter Widerruf von Anmeldedaten, wenn Mitarbeiter das Unternehmen verlassen. Ein zentraler Passwortmanager eliminiert diese Vektoren, indem er starke Passwortrichtlinien durchsetzt, das Teilen von Anmeldedaten verhindert, jeden Zugriff protokolliert und die Massenrotation von Passwörtern innerhalb von Stunden ermöglicht.

Sollten wir On-Premise oder Cloud bereitstellen?

On-Premise gibt Ihnen maximale Kontrolle über Verschlüsselungsschlüssel, Backup-Zeitpläne und physische Sicherheit — unverzichtbar für Organisationen, die klassifizierte Daten verarbeiten oder in Air-Gapped-Netzwerken arbeiten. Cloud reduziert den operativen Overhead (Patching, Backups, Disaster Recovery). EU-souveräne Cloud (wie Passwork Cloud) bietet einen Kompromiss: Daten verlassen niemals EU-Rechenzentren, Verschlüsselungsschlüssel bleiben unter Ihrer Kontrolle, und Sie vermeiden den Patching-Aufwand von On-Premise. Für EU-Organisationen, die regulierte Daten verarbeiten, erfüllt EU-souveräne Cloud sowohl DSGVO als auch NIS2 ohne operative Komplexität.

Können wir stattdessen eine Tabellenkalkulation oder E-Mail für das Anmeldedaten-Management verwenden?

Nein. Manuelles Teilen von Anmeldedaten über Tabellenkalkulationen, E-Mail oder Haftnotizen besteht die NIS2-Artikel-21-Compliance sofort nicht. Regulierungsbehörden verlangen den Nachweis von Zugriffskontrolle (wer hat auf was zugegriffen), Audit-Trails (wann und warum) und Widerrufsfähigkeit (sofortige Entfernung des Zugriffs). Eine Tabellenkalkulation bietet nichts davon. Ein zentraler Passwortmanager mit RBAC und unveränderlicher Audit-Protokollierung ist das minimal erforderliche Compliance-Fundament.

Was ist RBAC und warum verlangt NIS2 es?

RBAC (rollenbasierte Zugriffskontrolle) bedeutet, Berechtigungen Gruppen statt Einzelpersonen zu gewähren. Wenn ein Entwickler dem DevOps-Team beitritt, erbt er automatisch den Tresorzugriff des Teams. Wenn er das Team verlässt, widerrufen Sie den Zugriff einmal. NIS2 Artikel 21 (Maßnahme 9) verlangt dokumentierte Zugriffsrechte und sofortigen Widerruf. RBAC erfüllt dies, indem es die manuelle Bereitstellung pro Benutzer eliminiert und sofortige Transparenz darüber bietet, wer auf was Zugriff hat.

Verlangt NIS2 Multi-Faktor-Authentifizierung?

Ja. NIS2 Artikel 21 (Maßnahme 10) schreibt Multi-Faktor-Authentifizierung für alle betroffenen Einrichtungen vor. Die technischen Leitlinien der ENISA spezifizieren drei Stufen der MFA-Stärke, wobei Phishing-resistente Authentifizierung (FIDO2/WebAuthn) für alle privilegierten Konten obligatorisch ist. Ein Passwortmanager setzt MFA auf Tresorebene durch und stellt sicher, dass jeder Zugriff auf Anmeldedaten einen zweiten Faktor erfordert — womit diese Anforderung für die gesamte Organisation erfüllt wird.

Wie hilft Passwork bei der NIS2-Compliance?

Passwork liefert unveränderliche Audit-Trails, RBAC bis auf Ordnerebene, FIDO2/WebAuthn-MFA-Unterstützung und AES-256-Verschlüsselung — die technischen Nachweise, die Regulierungsbehörden verlangen. Es adressiert direkt neun der zehn Maßnahmen von Artikel 21. Passwork ist als On-Premise (vollständige Infrastrukturkontrolle) oder EU-souveräne Cloud (Datenresidenz garantiert, DSGVO- und NIS2-konform) verfügbar. Beide Bereitstellungen bieten die Anmeldedaten-Governance, Zugriffsprotokollierung und Compliance-Dokumentation, die erforderlich sind, um ein regulatorisches Audit zu bestehen.

NIS2-Konformität leicht gemacht: So spart ein Passwort-Manager Geld und Zeit

NIS2 ist verpflichtend. Regulatoren fordern Nachweise: Wer griff auf was zu, wann und warum? Ein Password Manager mit RBAC, MFA und unveränderlichen Audit-Logs ist die technische Grundlage für Compliance. Nutzen: €210k jährliche IT-Einsparungen plus Schutz vor €10-Millionen-Bußgeldern.

Compliance & regulations

May 29, 2026 — 13 min read

Cumplimiento de NIS2 simplificado: Cómo un gestor de contraseñas le ahorra dinero y tiempo

La Directiva NIS2 (UE 2022/2555) ya está en vigor en toda Europa. Las entidades esenciales e importantes se enfrentan a un plazo estricto: implementar medidas sólidas de gestión de riesgos de ciberseguridad antes de octubre de 2024 o enfrentar multas de hasta 10 millones de euros o el 2% de la facturación anual global. La mayoría de las organizaciones subestiman el coste operativo del cumplimiento. Un gestor de contraseñas es la base que hace alcanzable el cumplimiento del Artículo 21 sin agotar el presupuesto ni sobrecargar a su equipo de TI.

Puntos clave

El Artículo 21 de NIS2 se centra en resultados, no prescribe herramientas. Los reguladores exigen pruebas de que su organización controla quién accede a qué, cuándo y por qué. Un gestor de contraseñas centralizado con RBAC y registro de auditoría transforma esto de un problema de cumplimiento en un proceso documentado y auditable.
Los costes del incumplimiento superan con creces la inversión en cumplimiento. Las multas directas alcanzan los 10 millones de euros para entidades esenciales, más 5,1 millones de euros en costes medios de remediación de brechas. Una sola brecha de credenciales prevenible cuesta más que implementar un gestor de contraseñas — el ROI es inmediato e innegable.
El ochenta y uno por ciento de las brechas de datos se originan por credenciales robadas o débiles. Un gestor de contraseñas elimina este vector aplicando políticas de contraseñas fuertes, previniendo la reutilización de credenciales, detectando accesos no autorizados mediante registros de auditoría y permitiendo la rotación masiva de contraseñas en cuestión de horas tras un compromiso.
Los tickets de soporte relacionados con contraseñas consumen entre el 30 y el 50% de la capacidad del servicio de TI. Un gestor de contraseñas reduce estos tickets hasta en un 40%, liberando al personal de TI para trabajo estratégico. El ahorro anual alcanza los 210.000 euros para una organización mediana típica, considerando la mano de obra del servicio de asistencia, el tiempo de auditoría de cumplimiento y los costes de respuesta a incidentes.
La soberanía de datos en la UE es alcanzable sin complejidad operativa. Passwork Cloud aloja los datos íntegramente en centros de datos de la UE sin transferencias transfronterizas, cumpliendo el Artículo 32 del RGPD y el Artículo 21 de NIS2. Usted mantiene el control de las claves de cifrado y las pistas de auditoría inmutables, evitando la carga de actualización del despliegue local.
La elección es binaria: cumplimiento proactivo o cumplimiento reactivo. Invierta ahora para evitar multas, o sufra una brecha primero y pague 15 millones de euros después. Las organizaciones europeas están eligiendo lo primero — construyendo el cumplimiento sobre una base de gestor de contraseñas que reduce la carga operativa mientras satisface los requisitos regulatorios.

Comprender el Artículo 21 de NIS2: El núcleo de la gestión de riesgos de ciberseguridad

El Artículo 21 de NIS2 exige que las entidades esenciales e importantes implementen medidas técnicas, operativas y organizativas de gestión de riesgos de ciberseguridad. Estas medidas abarcan diez áreas de seguridad básicas: control de acceso, autenticación, cifrado, gestión de incidentes, seguridad de la cadena de suministro y otras. La directiva no prescribe herramientas específicas — define resultados. Un gestor de contraseñas aborda directamente múltiples requisitos del Artículo 21 al centralizar la gestión de credenciales, aplicar políticas de autenticación fuertes y mantener pistas de auditoría inmutables.

El desafío principal: El Artículo 21 se centra en resultados, no en herramientas. Los responsables de cumplimiento deben demostrar que su organización controla quién accede a qué, cuándo y por qué. El intercambio manual de contraseñas por correo electrónico, hojas de cálculo o notas adhesivas falla esta prueba inmediatamente. Una bóveda de credenciales centralizada con control de acceso basado en roles (RBAC) y registro completo transforma esto de un problema de cumplimiento en un proceso documentado y auditable.

Los costes ocultos del incumplimiento de NIS2

El incumplimiento conlleva dos categorías de costes distintas: multas directas y costes indirectos por brechas.

Las multas directas son severas. El Artículo 34 de NIS2 establece sanciones de hasta 10 millones de euros o el 2% de la facturación anual global total para entidades esenciales, y 5 millones de euros o el 1% para entidades importantes. Una empresa de servicios financieros de tamaño mediano con 500 millones de euros de ingresos enfrenta una multa potencial de 10 millones de euros por un solo incumplimiento material.
Los costes indirectos superan a las multas. Según el Informe del Coste de una Brecha de Datos 2025 de IBM, el coste medio global de una brecha alcanzó los 5,1 millones de dólares — y eso es antes de que se apliquen las sanciones de NIS2. La gestión deficiente de credenciales es la causa raíz: el 81% de las brechas de datos se originan por credenciales robadas o débiles. Un gestor de contraseñas elimina este vector por completo aplicando políticas de contraseñas fuertes, previniendo la reutilización de credenciales y detectando intentos de acceso no autorizado mediante registros de auditoría.

Considere los números: una sola brecha prevenible cuesta 5,1 millones de euros en remediación, notificación y pérdida de negocio. Una multa de NIS2 añade 10 millones de euros. La implementación de un gestor de contraseñas es una fracción de estos costes — y el ROI es inmediato e innegable.

Cuantificando el ROI: Cómo un gestor de contraseñas le ahorra dinero y tiempo

Los tickets de soporte relacionados con contraseñas consumen entre el 30 y el 50% de la capacidad del servicio de TI. Un ticket típico cuesta entre 50 y 100 euros en mano de obra. Para una organización de 100 personas, eso son entre 1.500 y 2.500 tickets anuales — entre 75.000 y 250.000 euros en gastos generales de soporte técnico. Implementar un gestor de contraseñas reduce estos tickets hasta en un 40%, liberando al personal de TI para trabajo estratégico.

Categoría de coste	Sin gestor de contraseñas	Con gestor de contraseñas	Ahorro anual
Tickets de soporte (restablecimiento de contraseñas, problemas de acceso)	€150.000	€90.000	€60.000
Mano de obra en auditorías de cumplimiento	€80.000	€30.000	€50.000
Respuesta a incidentes (brechas relacionadas con credenciales)	€120.000	€20.000	€100.000
Coste anual total	€350.000	€140.000	€210.000

Más allá del ahorro operativo, los gestores de contraseñas reducen las primas de seguro. Las aseguradoras de ciberriesgos ahora ofrecen descuentos del 10-15% para organizaciones que utilizan gestión centralizada de credenciales con registro de auditoría — un reflejo directo de la reducción del riesgo de brechas.

El ahorro de tiempo se acumula. Los usuarios finales ya no restablecen contraseñas olvidadas — se autentican una vez en la bóveda y acceden a todas las credenciales. Los administradores de TI ya no persiguen quién tiene acceso a qué — el RBAC y los registros de auditoría proporcionan visibilidad instantánea. La incorporación de un nuevo desarrollador toma horas en lugar de días.

Correspondencia entre las funciones del gestor de contraseñas y los requisitos del Artículo 21 de NIS2

El Artículo 21 de NIS2 requiere «medidas técnicas, operativas y organizativas apropiadas y proporcionadas» para gestionar los riesgos de ciberseguridad. Las 10 medidas son obligatorias para toda entidad cubierta. Los gestores de contraseñas abordan los vectores de ataque basados en credenciales principales a través de estos requisitos:

Medida	Requisito principal	Cómo ayudan los gestores de contraseñas
1. Análisis de riesgos y políticas	Identificar y documentar los riesgos de ciberseguridad	Descubrimiento de credenciales: mapear cuentas privilegiadas, identificar credenciales compartidas, documentar accesos de alto riesgo
2. Gestión de incidentes	Procedimientos para prevención, detección y respuesta	Rotación masiva de contraseñas en horas; los registros de auditoría permiten la identificación rápida de credenciales comprometidas
3. Continuidad del negocio	Mantener el acceso durante fallos del sistema	Clústeres de conmutación por error, replicación y procedimientos de respaldo probados mantienen las credenciales accesibles
4. Seguridad de la cadena de suministro	Gestionar los riesgos de proveedores y suministradores	Aislar el acceso de terceros, limitarlo temporalmente y revocarlo automáticamente cuando finalizan los contratos
5. Desarrollo seguro	Construir sistemas con la seguridad en mente	Prácticas de almacenamiento seguro de credenciales, pruebas de penetración regulares
6. Eficacia de los controles	Verificar que los controles realmente funcionan	Las pistas de auditoría inmutables demuestran que los controles de acceso se aplican y cada acción con credenciales queda registrada
7. Higiene cibernética y formación	Aplicar fortaleza de contraseñas y concienciación	Aplicar complejidad de contraseñas, calendarios de rotación y eliminar credenciales compartidas
8. Cifrado	Proteger datos en reposo y en tránsito	Cifrado AES-256 en reposo, TLS en tránsito, arquitectura de conocimiento cero
9. Control de acceso	Documentar y registrar todos los cambios de acceso	RBAC hasta nivel de carpeta, derechos individuales por usuario, revocación inmediata
10. MFA	Autenticación multifactor obligatoria	FIDO2/WebAuthn para cuentas privilegiadas, aplicación de MFA a nivel de bóveda

Passwork proporciona evidencia directa de cumplimiento en 9 de las 10 medidas de NIS2. Los registros de acceso y las pistas de auditoría inmutables satisfacen las medidas 1, 2 y 6. El almacenamiento cifrado cubre la medida 8. El RBAC, la aplicación de MFA y el control de acceso a nivel de activo completan las medidas 9 y 10 — donde los reguladores exigen pruebas técnicas.

Local vs. nube: Elegir la gestión de contraseñas adecuada para la soberanía de datos en la UE

El debate entre local y nube gira en torno a la residencia de datos, el control y la alineación regulatoria.

Los gestores de contraseñas en la nube ofrecen velocidad y simplicidad, pero introducen dependencia de un proveedor externo. Los datos salen de su infraestructura, cruzan fronteras y potencialmente activan restricciones de transferencia del RGPD. Los despliegues estándar en la nube alojados fuera de la UE crean fricciones de cumplimiento para organizaciones que manejan datos sensibles de la UE.

Sin embargo, las soluciones de nube con soberanía en la UE cambian esta ecuación. Passwork Cloud, alojado íntegramente en centros de datos de la UE sin transferencia de datos fuera del bloque, elimina las preocupaciones sobre transferencias transfronterizas mientras mantiene los beneficios de la nube: copias de seguridad automatizadas, clústeres de conmutación por error y menor carga de TI. El despliegue con soberanía en la UE de Passwork satisface el Artículo 32 del RGPD (medidas de protección de datos) y el Artículo 21 de NIS2 (expectativas de residencia de datos) sin la carga operativa de la gestión local. Sus claves de cifrado permanecen bajo su control y las pistas de auditoría son inmutables.

Los gestores de contraseñas locales mantienen todos los datos de credenciales dentro de su infraestructura. Passwork local le proporciona control total sobre las claves de cifrado, calendarios de respaldo, políticas de acceso y seguridad física. Para organizaciones que manejan infraestructura crítica, datos clasificados u operan en redes aisladas, la opción local es la única alternativa. Se alinea con el principio de minimización de datos (un principio fundamental del RGPD) y proporciona la máxima certeza de cumplimiento.

El compromiso: Passwork local requiere mayor carga operativa de TI (parches, copias de seguridad, recuperación ante desastres, planificación de capacidad). Passwork Cloud reduce esta carga manteniendo la residencia de datos. La nube estándar fuera de la UE introduce riesgo regulatorio.

Modelo de despliegue	Residencia de datos	Adecuación al cumplimiento	Carga operativa	Ideal para
Passwork local	Su infraestructura	Control máximo, redes aisladas	Media (parches, copias de seguridad, DR)	Infraestructura crítica, datos clasificados, redes aisladas
Passwork Cloud (UE)	Solo centros de datos de la UE	Compatible con RGPD + NIS2, sin transferencias transfronterizas	Baja (servicio gestionado)	Organizaciones de la UE, datos regulados, equipos con prioridad en cumplimiento
Nube estándar (fuera de la UE)	Terceros, potencialmente fuera de la UE	Restricciones de transferencia, fricción de cumplimiento	Baja	Datos no regulados, organizaciones fuera de la UE

Para organizaciones de la UE: Passwork Cloud ofrece la certeza de cumplimiento del despliegue local con la simplicidad operativa de la nube. Los datos nunca salen de la UE, las claves de cifrado permanecen bajo su control y las pistas de auditoría son inmutables — satisfaciendo tanto el RGPD como NIS2 sin la carga de actualización.

Cumplimiento de NIS2: El coste de actuar vs. no actuar

El cumplimiento de NIS2 es obligatorio. El coste del incumplimiento — multas de hasta 15 millones de euros más la remediación de brechas — supera con creces la inversión en una gestión adecuada de credenciales. Las organizaciones que construyen el cumplimiento sobre una base de gestor de contraseñas reducen el coste total de propiedad mientras satisfacen los requisitos del Artículo 21.

Una bóveda de credenciales centralizada con RBAC, MFA y registro de auditoría inmutable aborda las medidas principales de NIS2: análisis de riesgos, respuesta a incidentes, eficacia de controles, cifrado, gobernanza de acceso y aplicación de MFA. El beneficio operativo: los equipos de TI dedican menos tiempo al aprovisionamiento manual de accesos y más tiempo al trabajo de seguridad estratégico.

La elección es binaria: cumplimiento proactivo (invertir ahora, evitar multas) o cumplimiento reactivo (sufrir una brecha primero, pagar después).

Passwork proporciona esta base con despliegue flexible: local para organizaciones que requieren soberanía de datos, o nube con soberanía en la UE para equipos que priorizan la simplicidad operativa. Ambos modelos proporcionan las pruebas técnicas que exigen los reguladores — pistas de auditoría inmutables, RBAC hasta nivel de carpeta, soporte de MFA FIDO2/WebAuthn y cifrado AES-256.

Passwork está disponible como local (control total de infraestructura) o nube con soberanía en la UE (residencia de datos garantizada, compatible con RGPD y NIS2). Compare las opciones de despliegue y solicite una demostración gratuita

Preguntas frecuentes

¿Qué es NIS2 y quién debe cumplir?

NIS2 (Directiva de Seguridad de Redes y de la Información 2) es la legislación de la UE (UE 2022/2555) que exige a las entidades esenciales e importantes implementar medidas sólidas de gestión de riesgos de ciberseguridad. Las entidades esenciales incluyen operadores de energía, transporte, agua, salud e infraestructura digital. Las entidades importantes abarcan finanzas, salud, producción alimentaria y otros sectores críticos. El plazo de implementación fue octubre de 2024. El incumplimiento desencadena multas de hasta 10 millones de euros (entidades esenciales) o 5 millones de euros (entidades importantes), más los costes de remediación de brechas.

¿Qué es el Artículo 21 de NIS2?

El Artículo 21 de NIS2 establece diez medidas básicas de gestión de riesgos de ciberseguridad: análisis de riesgos y políticas, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, desarrollo seguro, verificación de la eficacia de controles, higiene cibernética y formación, cifrado, control de acceso y autenticación multifactor. Estas medidas se centran en resultados, no prescriben herramientas — las organizaciones deben demostrar que controlan quién accede a qué, cuándo y por qué. Un gestor de contraseñas aborda directamente seis de estas diez medidas mediante la gestión centralizada de credenciales, el registro de auditoría y la gobernanza de acceso.

¿Cuánto puede costar una multa de NIS2?

Las entidades esenciales enfrentan multas de hasta 10 millones de euros o el 2% de la facturación anual global total — lo que sea mayor. Las entidades importantes enfrentan hasta 5 millones de euros o el 1% de la facturación. Una empresa de servicios financieros de tamaño mediano con 500 millones de euros de ingresos podría enfrentar una multa de 10 millones de euros por un solo incumplimiento material. Estas multas son adicionales a los costes de remediación de brechas, que promedian 5,1 millones de euros a nivel global según el Informe del Coste de una Brecha de Datos 2025 de IBM.

¿Por qué ocurren la mayoría de las brechas de credenciales?

El ochenta y uno por ciento de las brechas de datos se originan por credenciales robadas o débiles (IBM 2025 DBIR). Las causas raíz incluyen contraseñas compartidas por correo electrónico u hojas de cálculo, reutilización de contraseñas entre sistemas, falta de registro de accesos y revocación tardía de credenciales cuando los empleados se van. Un gestor de contraseñas centralizado elimina estos vectores aplicando políticas de contraseñas fuertes, previniendo el intercambio de credenciales, registrando cada acceso y permitiendo la rotación masiva de contraseñas en horas.

¿Debemos desplegar local o en la nube?

El despliegue local proporciona control máximo sobre claves de cifrado, calendarios de respaldo y seguridad física — esencial para organizaciones que manejan datos clasificados u operan en redes aisladas. La nube reduce la carga operativa (parches, copias de seguridad, recuperación ante desastres). La nube con soberanía en la UE (como Passwork Cloud) divide la diferencia: los datos nunca salen de los centros de datos de la UE, las claves de cifrado permanecen bajo su control y se evita la carga de actualización del despliegue local. Para organizaciones de la UE que manejan datos regulados, la nube con soberanía en la UE satisface tanto el RGPD como NIS2 sin complejidad operativa.

¿Podemos usar una hoja de cálculo o correo electrónico para la gestión de credenciales en su lugar?

No. El intercambio manual de credenciales mediante hojas de cálculo, correo electrónico o notas adhesivas incumple inmediatamente el Artículo 21 de NIS2. Los reguladores exigen pruebas de control de acceso (quién accedió a qué), pistas de auditoría (cuándo y por qué) y capacidad de revocación (eliminación inmediata del acceso). Una hoja de cálculo no proporciona nada de esto. Un gestor de contraseñas centralizado con RBAC y registro de auditoría inmutable es la base mínima viable de cumplimiento.

¿Qué es RBAC y por qué lo exige NIS2?

RBAC (control de acceso basado en roles) significa otorgar permisos a grupos en lugar de individuos. Cuando un desarrollador se une al equipo de DevOps, hereda automáticamente el acceso a la bóveda del equipo. Cuando se va, se revoca una sola vez. El Artículo 21 de NIS2 (Medida 9) exige derechos de acceso documentados y revocación inmediata. El RBAC satisface esto eliminando el aprovisionamiento manual por usuario y proporcionando visibilidad instantánea de quién tiene acceso a qué.

¿NIS2 exige autenticación multifactor?

Sí. El Artículo 21 de NIS2 (Medida 10) establece la autenticación multifactor como obligatoria para todas las entidades cubiertas. La guía técnica de ENISA especifica tres niveles de fortaleza de MFA, siendo la autenticación resistente al phishing (FIDO2/WebAuthn) obligatoria para todas las cuentas privilegiadas. Un gestor de contraseñas aplica MFA a nivel de bóveda, asegurando que cada acceso a credenciales requiera un segundo factor — satisfaciendo este requisito en toda la organización.

¿Cómo ayuda Passwork con el cumplimiento de NIS2?

Passwork proporciona pistas de auditoría inmutables, RBAC hasta nivel de carpeta, soporte de MFA FIDO2/WebAuthn y cifrado AES-256 — las pruebas técnicas que exigen los reguladores. Aborda nueve de las diez medidas del Artículo 21 directamente. Passwork está disponible como local (control total de infraestructura) o nube con soberanía en la UE (residencia de datos garantizada, compatible con RGPD y NIS2). Ambos despliegues proporcionan la gobernanza de credenciales, el registro de accesos y la documentación de cumplimiento necesarios para pasar una auditoría regulatoria.

Cumplimiento de NIS2 simplificado: Cómo un gestor de contraseñas ahorra dinero y tiempo

NIS2 es obligatorio. Los reguladores exigen pruebas: quién accedió a qué, cuándo y por qué. Un gestor de contraseñas con RBAC, MFA y registros de auditoría inmutables es la base técnica para el cumplimiento. Beneficio: €210k ahorros anuales de TI más protección contra multas de €10 millones.

Compliance & regulations

May 29, 2026 — 11 min read

NIS2 compliance made easy: How a password manager saves you money and time

The NIS2 Directive (EU 2022/2555) is now live across Europe. Essential and important entities face a hard deadline: implement robust cybersecurity risk-management measures by October 2024 or face fines up to €10 million or 2% of global annual turnover. Most organizations underestimate the operational cost of compliance. A password manager is the foundation that makes Article 21 compliance achievable without breaking the budget or burning out your IT team.

Key Takeaways

NIS2 Article 21 is outcome-focused, not tool-prescriptive. Regulators demand proof that your organization controls who accesses what, when, and why. A centralized password manager with RBAC and audit logging transforms this from a compliance liability into a documented, auditable process.
Non-compliance costs far exceed compliance investment. Direct fines reach €10 million for essential entities, plus €5.1 million in average breach remediation costs. A single preventable credential breach costs more than implementing a password manager — the ROI is immediate and undeniable.
Eighty-one percent of data breaches trace back to stolen or weak credentials. A password manager eliminates this vector by enforcing strong password policies, preventing credential reuse, detecting unauthorized access through audit logs, and enabling bulk password rotation within hours of a compromise.
Password-related helpdesk tickets consume 30–50% of IT support capacity. A password manager reduces these tickets by up to 40%, freeing IT staff for strategic work. Annual savings reach €210,000 for a typical mid-sized organization when accounting for helpdesk labor, compliance audit time, and incident response costs.
EU data sovereignty is achievable without operational complexity. Passwork Cloud hosts data entirely within EU data centers with no cross-border transfers, satisfying GDPR Article 32 and NIS2 Article 21. You retain encryption key control and immutable audit trails while avoiding the patching burden of on-premise deployment.
The choice is binary: proactive compliance or reactive compliance. Invest now to avoid fines, or breach first and pay €15 million later. European organizations are choosing the former — building compliance on a password manager foundation that reduces operational overhead while satisfying regulatory requirements.

Understanding NIS2 Article 21: The core of cybersecurity risk management

NIS2 Article 21 mandates that essential and important entities implement technical, operational, and organizational cybersecurity risk-management measures. These measures span ten baseline security areas: access control, authentication, encryption, incident handling, supply chain security, and others. The directive doesn't prescribe specific tools — it defines outcomes. A password manager directly addresses multiple Article 21 requirements by centralizing credential management, enforcing strong authentication policies, and maintaining immutable audit trails.

The core challenge: Article 21 is outcome-focused, not tool-focused. Compliance officers must demonstrate that their organization controls who accesses what, when, and why. Manual password sharing via email, spreadsheets, or sticky notes fails this test immediately. A centralized credential vault with role-based access control (RBAC) and comprehensive logging transforms this from a compliance liability into a documented, auditable process.

The hidden costs of NIS2 non-compliance

Non-compliance carries two distinct cost categories: direct fines and indirect breach costs.

Direct fines are brutal. NIS2 Article 34 establishes penalties up to €10 million or 2% of total global annual turnover for essential entities, and €5 million or 1% for important entities. A mid-sized financial services firm with €500 million in revenue faces a potential €10 million fine for a single material compliance failure.
Indirect costs dwarf the fines. According to IBM's 2025 Cost of a Data Breach Report, the global average breach cost reached $5.1 million — and that's before NIS2 penalties kick in. Weak credential management is the root cause: 81% of data breaches trace back to stolen or weak credentials. A password manager eliminates this vector entirely by enforcing strong password policies, preventing credential reuse, and detecting unauthorized access attempts through audit logs.

Consider the math: a single preventable breach costs €5.1 million in remediation, notification, and lost business. A NIS2 fine adds €10 million. A password manager implementation is a fraction of these costs — and the ROI is immediate and undeniable.

Quantifying the ROI: How a password manager saves you money and time

Password-related helpdesk tickets consume 30–50% of IT support capacity. A typical ticket costs €50–€100 in labor. For a 100-person organization, that's 1,500–2,500 tickets annually — €75,000–€250,000 in pure helpdesk overhead. Implementing a password manager reduces these tickets by up to 40%, freeing IT staff for strategic work.

Cost Category	Without Password Manager	With Password Manager	Annual Savings
Helpdesk tickets (password resets, access issues)	€150,000	€90,000	€60,000
Compliance audit labor	€80,000	€30,000	€50,000
Incident response (credential-related breaches)	€120,000	€20,000	€100,000
Total Annual Cost	€350,000	€140,000	€210,000

Beyond operational savings, password managers reduce insurance premiums. Cyber insurance carriers now offer 10–15% discounts for organizations using centralized credential management with audit logging — a direct reflection of reduced breach risk.

Time savings compound. End-users no longer reset forgotten passwords — they authenticate once to the vault and access all credentials. IT administrators no longer chase down who has access to what — RBAC and audit logs provide instant visibility. Onboarding a new developer takes hours instead of days.

Mapping password manager features to NIS2 Article 21 requirements

NIS2 Article 21 requires "appropriate and proportionate technical, operational and organisational measures" to manage cybersecurity risks. All 10 measures are mandatory for every covered entity. Password managers address the core credential-based attack vectors across these requirements:

Measure	Core requirement	How password managers help
1. Risk analysis & policies	Identify and document cybersecurity risks	Credential discovery: map privileged accounts, identify shared credentials, document high-risk access
2. Incident handling	Procedures for prevention, detection, response	Bulk password rotation within hours; audit logs enable rapid identification of compromised credentials
3. Business continuity	Maintain access during system failures	Failover clustering, replication, tested backup procedures keep credentials accessible
4. Supply chain security	Manage supplier and provider risks	Isolate third-party access, time-bound it, auto-revoke when contracts end
5. Secure development	Build systems with security in mind	Secure credential storage practices, regular penetration testing
6. Control effectiveness	Verify controls actually work	Immutable audit trails prove access controls are enforced and every credential action is logged
7. Cyber hygiene & training	Enforce password strength and awareness	Enforce password complexity, rotation schedules, eliminate shared credentials
8. Encryption	Protect data at rest and in transit	AES-256 encryption at rest, TLS in transit, zero-knowledge architecture
9. Access control	Document and log all access changes	RBAC down to folder level, individual rights per user, immediate revocation
10. MFA	Multi-factor authentication mandatory	FIDO2/WebAuthn for privileged accounts, MFA enforcement at vault level

Passwork delivers direct compliance evidence across 9 of the 10 NIS2 measures. Access logs and immutable audit trails satisfy measures 1, 2, and 6. Encrypted storage covers measure 8. RBAC, MFA enforcement, and asset-level access control close out measures 9 and 10 — where regulators demand technical proof.

On-premise vs. cloud: Choosing the right password management for EU data sovereignty

The on-premise vs. cloud debate hinges on data residency, control, and regulatory alignment.

Cloud password managers offer speed and simplicity but introduce dependency on a third-party provider. Data leaves your infrastructure, crossing borders and potentially triggering GDPR transfer restrictions. Standard cloud deployments hosted outside the EU create compliance friction for organizations handling sensitive EU data.

However, EU-sovereign cloud solutions change this equation. Passwork Cloud, hosted entirely within EU data centers with no data transfer outside the bloc, eliminates cross-border transfer concerns while retaining cloud benefits: automated backups, failover clustering, and reduced IT overhead. Passwork's EU-sovereign deployment satisfies GDPR Article 32 (data protection measures) and NIS2 Article 21 (data residency expectations) without the operational burden of on-premise management. Your encryption keys remain under your control, and audit trails are immutable.

On-premise password managers keep all credential data within your infrastructure. Passwork on-premise gives you complete control over encryption keys, backup schedules, access policies, and physical security. For organizations handling critical infrastructure, classified data, or operating in air-gapped networks, on-premise is the only option. It aligns with the principle of data minimization (a core GDPR tenet) and provides maximum compliance certainty.

The trade-off: Passwork on-premise requires more IT operational overhead (patching, backups, disaster recovery, capacity planning). Passwork Cloud reduces this overhead while maintaining data residency. Standard cloud outside the EU introduces regulatory risk.

Deployment model	Data residency	Compliance fit	Operational overhead	Best for
Passwork on-premise	Your infrastructure	Maximum control, air-gapped networks	Medium (patching, backups, DR)	Critical infrastructure, classified data, isolated networks
Passwork Cloud (EU)	EU data centers only	GDPR + NIS2 compliant, no cross-border transfers	Low (managed service)	EU organizations, regulated data, compliance-first teams
Standard cloud (non-EU)	Third-party, potentially outside EU	Transfer restrictions, compliance friction	Low	Non-regulated data, non-EU organizations

For EU organizations: Passwork Cloud offers the compliance certainty of on-premise with the operational simplicity of cloud. Data never leaves the EU, encryption keys remain under your control, and audit trails are immutable — satisfying both GDPR and NIS2 without the patching burden.

NIS2 compliance: The cost of action vs. inaction

NIS2 compliance is mandatory. The cost of non-compliance — fines up to €15 million plus breach remediation — far exceeds the investment in proper credential management. Organizations that build compliance on a password manager foundation reduce total cost of ownership while satisfying Article 21 requirements.

A centralized credential vault with RBAC, MFA, and immutable audit logging addresses the core NIS2 measures: risk analysis, incident response, control effectiveness, encryption, access governance, and MFA enforcement. The operational benefit: IT teams spend less time on manual access provisioning and more time on strategic security work.

The choice is binary: proactive compliance (invest now, avoid fines) or reactive compliance (breach first, pay later).

Passwork delivers this foundation with flexible deployment: on-premise for organizations requiring data sovereignty, or EU-sovereign cloud for teams prioritizing operational simplicity. Both models provide the technical proof regulators demand — immutable audit trails, RBAC down to folder level, FIDO2/WebAuthn MFA support, and AES-256 encryption.

Passwork is available as on-premise (full infrastructure control) or EU-sovereign cloud (data residency guaranteed, GDPR and NIS2 compliant). Compare deployment options and request a free demo

Frequently Asked Questions

What is NIS2 and who must comply?

NIS2 (Network and Information Security Directive 2) is EU legislation (EU 2022/2555) requiring essential and important entities to implement robust cybersecurity risk-management measures. Essential entities include energy, transport, water, health, and digital infrastructure operators. Important entities span finance, healthcare, food production, and other critical sectors. The deadline for implementation was October 2024. Non-compliance triggers fines up to €10 million (essential entities) or €5 million (important entities), plus breach remediation costs.

What is NIS2 Article 21?

NIS2 Article 21 mandates ten baseline cybersecurity risk-management measures: risk analysis and policies, incident handling, business continuity, supply chain security, secure development, control effectiveness verification, cyber hygiene and training, encryption, access control, and multi-factor authentication. These measures are outcome-focused, not tool-prescriptive — organizations must demonstrate they control who accesses what, when, and why. A password manager directly addresses six of these ten measures through centralized credential management, audit logging, and access governance.

How much can a NIS2 fine cost?

Essential entities face fines up to €10 million or 2% of total global annual turnover — whichever is higher. Important entities face up to €5 million or 1% of turnover. A mid-sized financial services firm with €500 million in revenue could face a €10 million fine for a single material compliance failure. These fines are in addition to breach remediation costs, which average €5.1 million globally according to IBM's 2025 Cost of a Data Breach Report.

Why do most credential breaches happen?

Eighty-one percent of data breaches trace back to stolen or weak credentials (IBM 2025 DBIR). Root causes include shared passwords via email or spreadsheets, password reuse across systems, lack of access logging, and delayed credential revocation when employees leave. A centralized password manager eliminates these vectors by enforcing strong password policies, preventing credential sharing, logging every access, and enabling bulk password rotation within hours.

Should we deploy on-premise or cloud?

On-premise gives you maximum control over encryption keys, backup schedules, and physical security — essential for organizations handling classified data or operating in air-gapped networks. Cloud reduces operational overhead (patching, backups, disaster recovery). EU-sovereign cloud (like Passwork Cloud) splits the difference: data never leaves EU data centers, encryption keys remain under your control, and you avoid the patching burden of on-premise. For EU organizations handling regulated data, EU-sovereign cloud satisfies both GDPR and NIS2 without operational complexity.

Can we use a spreadsheet or email for credential management instead?

No. Manual credential sharing via spreadsheets, email, or sticky notes fails NIS2 Article 21 compliance immediately. Regulators require proof of access control (who accessed what), audit trails (when and why), and revocation capability (immediate removal of access). A spreadsheet provides none of these. A centralized password manager with RBAC and immutable audit logging is the minimum viable compliance foundation.

What is RBAC and why does NIS2 require it?

RBAC (role-based access control) means granting permissions to groups instead of individuals. When a developer joins the DevOps team, they inherit the team's vault access automatically. When they leave, you revoke it once. NIS2 Article 21 (Measure 9) requires documented access rights and immediate revocation. RBAC satisfies this by eliminating manual per-user provisioning and providing instant visibility into who has access to what.

Does NIS2 require multi-factor authentication?

Yes. NIS2 Article 21 (Measure 10) mandates multi-factor authentication for all covered entities. ENISA's technical guidance specifies three tiers of MFA strength, with phishing-resistant authentication (FIDO2/WebAuthn) mandatory for all privileged accounts. A password manager enforces MFA at the vault level, ensuring every credential access requires a second factor — satisfying this requirement across the entire organization.

How does Passwork help with NIS2 compliance?

Passwork delivers immutable audit trails, RBAC down to folder level, FIDO2/WebAuthn MFA support, and AES-256 encryption — the technical proof regulators demand. It addresses nine of the ten Article 21 measures directly. Passwork is available as on-premise (full infrastructure control) or EU-sovereign cloud (data residency guaranteed, GDPR and NIS2 compliant). Both deployments provide the credential governance, access logging, and compliance documentation needed to pass a regulatory audit.

NIS2 compliance made easy: How a password manager saves you money and time

NIS2 is mandatory. Regulators demand proof: who accessed what, when, and why. A password manager with RBAC, MFA, and immutable audit trails is the technical foundation for compliance. Benefit: €210k annual IT savings plus protection from €10 million fines.

Compliance & regulations

May 28, 2026 — 17 min read

NIS2-Konformität: Der vollständige Leitfaden für Zugangsverwaltung 2026

Die NIS2-Richtlinie (EU 2022/2555) ist keine Zukunftsangelegenheit mehr. Seit Oktober 2024 müssen Organisationen in 18 europäischen Sektoren die Einhaltung verbindlicher Cybersicherheitskontrollen nachweisen. Strafen erreichen 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, und Vorstandsmitglieder haften persönlich bei Nichteinhaltung.

Im Kern von NIS2 steht Artikel 21, der 10 spezifische Sicherheitsmaßnahmen vorschreibt. Davon ist das Zugriffsmanagement (Credential-Governance, rollenbasierte Zugriffskontrolle, Multi-Faktor-Authentifizierung und Audit-Protokollierung) am besten prüfbar und am direktesten mit Sicherheitsvorfällen verbunden.

Dieser Leitfaden ordnet diese Anforderungen praktischen Umsetzungsschritten zu und zeigt, wie Sie Compliance-Nachweise erstellen, die Regulierungsbehörden erwarten.

Wichtigste Erkenntnisse

Gestohlene Anmeldedaten erscheinen in 39 % aller Sicherheitsvorfälle — nicht nur beim initialen Zugang, sondern als primärer Mechanismus für laterale Bewegung, Rechteausweitung und Persistenz.
Die Beteiligung Dritter hat 2026 48 % erreicht, ein Anstieg von 60 % im Jahresvergleich, der direkt die Supply-Chain-Zugangs-Governance unter NIS2 Artikel 21(2)(d) betrifft.
NIS2 Artikel 21 schreibt 10 spezifische Sicherheitsmaßnahmen vor, die alle für jede betroffene Organisation verbindlich sind. Die am besten prüfbaren und sicherheitskritischsten Maßnahmen sind Zugriffskontrolle, MFA und unveränderliche Audit-Protokollierung — diese liefern exportierbare Compliance-Nachweise, die Regulierungsbehörden erwarten.
Zugriffskontrolle ist der Bereich, in dem NIS2-Compliance messbar wird. Im Gegensatz zu Richtliniendokumenten erzeugt Credential-Governance überprüfbare Nachweise: Audit-Protokolle, Berechtigungsmatrizen, MFA-Durchsetzungsberichte. Regulierungsbehörden können bestätigen, dass Kontrollen aktiv durchgesetzt werden.
Artikel 23 führt eine 24-Stunden-Meldepflicht für Vorfälle ein. Organisationen ohne zentralisiertes Credential-Management, unveränderliche Audit-Trails und automatisierte Rotationsfähigkeiten können diese Frist nicht einhalten. Massenhafte Passwortrotation muss innerhalb von Stunden durchführbar sein, nicht Tagen.
ENISA spezifiziert drei MFA-Stufen. Stufe 1 (Phishing-resistentes FIDO2/WebAuthn) ist für alle privilegierten Konten obligatorisch. Stufe 2 (TOTP) ist für Standardbenutzer akzeptabel. SMS- und E-Mail-OTPs sind explizit zur Auslaufphase gekennzeichnet und erfüllen die Mindestanforderungen nicht.
Persönliche Haftung für Vorstandsmitglieder ist beispiellos. Artikel 20 macht C-Level-Führungskräfte persönlich für Cybersicherheitsmängel verantwortlich, einschließlich temporärer Verbote von Managementfunktionen. Diese Bestimmung hat keinen Präzedenzfall in NIS1.
Strafen erreichen 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für Wesentliche Einrichtungen, wobei die Durchsetzung ab 2026 aktiv ist. Nationale zuständige Behörden in der gesamten EU haben mit proaktiven Audits begonnen. Nichteinhaltung ist kein Zukunftsthema mehr.
On-Premise-Bereitstellung eliminiert die Datenverwahrung durch Dritte. Anmeldedaten verbleiben in Ihrem Netzwerk ohne externe Übertragung. Audit-Protokolle werden lokal gespeichert und direkt an Ihr SIEM weitergeleitet, ohne Vermittler des Anbieters, was Audit-Unabhängigkeit garantiert.
Die 5-Phasen-Implementierungs-Roadmap dauert 30–60 Tage von der Bewertung bis zur audit-bereiten Compliance: Vor-Bereitstellungs-Bewertung, Zugriffs-Audit, Credential-System-Bereitstellung, NIS2-Konfiguration und laufende Überwachung. Die meisten Organisationen können innerhalb dieses Zeitrahmens von fragmentiertem Zugriffsmanagement zur Durchsetzung übergehen.

Warum NIS2 sich auf Zugriffsmanagement konzentriert

Zugriffskontrolle ist der Bereich, in dem NIS2-Compliance messbar wird. Im Gegensatz zu Richtliniendokumenten oder Risikobewertungen erzeugt Credential-Governance exportierbare Nachweise: Audit-Protokolle, Berechtigungsmatrizen, MFA-Durchsetzungsberichte. Regulierungsbehörden können überprüfen, dass Kontrollen aktiv durchgesetzt werden.

Die Bedrohungslandschaft macht diese Dringlichkeit deutlich. Laut Verizons Data Breach Investigations Report 2026 ist die Ausnutzung von Schwachstellen mit 31 % der Sicherheitsvorfälle zum führenden initialen Zugriffsvektor geworden, gegenüber 20 % im Jahr 2025. Dieser Schlagzeilenvergleich verdeckt jedoch eine kritischere Erkenntnis: Gestohlene Anmeldedaten erscheinen in 39 % aller Sicherheitsvorfälle über den gesamten Angriffslebenszyklus — nicht nur beim initialen Zugang, sondern als primärer Mechanismus für laterale Bewegung, Rechteausweitung und Persistenz.

Sobald Angreifer Zugang erhalten, werden Anmeldedaten ihr dominantes Werkzeug, um sich durch die Infrastruktur zu bewegen. Die Beteiligung Dritter hat 2026 48 % erreicht, gegenüber 30 % im Jahr 2025 — ein Anstieg von 60 %, der direkt die Supply-Chain-Zugangs-Governance unter NIS2 Artikel 21(2)(d) betrifft.

Gestohlene Anmeldedaten treiben die Ausweitung von Sicherheitsvorfällen voran — wiederverwendet, geteilt oder nie widerrufen, wenn Mitarbeiter das Unternehmen verlassen. NIS2 Artikel 21 wurde entwickelt, um dies durch strenge Zugriffskontrolle, obligatorische MFA und unveränderliche Audit-Protokollierung zu eliminieren.

NIS2 Artikel 21 verstehen: Die 10 obligatorischen Sicherheitsmaßnahmen

NIS2 Artikel 21 verlangt „angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen" zur Bewältigung von Cybersicherheitsrisiken. Alle 10 Maßnahmen sind für jede betroffene Organisation verbindlich. Hier ist, was jede einzelne verlangt:

Maßnahme 1: Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme. Organisationen müssen Cybersicherheitsrisiken kontinuierlich identifizieren und dokumentieren. Dies bedeutet Credential-Erkennung: Erfassung aller privilegierten Konten, Identifizierung gemeinsam genutzter Anmeldedaten und Dokumentation, welche Systeme den risikoreichsten Zugang haben.
Maßnahme 2: Vorfallbehandlung — Prävention, Erkennung und Reaktion. Organisationen müssen dokumentierte Verfahren für die Reaktion auf Sicherheitsvorfälle haben. Bei Credential-basierten Sicherheitsvorfällen bedeutet dies die Fähigkeit, kompromittierte Passwörter massenhaft innerhalb von Stunden zu rotieren, nicht Tagen.
Maßnahme 3: Geschäftskontinuität, Backup-Management und Disaster Recovery. Anmeldedaten müssen auch bei Ausfall primärer Systeme zugänglich bleiben. Dies erfordert Failover-Clustering, Replikation und getestete Backup-Verfahren.
Maßnahme 4: Supply-Chain-Sicherheit. Organisationen müssen die Cybersicherheitsrisiken durch direkte Lieferanten und Dienstleister bewerten und managen. Für Anmeldedaten bedeutet dies die Isolierung des Zugriffs durch Dritte, zeitliche Begrenzung und automatischen Widerruf bei Vertragsende.
Maßnahme 5: Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen. Systeme müssen mit Sicherheit im Blick gebaut und gewartet werden. Für Credential-Systeme bedeutet dies sichere Entwicklungspraktiken und regelmäßige Penetrationstests.
Maßnahme 6: Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheits-Risikomanagementmaßnahmen. Organisationen müssen überprüfen, dass Kontrollen tatsächlich funktionieren. Dies erfordert Audit-Trails: Nachweis, dass Zugriffskontrollen durchgesetzt werden und jede Credential-Aktion protokolliert wird.
Maßnahme 7: Grundlegende Cyber-Hygiene-Praktiken und Cybersicherheitsschulungen. Schwache Passwörter sind der häufigste Credential-Fehler. Organisationen müssen Passwortkomplexität, Rotationspläne und Sicherheitsbewusstsein der Benutzer durchsetzen.
Maßnahme 8: Richtlinien und Verfahren für den Einsatz von Kryptographie und Verschlüsselung. Anmeldedaten müssen im Ruhezustand und während der Übertragung verschlüsselt sein. Dies bedeutet AES-256-Verschlüsselung, TLS für alle Kommunikationen und Zero-Knowledge-Architektur, bei der der Server niemals Entschlüsselungsschlüssel hält.
Maßnahme 9: Personalsicherheit, Zugriffskontrollrichtlinien und Asset-Management. Dies ist der Kern der NIS2-Zugangs-Governance: Jeder Benutzer muss dokumentierte Zugriffsrechte haben, jede Zugriffsänderung muss protokolliert werden, und jede Anmeldung muss widerrufen werden, wenn der Zugang nicht mehr benötigt wird.
Maßnahme 10: Einsatz von MFA oder kontinuierlichen Authentifizierungslösungen. Multi-Faktor-Authentifizierung ist nicht mehr optional. Die technische Anleitung der ENISA spezifiziert drei Stufen der MFA-Stärke, wobei Phishing-resistente Authentifizierung (FIDO2/WebAuthn) für alle privilegierten Konten obligatorisch ist.

Kurzreferenztabelle

Maßnahme	Kernanforderung	Credential-Fokus
1. Risikoanalyse & Richtlinien	Cybersicherheitsrisiken identifizieren und dokumentieren	Privilegierte Konten erfassen, gemeinsam genutzte Anmeldedaten identifizieren
2. Vorfallbehandlung	Verfahren für Prävention, Erkennung, Reaktion	Massenhafte Passwortrotation innerhalb von Stunden
3. Geschäftskontinuität	Zugang bei Systemausfällen aufrechterhalten	Failover-Clustering, Replikation, getestete Backups
4. Supply-Chain-Sicherheit	Lieferanten- und Anbieterrisiken managen	Drittanbieterzugang isolieren, automatischer Widerruf bei Vertragsende
5. Sichere Entwicklung	Systeme mit Sicherheit im Blick entwickeln	Sichere Coding-Praktiken, Penetrationstests
6. Kontrollwirksamkeit	Überprüfen, dass Kontrollen tatsächlich funktionieren	Unveränderliche Audit-Trails aller Zugriffsaktionen
7. Cyber-Hygiene & Schulung	Passwortstärke und Bewusstsein durchsetzen	Passwortkomplexität, Rotation, Benutzerschulung
8. Verschlüsselung	Daten im Ruhezustand und bei Übertragung schützen	AES-256, TLS, Zero-Knowledge-Architektur
9. Zugriffskontrolle	Alle Zugriffsänderungen dokumentieren und protokollieren	Individuelle Rechte pro Benutzer, sofortiger Widerruf
10. MFA	Multi-Faktor-Authentifizierung obligatorisch	FIDO2/WebAuthn für privilegierte Konten

Passwork liefert direkte Compliance-Nachweise für 9 der 10 NIS2-Maßnahmen. Zugriffsprotokolle und unveränderliche Audit-Trails erfüllen die Maßnahmen 1, 2 und 6. Verschlüsselte Speicherung deckt Maßnahme 8 ab. RBAC, MFA-Durchsetzung und Zugriffskontrolle auf Asset-Ebene schließen die Maßnahmen 9 und 10 ab — wo Regulierungsbehörden technische Nachweise fordern. Erhalten Sie eine kostenlose Demo und erleben Sie es in Aktion

Die 24-Stunden-Meldepflicht für Vorfälle

NIS2 Artikel 23 führt einen dreistufigen Meldezeitplan ein, der grundlegend verändert, wie Organisationen auf Credential-Sicherheitsvorfälle reagieren.

Frühwarnung (24 Stunden). Innerhalb von 24 Stunden nach Entdeckung eines erheblichen Vorfalls müssen Organisationen das nationale CSIRT benachrichtigen. Keine vollständige Bewertung erforderlich — nur Bestätigung, dass ein Vorfall stattgefunden hat und ob kriminelle Aktivitäten vermutet werden.
Vorfallmeldung (72 Stunden). Eine erste Bewertung bereitstellen: Schweregrad, Auswirkungen, Indicators of Compromise (IoCs) und betroffene Systeme. Hier wird der Umfang des Credential-Sicherheitsvorfalls kritisch. Wenn Admin-Anmeldedaten kompromittiert wurden, ist der Umfang potenziell unternehmensweit.
Abschlussbericht (1 Monat). Vollständige Ursachenanalyse, ergriffene Abhilfemaßnahmen, Bewertung grenzüberschreitender Auswirkungen und gewonnene Erkenntnisse. Dies ist das Dokument, das Regulierungsbehörden genau prüfen werden. Bei Credential-Sicherheitsvorfällen muss es den Nachweis enthalten, dass alle kompromittierten Passwörter rotiert wurden und dass der Zugang für alle Konten widerrufen wurde, die keinen Zugang mehr hätten haben sollen.

Organisationen ohne zentralisiertes Credential-Management, unveränderliche Audit-Trails und automatisierte Rotationsfähigkeiten können die 24-Stunden-Frist nicht einhalten.

Technische ENISA-Leitlinien: MFA, PAM und Audit-Protokollierung

Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat detaillierte technische Implementierungsleitlinien für NIS2 veröffentlicht. Für das Zugriffsmanagement dominieren drei Bereiche: MFA-Stärke, Privileged Access Management (PAM) und Audit-Protokollierung.

MFA: Drei Stärkestufen

ENISA klassifiziert MFA in drei Stufen basierend auf Phishing-Resistenz:

Stark (Phishing-resistent). FIDO2, WebAuthn und Hardware-Sicherheitsschlüssel. Diese können nicht durch Phishing-Angriffe abgefangen werden, da sie kryptografische Challenge-Response-Protokolle verwenden. ENISA schreibt Stufe 1 für alle privilegierten und administrativen Konten vor. Keine Ausnahmen.
Mittel. TOTP-Authenticator-Apps und Push-Benachrichtigungen. Akzeptabel für Standard-Benutzerkonten. Anfällig für Echtzeit-Phishing, aber deutlich besser als nur Passwörter.
Letzte Option (Auslaufphase). SMS- und E-Mail-Einmalpasswörter. Anfällig für SIM-Swap-Angriffe und Abfangen. ENISA empfiehlt ausdrücklich deren Auslaufphase für alle regulierten Umgebungen.

Organisationen müssen dokumentieren, welche MFA-Stufe für jede Benutzergruppe durchgesetzt wird. Prüfer werden überprüfen, dass alle privilegierten Konten Stufe 1 verwenden und dass SMS/E-Mail-OTPs nicht mehr verwendet werden.

Privileged Access Management (PAM)

ENISA spezifiziert vier PAM-Anforderungen:

Funktionstrennung. Admin-Konten dürfen niemals für allgemeine Aufgaben wie E-Mail oder Browsen verwendet werden. Separate, dedizierte Konten sind für alle privilegierten Operationen erforderlich.
Vollständige Audit-Protokollierung. Jede privilegierte Aktion muss mit Benutzeridentität, Zeitstempel, Quell-IP und durchgeführter Aktion protokolliert werden. Protokolle müssen unveränderlich und manipulationssicher sein.
Just-In-Time (JIT)-Zugang. Berechtigungen werden auf Ereignisbasis gewährt und nach Verwendung automatisch widerrufen. Kein dauerhafter Admin-Zugang.
Drittanbieter-Zugangs-Governance. Anbieterzugang muss umfangsbegrenzt, zeitlich begrenzt und bei Vertragsende oder Projektabschluss automatisch widerrufen werden.

Audit-Protokollierung (ENISA §11.4)

Protokolle müssen:

Zentralisiert sein. Alle Credential-Aktionen werden in einem einzigen, geschützten System protokolliert.
Unveränderlich sein. Kein Benutzer, einschließlich Administratoren, kann Protokolleinträge ändern oder löschen.
Exportierbar sein. Strukturierte Formate (JSON, CSV, Syslog) für SIEM-Integration und regulatorische Einreichung.
Aufbewahrt werden. Die minimale Aufbewahrungsdauer wird durch die Risikobewertung der Organisation definiert (typischerweise 1–3 Jahre).

Unvollständige oder manipulierbare Protokolle erfüllen ENISA §11.4 nicht. Regulierungsbehörden werden sie ablehnen.

NIS2-Anforderungen auf technische Kontrollen abbilden

So erfüllen spezifische technische Kontrollen die Verpflichtungen aus Artikel 21:

NIS2-Anforderung	Technische Kontrolle	Compliance-Nachweis
Art. 21(2)(a): Risikoanalyse	Passwortsicherheits-Dashboard	Kontinuierliche Sichtbarkeit schwacher, wiederverwendeter, veralteter und kompromittierter Anmeldedaten. Exportierbare Berichte für Prüfer.
Art. 21(2)(b): Vorfallbehandlung	Massenhafte Credential-Rotation	Sofortige Rotationsfähigkeit mit vollständigem Audit-Protokoll aller Rotationen, Zeitstempel und Bedieneridentität. Bereit für Artikel-23-Meldungen.
Art. 21(2)(c): Geschäftskontinuität	Failover-Clustering & Replikation	Ununterbrochener Zugang zu Anmeldedaten während Vorfällen. Backup-Aufzeichnungen demonstrieren Wiederherstellungsbereitschaft.
Art. 21(2)(d): Supply-Chain-Sicherheit	On-Premise-Bereitstellung	Anmeldedaten verbleiben in Ihrer Infrastruktur — kein SaaS-Anbieter in der Kette. Entfernt Sie selbst aus der Supply-Chain-Risikobewertung.
Art. 21(2)(f): Kontrollwirksamkeit	Unveränderlicher Audit-Trail + SIEM-Integration	Manipulationssichere Protokolle exportiert über Syslog. Kontinuierlicher, messbarer Nachweis der Kontrollwirksamkeit.
Art. 21(2)(g): Cyber-Hygiene	Passwortrichtlinien-Durchsetzung	Systemweite Durchsetzung von Komplexität, Rotationsplänen, automatischem Ablauf. Eliminiert schwache Anmeldedaten an der Quelle.
Art. 21(2)(h): Verschlüsselung	AES-256 + Zero-Knowledge-Architektur	Client-seitige Verschlüsselung bestätigt in Konfigurationsberichten. Master-Schlüssel werden nie übertragen. Verschlüsselungsschlüssel verlassen nie das Gerät des Benutzers.
Art. 21(2)(i): Zugriffskontrolle	RBAC + AD/LDAP/SSO-Integration	Exportierbare Berechtigungsmatrizen pro Benutzer/Rolle. Automatisierte Bereitstellungs-/Deprovisionierungsprotokolle belegen, dass der Zugang innerhalb von Minuten nach dem Ausscheiden eines Mitarbeiters widerrufen wurde.
Art. 21(2)(j): MFA	Obligatorische MFA-Durchsetzung	Systemkonfigurationsberichte, die bestätigen, dass MFA global durchgesetzt wird. Individuelle MFA-Methode pro Benutzer wird protokolliert.

Jede Kontrolle in der obigen Tabelle ist in Passworks Kernarchitektur integriert. Sie erhalten Passwortsicherheits-Dashboards, unveränderliche Audit-Trails, RBAC, MFA-Durchsetzung und AES-256-Verschlüsselung standardmäßig. Das Ergebnis: Compliance-Nachweise, die Regulierungsbehörden erwarten, keine Richtliniendokumente, die sie interpretieren müssen.

Die 5-Phasen-Implementierungs-Roadmap: Von der Bewertung zur audit-bereiten Compliance

Der Übergang von fragmentiertem Zugriffsmanagement zu audit-bereiter NIS2-Compliance erfordert keine vollständige Infrastrukturumstellung. Ein strukturierter 5-Phasen-Ansatz führt die meisten Organisationen innerhalb von 30–60 Tagen von der Bewertung zur Durchsetzung.

Phase 1: Vor-Bereitstellungs-Bewertung (Woche 1)

NIS2-Umfangsgrenzen definieren. Welche Geschäftsbereiche, Systeme und Benutzergruppen fallen unter die Richtlinie? Klassifizieren Sie Ihre Organisation als Wesentliche oder Wichtige Einrichtung und bestätigen Sie die anwendbaren Verpflichtungen.
Verantwortlichkeit zuweisen. Bestimmen Sie einen Compliance-Verantwortlichen mit Artikel-20-Verantwortlichkeit — typischerweise der CISO oder IT-Direktor. Stimmen Sie IT-, Sicherheits-, Personal- und Rechtsteams auf Rollen, Verantwortlichkeiten und Eskalationspfade ab.
Infrastrukturbereitschaft bestätigen. Überprüfen Sie Serverspezifikationen und Netzwerktopologie für die On-Premise-Bereitstellung. Bestätigen Sie die Active-Directory- oder LDAP-Bereitschaft für automatisierte Benutzerbereitstellung.

Phase 2: Zugriffs-Audit — wo Sie heute stehen (Woche 2)

Alle privilegierten Konten erfassen. Identifizieren Sie jedes Konto mit Admin-Zugang über alle Systeme und Infrastrukturen. Schließen Sie Dienstkonten und gemeinsam genutzte Anmeldedaten ein — dies sind Ihre risikoreichsten Anmeldedaten.
Drittanbieterzugang identifizieren. Überprüfen Sie alle aktiven Drittanbieter- und Lieferantenzugänge. Dokumentieren Sie Umfang, Dauer und aktuellen MFA-Status. Hier entdecken die meisten Organisationen unkontrollierten Zugang.
Aktuelle Protokollierung bewerten. Was wird heute protokolliert, wo und wie lange? Dokumentieren Sie die Lücke zwischen aktuellem Zustand und den technischen Anforderungen der ENISA.

Phase 3: Passwork in Ihrer Umgebung bereitstellen (Woche 3)

On-Premise installieren. Bereitstellen über Docker Compose oder Bare-Metal-Server (Linux/Windows). Passwork läuft vollständig innerhalb Ihrer Infrastruktur ohne externe Credential-Übertragung.
Mit Identity-Systemen integrieren. Mit Active Directory oder LDAP für automatisierte Benutzerbereitstellung verbinden. SSO über SAML 2.0 für nahtlose, prüfbare Authentifizierung konfigurieren.
Anmeldedaten importieren und organisieren. Vorhandene Anmeldedaten in strukturierte Tresore nach Team, System und Kritikalität migrieren. Initiale Tresorstruktur und Eigentümerhierarchie definieren.

Phase 4: Für NIS2-Compliance konfigurieren (Woche 4)

RBAC definieren und durchsetzen. Das Least-Privilege-Prinzip durchgehend anwenden. Jeder Benutzer greift nur auf die Anmeldedaten zu, die seine Rolle erfordert.
MFA vorschreiben. Stufe 1 (FIDO2) für alle privilegierten Konten durchsetzen. Stufe 2 (TOTP) für alle Standardbenutzer durchsetzen. Durchsetzung als Audit-Nachweis dokumentieren.
Drittanbieterzugang isolieren. Dedizierte, zeitlich begrenzte Tresore für Lieferanten und Auftragnehmer mit automatischem Ablauf bei Vertragsende erstellen.
Passwortrichtlinien konfigurieren. Komplexitätsregeln, Rotationspläne und automatischen Ablauf durchsetzen. Vollständige Audit-Trail-Protokollierung aktivieren und SIEM-Integration über Syslog konfigurieren.

Phase 5: Laufende Überwachung und Berichterstattung (fortlaufend)

Vierteljährliche Zugriffsüberprüfungen planen. Validieren, dass RBAC-Zuweisungen korrekt bleiben. Sicherstellen, dass kein verwaister Zugang nach dem Ausscheiden von Mitarbeitern verbleibt.
Automatisierte Compliance-Berichte generieren. MFA-Durchsetzung, Zugangs-Governance und Kontrollwirksamkeit demonstrieren. Exportierbare Nachweispakete auf Abruf für regulatorische Einreichung bereithalten.
Audit-Protokolle überwachen. Warnungen mit SIEM für anomale Zugriffsmuster integrieren. Jährliche NIS2-Bereitschaftsbewertungen gegen aktualisierte ENISA-Leitlinien durchführen.

Die NIS2-Compliance-Checkliste

Verwenden Sie diese Checkliste, um Ihren Compliance-Status in den drei kritischen Bereichen zu verfolgen: Zugriffsmanagement, Supply-Chain-Sicherheit und Vorfallbereitschaft.

Zugriffskontrolle (Artikel 21(2)(i))

Alle privilegierten Konten über alle Systeme und Infrastrukturen erfassen
Strenge RBAC implementieren — jeder Benutzer greift nur auf Anmeldedaten zu, die seine Rolle erfordert
Alle gemeinsam genutzten Konten eliminieren — durch individuellen Zugang ersetzen
Identitätslebenszyklus über AD/LDAP automatisieren — sofortiger Zugriffswiderruf beim Ausscheiden von Mitarbeitern
Berechtigungsmatrizen als prüferfertige Nachweise exportieren

Supply Chain (Artikel 21(2)(d))

Alle Drittanbieterzugänge in dedizierten, zeitlich begrenzten Tresoren isolieren
Alle aktiven Lieferanten-Credentials auditieren — jeden Zugang widerrufen, der nicht mehr operativ gerechtfertigt ist
Lieferantenzugangsumfang, Dauer und MFA-Status für jede aktive Drittanbieter-Credential dokumentieren
Automatischen Ablauf bei Vertragsende konfigurieren

MFA (Artikel 21(2)(j))

Stufe-1-MFA (FIDO2/WebAuthn) für alle administrativen Konten durchsetzen
Stufe-2-MFA (TOTP) für alle Standardbenutzer durchsetzen
SMS- und E-Mail-OTPs auslaufen lassen — beide erfüllen die Mindestanforderungen der ENISA nicht
Compliance-Bericht erstellen, der MFA für alle aktiven Konten bestätigt

Vorfallbereitschaft (Artikel 23)

Überprüfen, dass Audit-Protokolle ausreichend Details für die 24-Stunden-Frühwarnung liefern
Workflow für massenhafte Credential-Rotation für die Reaktion nach Vorfällen etablieren und testen
Benannte Person für Artikel-23-Meldung bestimmen
Exportierbare Nachweispakete auf Abruf für regulatorische Einreichung vorbereiten

Audit-Protokollierung (ENISA §11.4)

Audit-Protokolle zentralisieren und schützen — unveränderliche, exportierbare Protokollierung konfigurieren
Mit SIEM über Syslog integrieren — sicherstellen, dass kein Benutzer Protokolleinträge ändern oder löschen kann
Bestätigen, dass jeder Eintrag Identität, Zeitstempel, Aktion und Quell-IP erfasst
Automatisierte Berichte erstellen, die MFA-Durchsetzung, RBAC-Compliance und Zugriffsüberprüfungen abdecken

Strafen: Was Nichteinhaltung tatsächlich kostet

Die finanziellen und persönlichen Konsequenzen der NIS2-Nichteinhaltung sind gravierend:

Für Wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Regulierungsbehörden können auch temporäre Betriebseinschränkungen verhängen.
Für Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Reaktive Aufsicht bedeutet nicht geringeres Risiko.
Persönliche Haftung für das Management (Artikel 20). Vorstandsmitglieder und C-Level-Führungskräfte können persönlich für Cybersicherheitsmängel haftbar gemacht werden. Zuständige Behörden können temporäre Verbote von Managementfunktionen verhängen. Diese Bestimmung hat keinen Präzedenzfall in NIS1 und verändert grundlegend, wie Führungskräfte Compliance angehen müssen.

Ab 2026 haben nationale zuständige Behörden in der gesamten EU mit proaktiven Audits von Wesentlichen Einrichtungen begonnen. Die Durchsetzungsphase ist aktiv.

Ihr NIS2-Nachweispaket erstellen

Regulierungsbehörden wollen Beweise. Ihr Compliance-Nachweispaket muss enthalten:

RBAC-Konfigurationsexport. Berechtigungsmatrizen, die zeigen, welche Benutzer/Rollen Zugang zu welchen Anmeldedaten haben.
MFA-Durchsetzungsbericht. Systemkonfiguration, die bestätigt, dass MFA global durchgesetzt wird, mit MFA-Methode pro Benutzer.
Audit-Protokollmuster. Repräsentative Protokolle, die Identität, Zeitstempel, Aktion und Quell-IP für Credential-Zugriff und -Änderungen zeigen.
Drittanbieterzugangs-Inventar. Dokumentierter Umfang, Dauer und MFA-Status für jede aktive Lieferanten-Credential.
Passwortrichtlinien-Dokumentation. Durchgesetzte Komplexitätsregeln, Rotationspläne und automatische Ablaufeinstellungen.
Vorfallreaktionsfähigkeit. Nachweis, dass massenhafte Credential-Rotation innerhalb von Stunden durchgeführt werden kann.
Backup- und Failover-Aufzeichnungen. Nachweis, dass Anmeldedaten während Systemausfällen zugänglich bleiben.

Der On-Premise-Vorteil für NIS2-Compliance

Organisationen fragen oft: Warum betont NIS2 die On-Premise-Bereitstellung? Die Antwort ist Datensouveränität und Audit-Unabhängigkeit.

Daten bleiben, wo Sie sie kontrollieren. Alle Anmeldedaten verbleiben in Ihrem Netzwerk ohne externe Übertragung, ohne Drittanbieter-Verwahrung und ohne jurisdiktionelle Unklarheiten.
Audit-Protokolle, die Sie besitzen und kontrollieren. Protokolle werden lokal gespeichert, direkt an Ihr SIEM über Syslog weitergeleitet, ohne Anbieter-Vermittler, ohne Einschränkungen und ohne dass Daten Ihren Perimeter verlassen.
Keine Drittanbieter-Datenabhängigkeit. Da das Credential-System innerhalb Ihrer Infrastruktur läuft, hält es keine Verwahrung über Ihre Anmeldedaten, wodurch die Drittanbieter-Datenabhängigkeit eliminiert wird, die Supply-Chain-Bewertungsanforderungen unter Artikel 21(2)(d) auslöst.
Compliance-Nachweise zu Ihren Bedingungen. Jeder Bericht, jedes Protokoll und jeder Konfigurationsexport wird aus Ihrer eigenen Infrastruktur generiert und ist auf Abruf für Prüfer verfügbar, ohne Abhängigkeit vom Support-Team oder der Datenaufbewahrungsrichtlinie eines Anbieters.
Isolierte Umgebungen unterstützt. Air-Gapped-Bereitstellung für OT/ICS-Infrastrukturen mit null Netzwerkexposition. Anmeldedaten bleiben auch dort zugänglich, wo Internetkonnektivität konstruktionsbedingt verboten ist.

Fazit: Von Compliance zum Wettbewerbsvorteil

NIS2 ist ein Mandat zur Sicherung der Infrastruktur, von der die europäische Gesellschaft abhängt. Credential-basierte Angriffsvektoren dominieren die Bedrohungslandschaft 2026 — und sie sind genau das, wofür Artikel 21 konzipiert wurde.

Organisationen, die Credential-Governance zentralisieren, Phishing-resistente MFA durchsetzen und unveränderliche Audit-Trails pflegen, tun mehr als nur das Audit zu bestehen. Sie eliminieren ihre bedeutendste Angriffsfläche. Die 5-Phasen-Implementierungs-Roadmap in diesem Leitfaden führt Sie innerhalb von 30–60 Tagen von fragmentiertem Zugriffsmanagement zu audit-bereiter Compliance.

Das technische Fundament für dieses Ergebnis erfordert drei Elemente: On-Premise-Bereitstellung, die Datensouveränität garantiert, RBAC, das Least Privilege im großen Maßstab durchsetzt, und Audit-Protokolle, die Regulierungsbehörden genau die Nachweise liefern, die sie benötigen.

Passwork liefert alle 9 technischen Kontrollen in dieser Tabelle: Passwortsicherheits-Dashboards, Massenrotation, Failover-Clustering, On-Premise-Bereitstellung, unveränderliche Audit-Trails, Richtliniendurchsetzung, AES-256-Verschlüsselung, RBAC und MFA. Erhalten Sie eine kostenlose Demo und erleben Sie es in Aktion.

Bereit, von der Compliance-Planung zur Implementierung überzugehen? Laden Sie den vollständigen NIS2-Compliance-Leitfaden herunter für detaillierte technische Zuordnung, branchenspezifische Anleitungen und eine anpassbare Compliance-Checkliste.

Häufig gestellte Fragen

Was verlangt NIS2 Artikel 21 tatsächlich von meiner Organisation?

Artikel 21 schreibt 10 spezifische Sicherheitsmaßnahmen vor: Risikoanalyse, Vorfallbehandlung, Geschäftskontinuität, Supply-Chain-Sicherheit, sichere Entwicklung, Überprüfung der Kontrollwirksamkeit, Cyber-Hygiene, Verschlüsselung, Zugriffskontrolle und MFA. Alle 10 sind für jede betroffene Organisation verbindlich. Die am besten prüfbaren und sicherheitskritischsten Maßnahmen sind Zugriffskontrolle (Artikel 21(2)(i)), MFA (Artikel 21(2)(j)) und Audit-Protokollierung (Artikel 21(2)(f)).

Wer muss NIS2 einhalten?

Organisationen in 18 europäischen Sektoren, die als Wesentliche Einrichtungen klassifiziert sind, müssen sofort die Vorgaben einhalten. Dazu gehören Energie, Verkehr, Wasser, Gesundheit, digitale Infrastruktur und öffentliche Verwaltung. Wichtige Einrichtungen (Finanzdienstleistungen, Lebensmittelversorgung, Fertigung, Chemie, Raumfahrt) haben bis Oktober 2025 Zeit für die vollständige Einhaltung. Nicht-EU-Organisationen, die in diesen Sektoren innerhalb der EU-Jurisdiktion tätig sind, fallen ebenfalls in den Geltungsbereich.

Welche Strafen drohen bei Nichteinhaltung?

Wesentliche Einrichtungen riskieren Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Wichtige Einrichtungen riskieren bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes. Vorstandsmitglieder und C-Level-Führungskräfte haften persönlich nach Artikel 20, einschließlich temporärer Verbote von Managementfunktionen. Die Durchsetzung ist ab 2026 aktiv.

Wie lange dauert die Implementierung der NIS2-Compliance für das Zugriffsmanagement?

Die meisten Organisationen erreichen mit einem strukturierten 5-Phasen-Ansatz innerhalb von 30–60 Tagen audit-bereite Compliance: Vor-Bereitstellungs-Bewertung (Woche 1), Zugriffs-Audit (Woche 2), Credential-System-Bereitstellung (Woche 3), NIS2-Konfiguration (Woche 4) und laufende Überwachung. Der Zeitrahmen hängt von der Infrastrukturkomplexität und dem Volumen der zu migrierenden vorhandenen Anmeldedaten ab.

Was ist der Unterschied zwischen Wesentlichen und Wichtigen Einrichtungen unter NIS2?

Wesentliche Einrichtungen betreiben kritische Infrastruktur (Energie, Verkehr, Wasser, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung). Wichtige Einrichtungen erbringen wesentliche Dienstleistungen (Finanzdienstleistungen, Lebensmittelversorgung, Fertigung, Chemie, Raumfahrt). Wesentliche Einrichtungen sehen sich höheren Strafen (10 Millionen Euro vs. 7 Millionen Euro) und strengeren Durchsetzungszeitplänen gegenüber. Beide müssen alle 10 Maßnahmen nach Artikel 21 umsetzen.

Warum betont NIS2 das On-Premise-Credential-Management?

On-Premise-Bereitstellung garantiert Datensouveränität: Anmeldedaten verbleiben in Ihrem Netzwerk ohne externe Übertragung oder Drittanbieter-Verwahrung. Audit-Protokolle werden lokal gespeichert und direkt an Ihr SIEM weitergeleitet, ohne Anbieter-Vermittler. Dies eliminiert die Drittanbieter-Datenabhängigkeit, die Supply-Chain-Bewertungsanforderungen unter Artikel 21(2)(d) auslöst, und gibt Ihnen vollständige Audit-Unabhängigkeit.

Welche MFA-Stufe verlangt NIS2?

ENISA spezifiziert drei Stufen: Stufe 1 (Phishing-resistent) — FIDO2, WebAuthn, Hardware-Sicherheitsschlüssel — ist für alle privilegierten und administrativen Konten obligatorisch. Stufe 2 (TOTP-Authenticator-Apps, Push-Benachrichtigungen) ist für Standardbenutzer akzeptabel. SMS- und E-Mail-OTPs sind explizit zur Auslaufphase gekennzeichnet und erfüllen die Mindestanforderungen der ENISA nicht.

Wie weise ich NIS2-Compliance gegenüber Regulierungsbehörden nach?

Ihr Nachweispaket muss enthalten: RBAC-Konfigurationsexporte mit Berechtigungsmatrizen, MFA-Durchsetzungsberichte, die globale Durchsetzung bestätigen, repräsentative Audit-Protokolle mit Identität/Zeitstempel/Aktion/Quell-IP, Drittanbieterzugangs-Inventar mit Umfang und Dauer, Passwortrichtlinien-Dokumentation, Nachweis der massenhaften Credential-Rotationsfähigkeit sowie Backup-/Failover-Aufzeichnungen. Alle Nachweise müssen exportierbar und auf Abruf prüferbereit sein.

Wie sieht der Meldezeitplan nach Artikel 23 aus?

Artikel 23 führt drei Stufen ein: Frühwarnung (24 Stunden) — das nationale CSIRT benachrichtigen, dass ein Vorfall stattgefunden hat. Vorfallmeldung (72 Stunden) — erste Bewertung einschließlich Schweregrad, Auswirkungen und betroffene Systeme bereitstellen. Abschlussbericht (1 Monat) — vollständige Ursachenanalyse, Abhilfemaßnahmen und gewonnene Erkenntnisse. Organisationen ohne zentralisiertes Credential-Management und automatisierte Rotation können die 24-Stunden-Frist nicht einhalten.

NIS2-Konformität: Der vollständige Leitfaden für Zugangsverwaltung 2026

Gestohlene Anmeldedaten dominieren Sicherheitsverletzungen 2026. NIS2 Artikel 21 schreibt 10 Sicherheitsmaßnahmen vor. Dieser Leitfaden behandelt technische Anforderungen, 24-Stunden-Meldepflicht, MFA-Stufen der ENISA und einen 5-Phasen-Fahrplan zur Compliance.

Compliance & regulations

May 28, 2026 — 21 min read

Directiva NIS2 y gestión de acceso: Qué exige realmente el Artículo 21

La Directiva NIS2 (UE 2022/2555) ya no es una preocupación futura. Desde octubre de 2024, las organizaciones de 18 sectores europeos deben demostrar el cumplimiento de controles de ciberseguridad obligatorios. Las sanciones alcanzan los 10 millones de euros o el 2% de la facturación anual global, y los miembros del consejo de administración enfrentan responsabilidad personal por incumplimiento.

En el núcleo de NIS2 está el Artículo 21, que establece 10 medidas de seguridad específicas. De estas, la gestión de acceso (gobernanza de credenciales, control de acceso basado en roles, autenticación multifactor y registro de auditoría) es la más auditable y la más directamente vinculada a los resultados de las brechas de seguridad.

Esta guía relaciona esos requisitos con pasos de implementación prácticos y muestra cómo generar evidencia de cumplimiento que los reguladores esperan.

Puntos clave

Las credenciales robadas aparecen en el 39% de todas las brechas — no solo en el acceso inicial, sino como el mecanismo principal para el movimiento lateral, la escalada de privilegios y la persistencia.
La participación de terceros ha alcanzado el 48% en 2026, un aumento interanual del 60% que implica directamente la gobernanza del acceso a la cadena de suministro según el Artículo 21(2)(d) de NIS2.
El Artículo 21 de NIS2 establece 10 medidas de seguridad específicas, todas obligatorias para cada entidad cubierta. Las medidas más auditables y críticas para las brechas son el control de acceso, MFA y el registro de auditoría inmutable — estas producen evidencia de cumplimiento exportable que los reguladores esperan.
El control de acceso es donde el cumplimiento de NIS2 se vuelve medible. A diferencia de los documentos de políticas, la gobernanza de credenciales produce evidencia verificable: registros de auditoría, matrices de permisos, informes de aplicación de MFA. Los reguladores pueden confirmar que los controles se aplican activamente.
El Artículo 23 introduce una obligación de notificación de incidentes en 24 horas. Las organizaciones sin gestión centralizada de credenciales, registros de auditoría inmutables y capacidades de rotación automatizada no pueden cumplir este plazo. La rotación masiva de contraseñas debe ser ejecutable en horas, no en días.
ENISA especifica tres niveles de MFA. El Nivel 1 (FIDO2/WebAuthn resistente al phishing) es obligatorio para todas las cuentas privilegiadas. El Nivel 2 (TOTP) es aceptable para usuarios estándar. Los OTP por SMS y correo electrónico están explícitamente marcados para eliminación progresiva y no cumplen el umbral mínimo.
La responsabilidad personal de los miembros del consejo de administración no tiene precedentes. El Artículo 20 responsabiliza personalmente a los ejecutivos de nivel C por fallos de ciberseguridad, incluyendo prohibiciones temporales de funciones directivas. Esta disposición no tiene precedente en NIS1.
Las sanciones alcanzan los 10 millones de euros o el 2% de la facturación anual global para Entidades Esenciales, con aplicación activa desde 2026. Las autoridades competentes nacionales en toda la UE han comenzado auditorías proactivas. El incumplimiento ya no es una preocupación futura.
El despliegue en las instalaciones propias elimina la custodia de datos por terceros. Las credenciales permanecen dentro de su red sin transmisión externa. Los registros de auditoría se almacenan localmente y se envían directamente a su SIEM sin intermediario del proveedor, garantizando la independencia de la auditoría.
La hoja de ruta de implementación en 5 fases toma de 30 a 60 días desde la evaluación hasta el cumplimiento listo para auditoría: evaluación previa al despliegue, auditoría de acceso, despliegue del sistema de credenciales, configuración NIS2 y monitoreo continuo. La mayoría de las organizaciones pueden pasar de una gestión de acceso fragmentada a la aplicación dentro de este plazo.

Por qué NIS2 se centra en la gestión de acceso

El control de acceso es donde el cumplimiento de NIS2 se vuelve medible. A diferencia de los documentos de políticas o las evaluaciones de riesgos, la gobernanza de credenciales produce evidencia exportable: registros de auditoría, matrices de permisos, informes de aplicación de MFA. Los reguladores pueden verificar que los controles se aplican activamente.

El panorama de amenazas hace evidente esta urgencia. Según el Informe de Investigaciones de Brechas de Datos de Verizon de 2026, la explotación de vulnerabilidades se ha convertido en el vector de acceso inicial líder con el 31% de las brechas, frente al 20% en 2025. Sin embargo, esta comparación general oculta un hallazgo más crítico: las credenciales robadas aparecen en el 39% de todas las brechas a lo largo de todo el ciclo de vida del ataque — no solo en el acceso inicial, sino como el mecanismo principal para el movimiento lateral, la escalada de privilegios y la persistencia.

Una vez que los atacantes obtienen entrada, las credenciales se convierten en su herramienta dominante para moverse a través de la infraestructura. La participación de terceros ha alcanzado el 48% en 2026, frente al 30% en 2025 — un aumento del 60% que implica directamente la gobernanza del acceso a la cadena de suministro según el Artículo 21(2)(d) de NIS2.

Las credenciales robadas impulsan la expansión de las brechas — reutilizadas, compartidas o nunca revocadas cuando los empleados se van. El Artículo 21 de NIS2 fue diseñado para eliminar esto mediante un control de acceso estricto, MFA obligatorio y registro de auditoría inmutable.

Comprendiendo el Artículo 21 de NIS2: Las 10 medidas de seguridad obligatorias

El Artículo 21 de NIS2 requiere «medidas técnicas, operativas y organizativas apropiadas y proporcionadas» para gestionar los riesgos de ciberseguridad. Las 10 medidas son obligatorias para cada entidad cubierta. Esto es lo que exige cada una:

Medida 1: Análisis de riesgos y políticas de seguridad de los sistemas de información. Las organizaciones deben identificar y documentar continuamente los riesgos de ciberseguridad. Esto se traduce en el descubrimiento de credenciales: mapear todas las cuentas privilegiadas, identificar credenciales compartidas y documentar qué sistemas contienen el acceso de mayor riesgo.
Medida 2: Gestión de incidentes — prevención, detección y respuesta. Las organizaciones deben tener procedimientos documentados para responder a incidentes de seguridad. Para las brechas basadas en credenciales, esto significa la capacidad de rotar contraseñas comprometidas de forma masiva en horas, no en días.
Medida 3: Continuidad del negocio, gestión de copias de seguridad y recuperación ante desastres. Las credenciales deben permanecer accesibles incluso cuando los sistemas principales fallan. Esto requiere clustering de conmutación por error, replicación y procedimientos de copia de seguridad probados.
Medida 4: Seguridad de la cadena de suministro. Las organizaciones deben evaluar y gestionar los riesgos de ciberseguridad que plantean los proveedores directos y prestadores de servicios. Para las credenciales, esto significa aislar el acceso de terceros, limitarlo en el tiempo y revocarlo automáticamente cuando terminan los contratos.
Medida 5: Seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información. Los sistemas deben construirse y mantenerse teniendo en cuenta la seguridad. Para los sistemas de credenciales, esto significa prácticas de desarrollo seguro y pruebas de penetración regulares.
Medida 6: Políticas y procedimientos para evaluar la efectividad de las medidas de gestión de riesgos de ciberseguridad. Las organizaciones deben verificar que los controles realmente funcionan. Esto requiere registros de auditoría: prueba de que los controles de acceso se aplican y que cada acción de credenciales se registra.
Medida 7: Prácticas básicas de higiene cibernética y formación en ciberseguridad. Las contraseñas débiles son el fallo de credenciales más común. Las organizaciones deben aplicar complejidad de contraseñas, programas de rotación y concienciación de seguridad del usuario.
Medida 8: Políticas y procedimientos relativos al uso de criptografía y cifrado. Las credenciales deben estar cifradas en reposo y en tránsito. Esto significa cifrado AES-256, TLS para todas las comunicaciones y arquitectura de conocimiento cero donde el servidor nunca tiene las claves de descifrado.
Medida 9: Seguridad de recursos humanos, políticas de control de acceso y gestión de activos. Este es el núcleo de la gobernanza de acceso de NIS2: cada usuario debe tener derechos de acceso documentados, cada cambio de acceso debe registrarse y cada credencial debe revocarse cuando el acceso ya no es necesario.
Medida 10: Uso de MFA o soluciones de autenticación continua. La autenticación multifactor ya no es opcional. La guía técnica de ENISA especifica tres niveles de fortaleza de MFA, con autenticación resistente al phishing (FIDO2/WebAuthn) obligatoria para todas las cuentas privilegiadas.

Tabla de referencia rápida

Medida	Requisito principal	Enfoque en credenciales
1. Análisis de riesgos y políticas	Identificar y documentar riesgos de ciberseguridad	Mapear cuentas privilegiadas, identificar credenciales compartidas
2. Gestión de incidentes	Procedimientos para prevención, detección, respuesta	Rotación masiva de contraseñas en horas
3. Continuidad del negocio	Mantener acceso durante fallos del sistema	Clustering de conmutación por error, replicación, copias de seguridad probadas
4. Seguridad de la cadena de suministro	Gestionar riesgos de proveedores y prestadores	Aislar acceso de terceros, revocación automática al fin del contrato
5. Desarrollo seguro	Construir sistemas con seguridad en mente	Prácticas de codificación segura, pruebas de penetración
6. Efectividad de controles	Verificar que los controles realmente funcionan	Registros de auditoría inmutables de todas las acciones de acceso
7. Higiene cibernética y formación	Aplicar fortaleza de contraseñas y concienciación	Complejidad de contraseñas, rotación, formación de usuarios
8. Cifrado	Proteger datos en reposo y en tránsito	AES-256, TLS, arquitectura de conocimiento cero
9. Control de acceso	Documentar y registrar todos los cambios de acceso	Derechos individuales por usuario, revocación inmediata
10. MFA	Autenticación multifactor obligatoria	FIDO2/WebAuthn para cuentas privilegiadas

Passwork proporciona evidencia de cumplimiento directa en 9 de las 10 medidas de NIS2. Los registros de acceso y los registros de auditoría inmutables satisfacen las medidas 1, 2 y 6. El almacenamiento cifrado cubre la medida 8. RBAC, la aplicación de MFA y el control de acceso a nivel de activos cierran las medidas 9 y 10 — donde los reguladores exigen pruebas técnicas. Obtenga una demostración gratuita y véalo en acción

La obligación de notificación de incidentes en 24 horas

El Artículo 23 de NIS2 introduce un cronograma de notificación en tres etapas que cambia fundamentalmente cómo las organizaciones responden a las brechas de credenciales.

Alerta temprana (24 horas). Dentro de las 24 horas posteriores al descubrimiento de un incidente significativo, las organizaciones deben notificar al CSIRT nacional. No se requiere evaluación completa — solo confirmación de que ocurrió un incidente y si se sospecha actividad criminal.
Notificación de incidente (72 horas). Proporcionar una evaluación inicial: gravedad, impacto, indicadores de compromiso (IoCs) y sistemas afectados. Aquí es donde el alcance de la brecha de credenciales se vuelve crítico. Si las credenciales de administrador fueron comprometidas, el alcance es potencialmente empresarial.
Informe final (1 mes). Análisis completo de la causa raíz, pasos de remediación tomados, evaluación del impacto transfronterizo y lecciones aprendidas. Este es el documento que los reguladores examinarán. Para las brechas de credenciales, debe incluir prueba de que todas las contraseñas comprometidas fueron rotadas y que el acceso fue revocado para cualquier cuenta que ya no debería haber tenido acceso.

Las organizaciones sin gestión centralizada de credenciales, registros de auditoría inmutables y capacidades de rotación automatizada no pueden cumplir el plazo de 24 horas.

Guía técnica de ENISA: MFA, PAM y registro de auditoría

La Agencia de la Unión Europea para la Ciberseguridad (ENISA) publicó guía detallada de implementación técnica para NIS2. Para la gestión de acceso, tres áreas dominan: fortaleza de MFA, gestión de acceso privilegiado (PAM) y registro de auditoría.

MFA: Tres niveles de fortaleza

ENISA clasifica MFA en tres niveles según la resistencia al phishing:

Fuerte (resistente al phishing). FIDO2, WebAuthn y llaves de seguridad de hardware. Estos no pueden ser interceptados por ataques de phishing porque utilizan protocolos criptográficos de desafío-respuesta. ENISA exige el Nivel 1 para todas las cuentas privilegiadas y administrativas. Sin excepciones.
Medio. Aplicaciones autenticadoras TOTP y notificaciones push. Aceptable para cuentas de usuarios estándar. Vulnerable al phishing en tiempo real pero significativamente mejor que solo contraseñas.
Último recurso (eliminar progresivamente). Contraseñas de un solo uso por SMS y correo electrónico. Vulnerable a ataques de SIM-swap e interceptación. ENISA recomienda explícitamente eliminar estos para todos los entornos regulados.

Las organizaciones deben documentar qué nivel de MFA se aplica para cada grupo de usuarios. Los auditores verificarán que todas las cuentas privilegiadas usen el Nivel 1 y que los OTP por SMS/correo electrónico ya no estén en uso.

Gestión de acceso privilegiado (PAM)

ENISA especifica cuatro requisitos de PAM:

Separación de funciones. Las cuentas de administrador nunca deben usarse para tareas generales como correo electrónico o navegación. Se requieren cuentas separadas y dedicadas para todas las operaciones privilegiadas.
Registro de auditoría completo. Cada acción privilegiada debe registrarse con identidad del usuario, marca de tiempo, IP de origen y acción realizada. Los registros deben ser inmutables y a prueba de manipulaciones.
Acceso Just-In-Time (JIT). Privilegios otorgados por evento y revocados automáticamente después del uso. Sin acceso de administrador permanente.
Gobernanza de acceso de terceros. El acceso de proveedores debe estar delimitado, limitado en el tiempo y revocado automáticamente al finalizar el contrato o el proyecto.

Registro de auditoría (ENISA §11.4)

Los registros deben ser:

Centralizados. Todas las acciones de credenciales registradas en un único sistema protegido.
Inmutables. Ningún usuario, incluidos los administradores, puede modificar o eliminar entradas de registro.
Exportables. Formatos estructurados (JSON, CSV, Syslog) para integración con SIEM y presentación regulatoria.
Retenidos. Período mínimo de retención definido por la evaluación de riesgos de la entidad (típicamente 1-3 años).

Los registros incompletos o manipulables no satisfarán ENISA §11.4. Los reguladores los rechazarán.

Mapeo de requisitos NIS2 a controles técnicos

Así es como los controles técnicos específicos satisfacen las obligaciones del Artículo 21:

Requisito NIS2	Control técnico	Evidencia de cumplimiento
Art. 21(2)(a): Análisis de riesgos	Panel de seguridad de contraseñas	Visibilidad continua de credenciales débiles, reutilizadas, obsoletas y comprometidas. Informes exportables para auditores.
Art. 21(2)(b): Gestión de incidentes	Rotación masiva de credenciales	Capacidad de rotación instantánea con registro de auditoría completo de todas las rotaciones, marcas de tiempo e identidad del operador. Listo para notificaciones del Artículo 23.
Art. 21(2)(c): Continuidad del negocio	Clustering de conmutación por error y replicación	Acceso ininterrumpido a credenciales durante incidentes. Los registros de copia de seguridad demuestran preparación para la recuperación.
Art. 21(2)(d): Seguridad de la cadena de suministro	Despliegue en las instalaciones propias	Las credenciales permanecen dentro de su infraestructura — sin proveedor SaaS en la cadena. Se elimina de la evaluación de riesgos de la cadena de suministro.
Art. 21(2)(f): Efectividad de controles	Registro de auditoría inmutable + integración SIEM	Registros a prueba de manipulaciones exportados vía Syslog. Evidencia continua y medible de efectividad de controles.
Art. 21(2)(g): Higiene cibernética	Aplicación de políticas de contraseñas	Aplicación en todo el sistema de complejidad, programas de rotación, expiración automática. Elimina credenciales débiles desde el origen.
Art. 21(2)(h): Cifrado	AES-256 + arquitectura de conocimiento cero	Cifrado del lado del cliente confirmado en informes de configuración. Las claves maestras nunca se transmiten. Las claves de cifrado nunca salen del dispositivo del usuario.
Art. 21(2)(i): Control de acceso	RBAC + integración AD/LDAP/SSO	Matrices de permisos exportables por usuario/rol. Los registros de aprovisionamiento/desaprovisionamiento automatizados prueban que el acceso fue revocado en minutos tras la salida del empleado.
Art. 21(2)(j): MFA	Aplicación obligatoria de MFA	Informes de configuración del sistema que confirman que MFA se aplica globalmente. El método MFA individual por usuario se registra.

Cada control en la tabla anterior está integrado en la arquitectura central de Passwork. Obtiene paneles de seguridad de contraseñas, registros de auditoría inmutables, RBAC, aplicación de MFA y cifrado AES-256 de serie. El resultado: evidencia de cumplimiento que los reguladores esperan, no documentos de políticas que tienen que interpretar.

La hoja de ruta de implementación en 5 fases: De la evaluación al cumplimiento listo para auditoría

Pasar de una gestión de acceso fragmentada a un cumplimiento NIS2 listo para auditoría no requiere una reconstrucción completa de la infraestructura. Un enfoque estructurado en 5 fases lleva a la mayoría de las organizaciones de la evaluación a la aplicación en 30-60 días.

Fase 1: Evaluación previa al despliegue (semana 1)

Definir los límites del alcance NIS2. ¿Qué unidades de negocio, sistemas y grupos de usuarios están bajo la directiva? Clasifique su organización como Entidad Esencial o Importante y confirme las obligaciones aplicables.
Asignar responsabilidad. Designe un responsable de cumplimiento con responsabilidad del Artículo 20 — típicamente el CISO o Director de TI. Alinee los equipos de TI, seguridad, RRHH y legal en roles, responsabilidades y rutas de escalación.
Confirmar preparación de infraestructura. Verifique las especificaciones del servidor y la topología de red para el despliegue en las instalaciones propias. Confirme la preparación de Active Directory o LDAP para el aprovisionamiento automatizado de usuarios.

Fase 2: Auditoría de acceso — dónde está hoy (semana 2)

Mapear todas las cuentas privilegiadas. Identifique cada cuenta con acceso de administrador en todos los sistemas e infraestructura. Incluya cuentas de servicio y credenciales compartidas — estas son sus credenciales de mayor riesgo.
Identificar acceso de terceros. Revise todo el acceso activo de terceros y proveedores. Documente el alcance, la duración y el estado actual de MFA. Aquí es donde la mayoría de las organizaciones descubren acceso no controlado.
Evaluar el registro actual. ¿Qué se está registrando hoy, dónde y por cuánto tiempo? Documente la brecha entre el estado actual y los requisitos técnicos de ENISA.

Fase 3: Desplegando Passwork en su entorno (semana 3)

Instalar en las instalaciones propias. Despliegue mediante Docker Compose o servidor bare-metal (Linux/Windows). Passwork se ejecuta completamente dentro de su infraestructura sin transmisión externa de credenciales.
Integrar con sistemas de identidad. Conecte con Active Directory o LDAP para aprovisionamiento automatizado de usuarios. Configure SSO mediante SAML 2.0 para autenticación fluida y auditable.
Importar y organizar credenciales. Migre las credenciales existentes a bóvedas estructuradas por equipo, sistema y criticidad. Defina la estructura inicial de bóvedas y la jerarquía de propiedad.

Fase 4: Configurando para cumplimiento NIS2 (semana 4)

Definir y aplicar RBAC. Aplique el principio de mínimo privilegio en toda la organización. Cada usuario accede solo a las credenciales que su rol requiere.
Exigir MFA. Aplique Nivel 1 (FIDO2) para todas las cuentas privilegiadas. Aplique Nivel 2 (TOTP) para todos los usuarios estándar. Documente la aplicación como evidencia de auditoría.
Aislar acceso de terceros. Cree bóvedas dedicadas y con límite de tiempo para proveedores y contratistas con expiración automática al fin del contrato.
Configurar políticas de contraseñas. Aplique reglas de complejidad, programas de rotación y expiración automática. Habilite el registro completo de auditoría y configure la integración SIEM vía Syslog.

Fase 5: Monitoreo e informes continuos (continuo)

Programar revisiones de acceso trimestrales. Valide que las asignaciones de RBAC permanezcan precisas. Asegúrese de que no quede acceso huérfano después de las salidas de empleados.
Generar informes de cumplimiento automatizados. Demuestre la aplicación de MFA, gobernanza de acceso y efectividad de controles. Tenga paquetes de evidencia exportables listos para presentación regulatoria bajo demanda.
Monitorear registros de auditoría. Integre alertas con SIEM para patrones de acceso anómalos. Realice evaluaciones anuales de preparación NIS2 contra la guía actualizada de ENISA.

La lista de verificación de cumplimiento NIS2

Use esta lista de verificación para rastrear su postura de cumplimiento en las tres áreas críticas: gestión de acceso, seguridad de la cadena de suministro y preparación para incidentes.

Control de acceso (Artículo 21(2)(i))

Mapear todas las cuentas privilegiadas en todos los sistemas e infraestructura
Implementar RBAC estricto — cada usuario accede solo a las credenciales que su rol requiere
Eliminar todas las cuentas compartidas — reemplazar con acceso individualizado
Automatizar el ciclo de vida de identidad vía AD/LDAP — revocación inmediata del acceso tras la salida del empleado
Exportar matrices de permisos como evidencia lista para auditores

Cadena de suministro (Artículo 21(2)(d))

Aislar todo el acceso de terceros en bóvedas dedicadas con límite de tiempo
Auditar todas las credenciales activas de proveedores — revocar cualquier acceso que ya no esté operativamente justificado
Documentar el alcance del acceso de proveedores, duración y estado de MFA para cada credencial activa de terceros
Configurar expiración automática al fin del contrato

MFA (Artículo 21(2)(j))

Aplicar MFA Nivel 1 (FIDO2/WebAuthn) para todas las cuentas administrativas
Aplicar MFA Nivel 2 (TOTP) para todos los usuarios estándar
Eliminar progresivamente SMS y OTP por correo electrónico — ambos no cumplen el umbral mínimo de ENISA
Generar informe de cumplimiento que confirme MFA en todas las cuentas activas

Preparación para incidentes (Artículo 23)

Verificar que los registros de auditoría proporcionen detalle suficiente para la alerta temprana de 24 horas
Establecer y probar el flujo de trabajo de rotación masiva de credenciales para respuesta post-incidente
Designar individuo nombrado responsable de la notificación del Artículo 23
Preparar paquetes de evidencia exportables listos para presentación regulatoria bajo demanda

Registro de auditoría (ENISA §11.4)

Centralizar y proteger registros de auditoría — configurar registro inmutable y exportable
Integrar con SIEM vía Syslog — asegurar que ningún usuario pueda modificar o eliminar entradas de registro
Confirmar que cada entrada captura identidad, marca de tiempo, acción e IP de origen
Generar informes automatizados que cubran aplicación de MFA, cumplimiento de RBAC y revisiones de acceso

Sanciones: Lo que realmente cuesta el incumplimiento

Las consecuencias financieras y personales del incumplimiento de NIS2 son severas:

Para Entidades Esenciales: Hasta 10 millones de euros o el 2% de la facturación anual global, lo que sea mayor. Los reguladores también pueden imponer restricciones operativas temporales.
Para Entidades Importantes: Hasta 7 millones de euros o el 1,4% de la facturación anual global, lo que sea mayor. La supervisión reactiva no significa menor riesgo.
Responsabilidad personal de la dirección (Artículo 20). Los miembros del consejo de administración y los ejecutivos de nivel C pueden ser considerados personalmente responsables por fallos de ciberseguridad. Las autoridades competentes pueden imponer prohibiciones temporales de funciones directivas. Esta disposición no tiene precedente en NIS1, y cambia fundamentalmente cómo el liderazgo debe abordar el cumplimiento.

Desde 2026, las autoridades competentes nacionales en toda la UE han comenzado auditorías proactivas de Entidades Esenciales. La fase de aplicación está activa.

Construyendo su paquete de evidencia NIS2

Los reguladores quieren pruebas. Su paquete de evidencia de cumplimiento debe incluir:

Exportación de configuración RBAC. Matrices de permisos que muestren qué usuarios/roles tienen acceso a qué credenciales.
Informe de aplicación de MFA. Configuración del sistema que confirme que MFA se aplica globalmente, con método MFA por usuario.
Muestras de registros de auditoría. Registros representativos que muestren identidad, marca de tiempo, acción e IP de origen para acceso y modificaciones de credenciales.
Inventario de acceso de terceros. Alcance documentado, duración y estado de MFA para cada credencial activa de proveedor.
Documentación de política de contraseñas. Reglas de complejidad aplicadas, programas de rotación y configuración de expiración automática.
Capacidad de respuesta a incidentes. Prueba de que la rotación masiva de credenciales puede ejecutarse en horas.
Registros de copia de seguridad y conmutación por error. Evidencia de que las credenciales permanecen accesibles durante fallos del sistema.

La ventaja del despliegue en las instalaciones propias para el cumplimiento NIS2

Las organizaciones a menudo preguntan: ¿por qué NIS2 enfatiza el despliegue en las instalaciones propias? La respuesta es soberanía de datos e independencia de auditoría.

Los datos permanecen donde usted los gobierna. Todas las credenciales permanecen dentro de su red sin transmisión externa, sin custodia de terceros y sin ambigüedad jurisdiccional.
Registros de auditoría que usted posee y controla. Los registros se almacenan localmente, se envían directamente a su SIEM vía Syslog sin intermediario del proveedor, sin restricciones y sin datos que salgan de su perímetro.
Sin dependencia de datos de terceros. Debido a que el sistema de credenciales se ejecuta dentro de su infraestructura, no tiene custodia sobre sus credenciales, eliminando la dependencia de datos de terceros que desencadena los requisitos de evaluación de la cadena de suministro bajo el Artículo 21(2)(d).
Evidencia de cumplimiento en sus términos. Cada informe, registro y exportación de configuración se genera desde su propia infraestructura y está disponible bajo demanda para auditores, sin dependencia del equipo de soporte del proveedor o política de retención de datos.
Entornos aislados soportados. Despliegue con air gap para infraestructuras OT/ICS con cero exposición de red. Las credenciales permanecen accesibles incluso donde la conectividad a internet está prohibida por diseño.

Conclusión: Del cumplimiento a la ventaja competitiva

NIS2 es un mandato para asegurar la infraestructura de la que depende la sociedad europea. Los vectores de ataque basados en credenciales dominan el panorama de amenazas de 2026 — y son precisamente lo que el Artículo 21 fue diseñado para abordar.

Las organizaciones que centralizan la gobernanza de credenciales, aplican MFA resistente al phishing y mantienen registros de auditoría inmutables hacen más que pasar la auditoría. Eliminan su superficie de ataque más significativa. La hoja de ruta de implementación en 5 fases de esta guía le lleva de una gestión de acceso fragmentada a un cumplimiento listo para auditoría en 30-60 días.

La base técnica para ese resultado requiere tres elementos: despliegue en las instalaciones propias que garantice la soberanía de datos, RBAC que aplique el mínimo privilegio a escala y registros de auditoría que proporcionen a los reguladores exactamente la evidencia que necesitan.

Passwork ofrece los 9 controles técnicos de esta tabla: paneles de seguridad de contraseñas, rotación masiva, clustering de conmutación por error, despliegue en las instalaciones propias, registros de auditoría inmutables, aplicación de políticas, cifrado AES-256, RBAC y MFA. Obtenga una demostración gratuita y véalo en acción.

¿Listo para pasar de la planificación del cumplimiento a la implementación? Descargue la guía completa de cumplimiento NIS2 para mapeo técnico detallado, orientación específica por sector y una lista de verificación de cumplimiento personalizable.

Preguntas frecuentes

¿Qué exige realmente el Artículo 21 de NIS2 a mi organización?

El Artículo 21 establece 10 medidas de seguridad específicas: análisis de riesgos, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, desarrollo seguro, verificación de efectividad de controles, higiene cibernética, cifrado, control de acceso y MFA. Las 10 son obligatorias para cada entidad cubierta. Las medidas más auditables y críticas para las brechas son el control de acceso (Artículo 21(2)(i)), MFA (Artículo 21(2)(j)) y registro de auditoría (Artículo 21(2)(f)).

¿Quién está obligado a cumplir con NIS2?

Las organizaciones en 18 sectores europeos clasificadas como Entidades Esenciales deben cumplir inmediatamente. Estas incluyen energía, transporte, agua, salud, infraestructura digital y administración pública. Las Entidades Importantes (servicios financieros, suministro de alimentos, manufactura, productos químicos, espacio) tienen hasta octubre de 2025 para el cumplimiento total. Las organizaciones no pertenecientes a la UE que operan en estos sectores dentro de la jurisdicción de la UE también están en el ámbito de aplicación.

¿Cuáles son las sanciones por incumplimiento?

Las Entidades Esenciales enfrentan multas de hasta 10 millones de euros o el 2% de la facturación anual global, lo que sea mayor. Las Entidades Importantes enfrentan hasta 7 millones de euros o el 1,4% de la facturación anual global. Los miembros del consejo de administración y los ejecutivos de nivel C enfrentan responsabilidad personal bajo el Artículo 20, incluyendo prohibiciones temporales de funciones directivas. La aplicación está activa desde 2026.

¿Cuánto tiempo lleva implementar el cumplimiento NIS2 para la gestión de acceso?

La mayoría de las organizaciones pasan de la evaluación al cumplimiento listo para auditoría en 30-60 días utilizando un enfoque estructurado en 5 fases: evaluación previa al despliegue (semana 1), auditoría de acceso (semana 2), despliegue del sistema de credenciales (semana 3), configuración NIS2 (semana 4) y monitoreo continuo. El plazo depende de la complejidad de la infraestructura y el volumen de credenciales existentes a migrar.

¿Cuál es la diferencia entre Entidades Esenciales e Importantes bajo NIS2?

Las Entidades Esenciales operan infraestructura crítica (energía, transporte, agua, salud, infraestructura digital, administración pública). Las Entidades Importantes proporcionan servicios esenciales (servicios financieros, suministro de alimentos, manufactura, productos químicos, espacio). Las Entidades Esenciales enfrentan sanciones más altas (10 millones de euros vs. 7 millones de euros) y plazos de aplicación más estrictos. Ambas deben implementar las 10 medidas del Artículo 21.

¿Por qué NIS2 enfatiza la gestión de credenciales en las instalaciones propias?

El despliegue en las instalaciones propias garantiza la soberanía de datos: las credenciales permanecen dentro de su red sin transmisión externa ni custodia de terceros. Los registros de auditoría se almacenan localmente y se envían directamente a su SIEM sin intermediario del proveedor. Esto elimina la dependencia de datos de terceros que desencadena los requisitos de evaluación de la cadena de suministro bajo el Artículo 21(2)(d) y le proporciona independencia de auditoría completa.

¿Qué nivel de MFA requiere NIS2?

ENISA especifica tres niveles: Nivel 1 (resistente al phishing) — FIDO2, WebAuthn, llaves de seguridad de hardware — es obligatorio para todas las cuentas privilegiadas y administrativas. Nivel 2 (aplicaciones autenticadoras TOTP, notificaciones push) es aceptable para usuarios estándar. Los OTP por SMS y correo electrónico están explícitamente marcados para eliminación progresiva y no cumplen el umbral mínimo de ENISA.

¿Cómo demuestro el cumplimiento NIS2 a los reguladores?

Su paquete de evidencia debe incluir: exportaciones de configuración RBAC que muestren matrices de permisos, informes de aplicación de MFA que confirmen la aplicación global, registros de auditoría representativos con identidad/marca de tiempo/acción/IP de origen, inventario de acceso de terceros con alcance y duración, documentación de política de contraseñas, prueba de capacidad de rotación masiva de credenciales y registros de copia de seguridad/conmutación por error. Toda la evidencia debe ser exportable y estar lista para auditores bajo demanda.

¿Cuál es el cronograma de notificación del Artículo 23?

El Artículo 23 introduce tres etapas: Alerta temprana (24 horas) — notificar al CSIRT nacional que ocurrió un incidente. Notificación de incidente (72 horas) — proporcionar evaluación inicial incluyendo gravedad, impacto y sistemas afectados. Informe final (1 mes) — análisis completo de causa raíz, pasos de remediación y lecciones aprendidas. Las organizaciones sin gestión centralizada de credenciales y rotación automatizada no pueden cumplir el plazo de 24 horas.

Cumplimiento de NIS2: La guía completa de gestión de accesos para 2026

Datos de inicio de sesión robados dominan las brechas de seguridad en 2026. El artículo 21 de NIS2 prescribe 10 medidas de seguridad. Esta guía cubre requisitos técnicos, obligación de notificación en 24 horas, niveles de MFA de ENISA y un plan de 5 fases para el cumplimiento.

Compliance & regulations

May 28, 2026 — 17 min read

NIS2 Directive and access management: What Article 21 actually requires

The NIS2 Directive (EU 2022/2555) is no longer a future concern. As of October 2024, organizations across 18 European sectors must demonstrate compliance with mandatory cybersecurity controls. Penalties reach €10 million or 2% of global annual turnover, and board members face personal liability for non-compliance.

At the core of NIS2 is Article 21, which mandates 10 specific security measures. Of these, access management (credential governance, role-based access control, multi-factor authentication, and audit logging) is the most auditable and the most directly linked to breach outcomes.

This guide maps those requirements to practical implementation steps and shows how to generate compliance evidence that regulators expect.

Key takeaways

Stolen credentials appear in 39% of all breaches — not just at initial access, but as the primary mechanism for lateral movement, privilege escalation, and persistence.
Third-party involvement has reached 48% in 2026, a 60% year-over-year increase that directly implicates supply chain access governance under NIS2 Article 21(2)(d).
NIS2 Article 21 mandates 10 specific security measures, all mandatory for every covered entity. The most auditable and breach-critical measures are access control, MFA, and immutable audit logging — these produce exportable compliance evidence regulators expect.
Access control is where NIS2 compliance becomes measurable. Unlike policy documents, credential governance produces verifiable evidence: audit logs, permission matrices, MFA enforcement reports. Regulators can confirm that controls are actively enforced.
Article 23 introduces a 24-hour incident reporting obligation. Organizations without centralized credential management, immutable audit trails, and automated rotation capabilities cannot meet this deadline. Bulk password rotation must be executable within hours, not days.
ENISA specifies three MFA tiers. Tier 1 (phishing-resistant FIDO2/WebAuthn) is mandatory for all privileged accounts. Tier 2 (TOTP) is acceptable for standard users. SMS and email OTPs are explicitly flagged for phase-out and do not meet the minimum threshold.
Personal liability for board members is unprecedented. Article 20 holds C-suite executives personally accountable for cybersecurity failures, including temporary bans from management roles. This provision has no precedent in NIS1.
Penalties reach €10 million or 2% of global annual turnover for Essential Entities, with enforcement active as of 2026. National competent authorities across the EU have begun proactive audits. Non-compliance is no longer a future concern.
On-premise deployment eliminates third-party data custody. Credentials remain inside your network with no external transmission. Audit logs are stored locally and piped directly to your SIEM with no vendor intermediary, guaranteeing audit independence.
The 5-phase implementation roadmap takes 30–60 days from assessment to audit-ready compliance: pre-deployment assessment, access audit, credential system deployment, NIS2 configuration, and ongoing monitoring. Most organizations can move from fragmented access management to enforcement within this timeline.

Why NIS2 focuses on access management

Access control is where NIS2 compliance becomes measurable. Unlike policy documents or risk assessments, credential governance produces exportable evidence: audit logs, permission matrices, MFA enforcement reports. Regulators can verify that controls are actively enforced.

The threat landscape makes this urgency clear. According to Verizon's 2026 Data Breach Investigations Report, vulnerability exploitation has become the leading initial access vector at 31% of breaches, up from 20% in 2025. However, this headline comparison obscures a more critical finding: stolen credentials appear in 39% of all breaches across the entire attack lifecycle — not just at initial access, but as the primary mechanism for lateral movement, privilege escalation, and persistence.

Once attackers gain entry, credentials become their dominant tool for moving through the infrastructure. Third-party involvement has reached 48% in 2026, up from 30% in 2025 — a 60% increase that directly implicates supply chain access governance under NIS2 Article 21(2)(d). ,

Stolen credentials drive breach expansion — reused, shared, or never revoked when employees leave. NIS2 Article 21 was designed to eliminate this through strict access control, mandatory MFA, and immutable audit logging.

Understanding NIS2 Article 21: The 10 mandatory security measures

NIS2 Article 21 requires "appropriate and proportionate technical, operational and organisational measures" to manage cybersecurity risks. All 10 measures are mandatory for every covered entity. Here's what each one demands:

Measure 1: Risk analysis and information system security policies. Organizations must continuously identify and document cybersecurity risks. This translates to credential discovery: mapping all privileged accounts, identifying shared credentials, and documenting which systems hold the highest-risk access.
Measure 2: Incident handling — prevention, detection, and response. Organizations must have documented procedures for responding to security incidents. For credential-based breaches, this means the ability to rotate compromised passwords in bulk within hours, not days.
Measure 3: Business continuity, backup management, and disaster recovery. Credentials must remain accessible even when primary systems fail. This requires failover clustering, replication, and tested backup procedures.
Measure 4: Supply chain security. Organizations must assess and manage the cybersecurity risks posed by direct suppliers and service providers. For credentials, this means isolating third-party access, time-bounding it, and revoking it automatically when contracts end.
Measure 5: Security in network and information systems acquisition, development, and maintenance. Systems must be built and maintained with security in mind. For credential systems, this means secure development practices and regular penetration testing.
Measure 6: Policies and procedures to assess the effectiveness of cybersecurity risk-management measures. Organizations must verify that controls actually work. This requires audit trails: proof that access controls are enforced and that every credential action is logged.
Measure 7: Basic cyber hygiene practices and cybersecurity training. Weak passwords are the most common credential failure. Organizations must enforce password complexity, rotation schedules, and user security awareness.
Measure 8: Policies and procedures regarding the use of cryptography and encryption. Credentials must be encrypted at rest and in transit. This means AES-256 encryption, TLS for all communications, and zero-knowledge architecture where the server never holds decryption keys.
Measure 9: Human resources security, access control policies, and asset management. This is the core of NIS2 access governance: every user must have documented access rights, every access change must be logged, and every credential must be revoked when access is no longer needed.
Measure 10: Use of MFA or continuous authentication solutions. Multi-factor authentication is no longer optional. ENISA's technical guidance specifies three tiers of MFA strength, with phishing-resistant authentication (FIDO2/WebAuthn) mandatory for all privileged accounts.

Quick reference table

Measure	Core requirement	Credential focus
1. Risk analysis & policies	Identify and document cybersecurity risks	Map privileged accounts, identify shared credentials
2. Incident handling	Procedures for prevention, detection, response	Bulk password rotation within hours
3. Business continuity	Maintain access during system failures	Failover clustering, replication, tested backups
4. Supply chain security	Manage supplier and provider risks	Isolate third-party access, auto-revoke at contract end
5. Secure development	Build systems with security in mind	Secure coding practices, penetration testing
6. Control effectiveness	Verify controls actually work	Immutable audit trails of all access actions
7. Cyber hygiene & training	Enforce password strength and awareness	Password complexity, rotation, user training
8. Encryption	Protect data at rest and in transit	AES-256, TLS, zero-knowledge architecture
9. Access control	Document and log all access changes	Individual rights per user, immediate revocation
10. MFA	Multi-factor authentication mandatory	FIDO2/WebAuthn for privileged accounts

Passwork delivers direct compliance evidence across 9 of the 10 NIS2 measures. Access logs and immutable audit trails satisfy measures 1, 2, and 6. Encrypted storage covers measure 8. RBAC, MFA enforcement, and asset-level access control close out measures 9 and 10 — where regulators demand technical proof. Get a free demo and see it in action

The 24-hour incident reporting obligation

NIS2 Article 23 introduces a three-stage reporting timeline that fundamentally changes how organizations respond to credential breaches.

Early Warning (24 hours). Within 24 hours of discovering a significant incident, organizations must notify the national CSIRT. No full assessment required — just confirmation that an incident occurred and whether criminal activity is suspected.
Incident Notification (72 hours). Provide an initial assessment: severity, impact, indicators of compromise (IoCs), and affected systems. This is where credential breach scope becomes critical. If admin credentials were compromised, the scope is potentially enterprise-wide.
Final Report (1 month). Full root cause analysis, remediation steps taken, cross-border impact assessment, and lessons learned. This is the document regulators will scrutinize. For credential breaches, it must include proof that all compromised passwords were rotated and that access was revoked for any accounts that should no longer have had access.

Organizations without centralized credential management, immutable audit trails, and automated rotation capabilities cannot meet the 24-hour deadline.

ENISA Technical Guidance: MFA, PAM, and audit logging

The European Union Agency for Cybersecurity (ENISA) published detailed technical implementation guidance for NIS2. For access management, three areas dominate: MFA strength, privileged access management (PAM), and audit logging.

MFA: Three tiers of strength

ENISA classifies MFA into three tiers based on phishing resistance:

Strong (Phishing-Resistant). FIDO2, WebAuthn, and hardware security keys. These cannot be intercepted by phishing attacks because they use cryptographic challenge-response protocols. ENISA mandates Tier 1 for all privileged and administrative accounts. No exceptions.
Medium. TOTP authenticator apps and push notifications. Acceptable for standard user accounts. Vulnerable to real-time phishing but significantly better than passwords alone.
Last Resort (Phase Out). SMS and email one-time passwords. Vulnerable to SIM-swap attacks and interception. ENISA explicitly recommends phasing these out for all regulated environments.

Organizations must document which MFA tier is enforced for each user group. Auditors will verify that all privileged accounts use Tier 1 and that SMS/email OTPs are no longer in use.

Privileged Access Management (PAM)

ENISA specifies four PAM requirements:

Separation of duties. Admin accounts must never be used for general tasks like email or browsing. Separate, dedicated accounts required for all privileged operations.
Full audit logging. Every privileged action must be logged with user identity, timestamp, source IP, and action taken. Logs must be immutable and tamper-evident.
Just-In-Time (JIT) access. Privileges granted on a per-event basis and automatically revoked after use. No standing admin access.
Third-party access governance. Vendor access must be scoped, time-limited, and automatically revoked upon contract end or project completion.

Audit logging (ENISA §11.4)

Logs must be:

Centralized. All credential actions logged to a single, protected system.
Immutable. No user, including administrators, can modify or delete log entries.
Exportable. Structured formats (JSON, CSV, Syslog) for SIEM integration and regulatory submission.
Retained. Minimum retention period defined by the entity's risk assessment (typically 1–3 years).

Incomplete or tamper-able logs will not satisfy ENISA §11.4. Regulators will reject them.

Mapping NIS2 requirements to technical controls

Here's how specific technical controls satisfy Article 21 obligations:

NIS2 requirement	Technical control	Compliance evidence
Art. 21(2)(a): Risk analysis	Password security dashboard	Continuous visibility into weak, reused, outdated, and compromised credentials. Exportable reports for auditors.
Art. 21(2)(b): Incident handling	Bulk credential rotation	Instant rotation capability with full audit log of all rotations, timestamps, and operator identity. Ready for Article 23 notifications.
Art. 21(2)(c): Business continuity	Failover clustering & replication	Uninterrupted access to credentials during incidents. Backup records demonstrate recovery readiness.
Art. 21(2)(d): Supply chain security	On-premise deployment	Credentials remain within your infrastructure — no SaaS vendor in the chain. Removes yourself from supply chain risk assessment.
Art. 21(2)(f): Control effectiveness	Immutable audit trail + SIEM integration	Tamper-evident logs exported via Syslog. Continuous, measurable evidence of control effectiveness.
Art. 21(2)(g): Cyber hygiene	Password policy enforcement	System-wide enforcement of complexity, rotation schedules, automatic expiry. Eliminates weak credentials at the source.
Art. 21(2)(h): Encryption	AES-256 + zero-knowledge architecture	Client-side encryption confirmed in configuration reports. Master keys never transmitted. Encryption keys never leave the user's device.
Art. 21(2)(i): Access control	RBAC + AD/LDAP/SSO integration	Exportable permission matrices per user/role. Automated provisioning/deprovisioning logs prove access was revoked within minutes of employee exit.
Art. 21(2)(j): MFA	Mandatory MFA enforcement	System config reports confirming MFA is globally enforced. Individual MFA method per user is logged.

Every control in the table above is built into Passwork's core architecture. You get password security dashboards, immutable audit trails, RBAC, MFA enforcement, and AES-256 encryption out of the box. The result: compliance evidence that regulators expect, not policy documents they have to interpret.

The 5-phase implementation roadmap: From assessment to audit-ready compliance

Moving from fragmented access management to audit-ready NIS2 compliance doesn't require a complete infrastructure rebuild. A structured 5-phase approach takes most organizations from assessment to enforcement within 30–60 days.

Phase 1: Pre-deployment assessment (week 1)

Define NIS2 scope boundaries. Which business units, systems, and user groups fall under the directive? Classify your organization as Essential or Important entity and confirm applicable obligations.
Assign accountability. Designate a compliance owner with Article 20 accountability — typically the CISO or IT Director. Align IT, security, HR, and legal teams on roles, responsibilities, and escalation paths.
Confirm infrastructure readiness. Verify server specifications and network topology for on-premise deployment. Confirm Active Directory or LDAP readiness for automated user provisioning.

Phase 2: Access audit — where you stand today (week 2)

Map all privileged accounts. Identify every account with admin access across all systems and infrastructure. Include service accounts and shared credentials — these are your highest-risk credentials.
Identify third-party access. Review all active third-party and vendor access. Document scope, duration, and current MFA status. This is where most organizations discover uncontrolled access.
Assess current logging. What is being logged today, where, and for how long? Document the gap between current state and ENISA's technical requirements.

Phase 3: Deploying Passwork in your environment (week 3)

Install on-premise. Deploy via Docker Compose or bare-metal server (Linux/Windows). Passwork runs entirely within your infrastructure with no external credential transmission.
Integrate with identity systems. Connect to Active Directory or LDAP for automated user provisioning. Configure SSO via SAML 2.0 for seamless, auditable authentication.
Import and organize credentials. Migrate existing credentials into structured vaults by team, system, and criticality. Define initial vault structure and ownership hierarchy.

Phase 4: Configuring for NIS2 compliance (week 4)

Define and enforce RBAC. Apply the least-privilege principle throughout. Every user accesses only the credentials their role requires.
Mandate MFA. Enforce Tier 1 (FIDO2) for all privileged accounts. Enforce Tier 2 (TOTP) for all standard users. Document enforcement as audit evidence.
Isolate third-party access. Create dedicated, time-bound vaults for vendors and contractors with automatic expiry at contract end.
Configure password policies. Enforce complexity rules, rotation schedules, and automatic expiry. Enable full audit trail logging and configure SIEM integration via Syslog.

Phase 5: Ongoing monitoring and reporting (ongoing)

Schedule quarterly access reviews. Validate that RBAC assignments remain accurate. Ensure no orphaned access remains after employee departures.
Generate automated compliance reports. Demonstrate MFA enforcement, access governance, and control effectiveness. Have exportable evidence packages ready for regulatory submission on demand.
Monitor audit logs. Integrate alerts with SIEM for anomalous access patterns. Conduct annual NIS2 readiness assessments against updated ENISA guidance.

The NIS2 compliance checklist

Use this checklist to track your compliance posture across the three critical areas: access management, supply chain security, and incident readiness.

Access control (Article 21(2)(i))

Map all privileged accounts across all systems and infrastructure
Implement strict RBAC — every user accesses only credentials their role requires
Eliminate all shared accounts — replace with individualized access
Automate identity lifecycle via AD/LDAP — immediate access revocation upon employee exit
Export permission matrices as auditor-ready evidence

Supply chain (Article 21(2)(d))

Isolate all third-party access in dedicated, time-bound vaults
Audit all active vendor credentials — revoke any access no longer operationally justified
Document vendor access scope, duration, and MFA status for every active third-party credential
Configure automatic expiry at contract end

MFA (Article 21(2)(j))

Enforce Tier 1 MFA (FIDO2/WebAuthn) for all administrative accounts
Enforce Tier 2 MFA (TOTP) for all standard users
Phase out SMS and email OTPs — both fail ENISA's minimum threshold
Generate compliance report confirming MFA across all active accounts

Incident readiness (Article 23)

Verify audit logs provide sufficient detail for 24-hour early warning
Establish and test bulk credential rotation workflow for post-incident response
Designate named individual responsible for Article 23 notification
Prepare exportable evidence packages ready for regulatory submission on demand

Audit logging (ENISA §11.4)

Centralize and protect audit logs — configure immutable, exportable logging
Integrate with SIEM via Syslog — ensure no user can modify or delete log entries
Confirm every entry captures identity, timestamp, action, and source IP
Generate automated reports covering MFA enforcement, RBAC compliance, and access reviews

Penalties: What non-compliance actually costs

The financial and personal consequences of NIS2 non-compliance are severe:

For Essential Entities: Up to €10 million or 2% of global annual turnover, whichever is higher. Regulators may also impose temporary operational restrictions.
For Important Entities: Up to €7 million or 1.4% of global annual turnover, whichever is higher. Reactive supervision does not mean lower risk.
Personal liability for management (Article 20). Board members and C-suite executives can be held personally liable for cybersecurity failures. Competent authorities may impose temporary bans from management roles. This provision has no precedent in NIS1, and it fundamentally changes how leadership must approach compliance.

As of 2026, national competent authorities across the EU have begun proactive audits of Essential Entities. The enforcement phase is active.

Building your NIS2 evidence package

Regulators want proof. Your compliance evidence package must include:

RBAC configuration export. Permission matrices showing which users/roles have access to which credentials.
MFA enforcement report. System configuration confirming MFA is globally enforced, with MFA method per user.
Audit log samples. Representative logs showing identity, timestamp, action, and source IP for credential access and modifications.
Third-party access inventory. Documented scope, duration, and MFA status for every active vendor credential.
Password policy documentation. Enforced complexity rules, rotation schedules, and automatic expiry settings.
Incident response capability. Proof that bulk credential rotation can be executed within hours.
Backup and failover records. Evidence that credentials remain accessible during system failures.

The On-Premise advantage for NIS2 compliance

Organizations often ask: why does NIS2 emphasize on-premise deployment? The answer is data sovereignty and audit independence.

Data stays where you govern it. All credentials remain inside your network with no external transmission, no third-party custody, and no jurisdictional ambiguity.
Audit logs you own and control. Logs are stored locally, pipe directly to your SIEM via Syslog with no vendor intermediary, no restrictions, and no data leaving your perimeter.
No third-party data dependency. Because the credential system runs within your infrastructure, it holds no custody over your credentials, eliminating the third-party data dependency that triggers supply chain assessment requirements under Article 21(2)(d).
Compliance evidence on your terms. Every report, log, and configuration export is generated from your own infrastructure and available on demand for auditors, without dependency on a vendor's support team or data retention policy.
Isolated environments supported. Air-gapped deployment for OT/ICS infrastructures with zero network exposure. Credentials remain accessible even where internet connectivity is prohibited by design.

Conclusion: From compliance to competitive advantage

NIS2 is a mandate to secure the infrastructure that European society depends on. Credential-based attack vectors dominate the 2026 threat landscape — and they are precisely what Article 21 was designed to address.

Organizations that centralize credential governance, enforce phishing-resistant MFA, and maintain immutable audit trails do more than pass the audit. They eliminate their most significant attack surface. The 5-phase implementation roadmap in this guide takes you from fragmented access management to audit-ready compliance within 30–60 days.

The technical foundation for that outcome requires three elements: on-premise deployment that guarantees data sovereignty, RBAC that enforces least privilege at scale, and audit logs that give regulators exactly the evidence they need.

Passwork delivers all 9 technical controls in this table: password security dashboards, bulk rotation, failover clustering, on-premise deployment, immutable audit trails, policy enforcement, AES-256 encryption, RBAC, and MFA. Get a free demo and see it in action.

Ready to move from compliance planning to implementation? Download the full NIS2 compliance guide for detailed technical mapping, sector-specific guidance, and a customizable compliance checklist.

Frequently asked questions

What does NIS2 Article 21 actually require from my organization?

Article 21 mandates 10 specific security measures: risk analysis, incident handling, business continuity, supply chain security, secure development, control effectiveness verification, cyber hygiene, encryption, access control, and MFA. All 10 are mandatory for every covered entity. The most auditable and breach-critical measures are access control (Article 21(2)(i)), MFA (Article 21(2)(j)), and audit logging (Article 21(2)(f)).

Who is required to comply with NIS2?

Organizations in 18 European sectors classified as Essential Entities must comply immediately. These include energy, transport, water, health, digital infrastructure, and public administration. Important Entities (financial services, food supply, manufacturing, chemicals, space) have until October 2025 for full compliance. Non-EU organizations operating in these sectors within EU jurisdiction are also in scope.

What are the penalties for non-compliance?

Essential Entities face fines up to €10 million or 2% of global annual turnover, whichever is higher. Important Entities face up to €7 million or 1.4% of global annual turnover. Board members and C-suite executives face personal liability under Article 20, including temporary bans from management roles. Enforcement is active as of 2026.

How long does it take to implement NIS2 compliance for access management?

Most organizations move from assessment to audit-ready compliance within 30–60 days using a structured 5-phase approach: pre-deployment assessment (week 1), access audit (week 2), credential system deployment (week 3), NIS2 configuration (week 4), and ongoing monitoring. The timeline depends on infrastructure complexity and the volume of existing credentials to migrate.

What is the difference between Essential and Important Entities under NIS2?

Essential Entities operate critical infrastructure (energy, transport, water, health, digital infrastructure, public administration). Important Entities provide essential services (financial services, food supply, manufacturing, chemicals, space). Essential Entities face higher penalties (€10 million vs. €7 million) and stricter enforcement timelines. Both must implement all 10 Article 21 measures.

Why does NIS2 emphasize on-premise credential management?

On-premise deployment guarantees data sovereignty: credentials remain inside your network with no external transmission or third-party custody. Audit logs are stored locally and piped directly to your SIEM with no vendor intermediary. This eliminates the third-party data dependency that triggers supply chain assessment requirements under Article 21(2)(d) and gives you complete audit independence.

What MFA tier does NIS2 require?

ENISA specifies three tiers: Tier 1 (phishing-resistant) — FIDO2, WebAuthn, hardware security keys — is mandatory for all privileged and administrative accounts. Tier 2 (TOTP authenticator apps, push notifications) is acceptable for standard users. SMS and email OTPs are explicitly flagged for phase-out and do not meet ENISA's minimum threshold.

How do I prove NIS2 compliance to regulators?

Your evidence package must include: RBAC configuration exports showing permission matrices, MFA enforcement reports confirming global enforcement, representative audit logs with identity/timestamp/action/source IP, third-party access inventory with scope and duration, password policy documentation, proof of bulk credential rotation capability, and backup/failover records. All evidence must be exportable and auditor-ready on demand.

What is the Article 23 reporting timeline?

Article 23 introduces three stages: Early Warning (24 hours) — notify the national CSIRT that an incident occurred. Incident Notification (72 hours) — provide initial assessment including severity, impact, and affected systems. Final Report (1 month) — full root cause analysis, remediation steps, and lessons learned. Organizations without centralized credential management and automated rotation cannot meet the 24-hour deadline.

NIS2 compliance: The complete access management roadmap for 2026

Stolen credentials dominate breaches in 2026. NIS2 Article 21 mandates 10 security measures to eliminate credential-based attack vectors. This guide covers technical requirements, the 24-hour incident reporting obligation, ENISA's MFA tiers, and a 5-phase roadmap to audit-ready compliance.

Password security

May 28, 2026 — 15 min read

Passwort- und Zugriffsverwaltung für KMU: Reicht KeePass aus?

Jeder IT-Admin, der KeePass für ein Team betreibt, erzählt dieselbe Geschichte. Es beginnt mit einer gemeinsamen .kdbx-Datei auf einem Netzlaufwerk. Dann kann jemand sie nicht öffnen, weil ein Kollege sie gesperrt hat. Dann überschreibt ein Junior-Sysadmin eine Änderung, die jemand anderes eine Stunde zuvor gemacht hat. Dann verlässt ein Mitarbeiter das Unternehmen, und niemand weiß genau, auf welche Passwörter er Zugriff hatte.

KeePass ist ein wirklich hervorragendes Werkzeug — für eine Person. Sobald es von einem Team genutzt wird, verwaltet man keine Passwörter mehr. Man verwaltet eine einzelne Datei.

Wichtige Erkenntnisse

KeePass ist hervorragend für Einzelpersonen, aber strukturell ungeeignet für Teams. Sobald ein zweiter Benutzer hinzukommt, gehen Echtzeit-Synchronisation, granulare Zugriffssteuerung und Audit-Trails verloren — die drei Dinge, die Credential-Breaches und Compliance-Verstöße verhindern.

Multi-User-Synchronisation ist manuell und fehleranfällig. Gleichzeitige Bearbeitungen an einer gemeinsamen .kdbx-Datei führen zu Datenverlust. Das „Last-Writer-Wins"-Problem skaliert linear mit der Teamgröße. Es gibt keinen Merge, keine Konflikterkennung und keine Warnung.
Die Zugriffssteuerung ist binär. Jeder, der das Masterpasswort benötigt, erhält vollen Zugriff auf alle Zugangsdaten. Es gibt kein Konzept für „dieser Benutzer kann Cloud-Zugangsdaten lesen, aber keine Datenbankpasswörter". Beim Offboarding müssen alle Zugangsdaten rotiert werden, die die Person möglicherweise gesehen hat.
KeePass erzeugt keine Audit-Logs. Es lässt sich nicht nachweisen, wer wann und von wo auf bestimmte Zugangsdaten zugegriffen hat. Dies verstößt gegen SOC 2 CC6.1, GDPR Artikel 32, NIS2, ISO 27001 und PCI DSS 4.0 — jedes moderne Compliance-Framework.
Die operativen Kosten summieren sich schnell. Sync-Konflikte, manuelles Offboarding, Credential-Rotation und Audit-Lücken erzeugen einen administrativen Overhead, der mit der Teamgröße wächst.
Die Lösung ist ein zweckgebauter Tresor mit RBAC, AD-Integration und automatisierten Audit-Trails. Keine größere Tabelle, kein besseres Filesharing-Tool — ein Credential-Manager, der für Teams unter Compliance-Anforderungen entwickelt wurde.

Die Attraktivität von KeePass für kleine Unternehmen

KeePass ist aus drei völlig rationalen Gründen für KMU attraktiv: Es kostet nichts, speichert Daten lokal und wurde von der Open-Source-Community seit über zwei Jahrzehnten auditiert. Für ein Fünf-Personen-Unternehmen ohne Compliance-Verpflichtungen und mit einem einzelnen IT-Generalisten sind das echte Vorteile.

Die Verschlüsselung ist solide. KeePass 2.x verwendet standardmäßig AES-256, mit optionaler ChaCha20-Unterstützung — letztere ist schneller auf mobiler Hardware, wo keine AES-Hardwarebeschleunigung verfügbar ist. Das .kdbx-Format ist gut dokumentiert, portabel und wird nicht verschwinden.

KeePass bleibt ein bedeutender Teil der Consumer-Adoption-Kurve, besonders unter technisch versierten Nutzern, die Cloud-Diensten misstrauen. Das Enterprise-Segment (wo Compliance-Audits, Multi-Team-Zugriff und Audit-Logging obligatorisch sind) ist jedoch fast vollständig auf zweckgebaute Lösungen umgestiegen.

Was ist AES-256?

AES-256 (Advanced Encryption Standard mit 256-Bit-Schlüssel) ist eine symmetrische Blockchiffre, die 2001 vom NIST standardisiert wurde (FIPS 197). Sie arbeitet mit 128-Bit-Blöcken über 14 Runden von Substitution, Permutation und Schlüsselmischung. Die 256-Bit-Schlüssellänge macht Brute-Force-Angriffe mit aktueller und absehbarer Hardware rechnerisch undurchführbar. AES-256 ist der Verschlüsselungsstandard in TLS, Festplattenverschlüsselung (BitLocker, FileVault) und den meisten Enterprise-Credential-Managern — einschließlich Passwork, das es clientseitig anwendet, bevor Daten das Gerät verlassen.

Was ist ChaCha20?

ChaCha20 ist eine Stromchiffre, die 2008 von Daniel J. Bernstein als schnellere, hardwareunabhängige Alternative zu AES entwickelt wurde. Sie wendet 20 Runden von ARX-Operationen (Add, Rotate, XOR) auf einen 256-Bit-Schlüssel und eine 96-Bit-Nonce an und erzeugt einen Keystream, der mit dem Klartext XOR-verknüpft wird. Anders als AES ist ChaCha20 nicht auf Hardware-Beschleunigungsbefehle angewiesen — wodurch es auf Geräten ohne AES-NI-Unterstützung erheblich schneller ist, wie etwa ältere mobile CPUs und eingebettete Systeme. Es wird weitverbreitet in TLS 1.3 eingesetzt (gepaart mit Poly1305 als ChaCha20-Poly1305) und ist die Standard-Chiffre in WireGuard. KeePass 2.x unterstützt ChaCha20 als Alternative zu AES-256 für die Datenbankverschlüsselung, weshalb es auf Low-End-Android- und iOS-Hardware besser performt.

Was ist eine .kdbx-Datei?

.kdbx ist das binäre Datenbankformat, das von KeePass 2.x und seinen Forks verwendet wird. Die Datei speichert alle Zugangsdaten in einem verschlüsselten Container — geschützt durch AES-256 oder ChaCha20 — und wird mit einem Masterpasswort, einer Schlüsseldatei oder beidem entsperrt. Das Format ist in sich geschlossen und portabel: Der gesamte Credential-Speicher befindet sich in einer einzigen Datei ohne Server, ohne Sync-Engine und ohne Benutzerkonten. KDBX 4.0 (eingeführt in KeePass 2.35) fügte Argon2 als Key-Derivation-Funktion hinzu und ersetzte AES-KDF, wodurch die Widerstandsfähigkeit gegen GPU-basierte Brute-Force-Angriffe erheblich erhöht wurde. Das Single-File-Design macht .kdbx hervorragend für den Einzeleinsatz — und strukturell ungeeignet für gleichzeitigen Multi-User-Zugriff.

Die „KeePass-Skalierungsfalle": Wenn kostenlos teuer wird

KeePass wurde als Single-User-Anwendung konzipiert. Die Multi-User-Dokumentation räumt dies direkt ein — die offizielle KeePass-Hilfeseite für mehrere Benutzer beschreibt Workarounds, keine nativen Funktionen. Wenn Sie eine .kdbx-Datei auf ein Netzlaufwerk legen und fünf Personen Zugriff geben, haben Sie ein System gebaut, das irgendwann versagen wird. Hier ist genau, wie.

Das Last-Writer-Wins-Problem

KeePass hat keine Echtzeit-Sync-Engine. Wenn zwei Benutzer dieselbe Datenbankdatei gleichzeitig öffnen, hält jeder eine lokale Kopie im Speicher. Wenn Benutzer A speichert, wird die Datei aktualisiert. Wenn Benutzer B dreißig Sekunden später speichert, überschreibt seine Version die Änderungen von Benutzer A vollständig. Es gibt keinen Merge, keine Konflikterkennung und keine Warnung.

KeePass bietet zwar eine manuelle „Synchronisieren"-Funktion, die zwei .kdbx-Dateien zusammenführen kann — aber sie erfordert eine bewusste Aktion des Benutzers und funktioniert nur, wenn beide Versionen verfügbar sind. Auf einem Netzlaufwerk, wo die Datei beim Speichern überschrieben wird, ist diese zweite Version bereits verschwunden.

Alles-oder-Nichts-Zugriff

KeePass hat ein Masterpasswort (oder eine Schlüsseldatei) pro Datenbank. Jeder, der Zugriff benötigt, erhält denselben Schlüssel. Es gibt kein Konzept für „dieser Benutzer kann die Cloud-Server-Zugangsdaten lesen, aber nicht die Datenbankpasswörter". Sie können separate .kdbx-Dateien für verschiedene Zugriffsebenen erstellen, aber dann verwalten Sie mehrere Dateien und mehrere Sync-Prozesse — und Sie haben immer noch keinen Audit-Trail.

RBAC (rollenbasierte Zugriffssteuerung) — die Möglichkeit zu definieren, was jeder Benutzer oder jede Gruppe sehen und tun kann — existiert in der Architektur von KeePass schlicht nicht. Es ist eine Designentscheidung für ein Single-User-Tool.

Das Offboarding

Wenn ein Mitarbeiter mit Zugriff auf die gemeinsame KeePass-Datenbank Ihre Organisation verlässt, ist die korrekte Sicherheitsreaktion, alle Zugangsdaten zu rotieren, die er möglicherweise gesehen hat. Alle. Da Sie kein Log darüber haben, worauf er zugegriffen hat, können Sie die Rotation nicht eingrenzen — Sie müssen vom Worst-Case ausgehen.

Bei einer Datenbank mit 200 Einträgen ist das ein voller Arbeitstag. Bei einer Datenbank mit 800 Einträgen über Produktionssysteme, SaaS-Tools und Kundenumgebungen hinweg ist es ein mehrtägiger Incident. Und das passiert jedes Mal, wenn jemand geht.

Die rollenbasierten Tresore von Passwork ermöglichen es, den Zugriff für einen ausscheidenden Mitarbeiter mit einer einzigen Aktion zu widerrufen. Erfahren Sie, wie es funktioniert

Sicherheit vs. Compliance: Die regulatorische Landschaft 2026

Die Verschlüsselung von KeePass ist wirklich stark. AES-256 mit einem gut gewählten Masterpasswort ist nicht der Schwachpunkt. Der Schwachpunkt ist, dass KeePass keine Nachweise darüber produziert, was innerhalb der Datenbank passiert ist — und 2026 sind diese Nachweise das, wonach Auditoren fragen.

GDPR Artikel 32 schreibt „geeignete technische und organisatorische Maßnahmen" vor, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Für das Credential-Management umfasst die Arbeitsinterpretation von Artikel 32 Verschlüsselung im Ruhezustand, Zugriffskontrollen und — entscheidend — die Fähigkeit nachzuweisen, dass die Zugriffskontrollen funktionieren. Dieser letzte Teil erfordert Logs.

Eine KeePass-Datenbank kann nicht sagen, wer sie geöffnet hat, wann, von welchem Rechner oder was angesehen wurde. Wenn ein Regulator Sie auffordert nachzuweisen, dass der Zugriff auf personenbezogene Zugangsdaten angemessen eingeschränkt war, ist eine .kdbx-Datei keine Antwort.

NIS2-Richtlinie: Zugriffssteuerung und Incident Response

Die NIS2-Richtlinie (seit Oktober 2024 für EU-Organisationen gültig) schreibt vor, dass Betreiber wesentlicher Dienste und wichtige Einrichtungen „erweiterte Zugriffssteuerung" implementieren und detaillierte Logs über den Zugriff auf kritische Assets führen müssen. Für das Credential-Management bedeutet das:

Rollenbasierte Zugriffssteuerung (RBAC) mit Authentifizierung pro Benutzer
Unveränderliche Audit-Logs aller Credential-Zugriffe
Die Fähigkeit, den Zugriff beim Ausscheiden eines Mitarbeiters sofort zu widerrufen

Eine gemeinsam genutzte KeePass-Datei mit einem einzigen Masterpasswort verletzt alle drei Anforderungen. Das Neuschlüsseln der gesamten Datenbank, wenn jemand geht, ist kein „sofortiger Widerruf" — es ist ein Workaround, der administrativen Overhead erzeugt und das Risiko menschlicher Fehler erhöht.

ISO 27001:2022 und Anforderungen an die Zugriffssteuerung

ISO 27001 Anhang A.8.2 (Zugriffssteuerung) und A.8.15 (Protokollierung) verlangen von Organisationen, Kontrollen zu implementieren, die den Zugang zu Informationen auf autorisierte Benutzer beschränken und Aufzeichnungen über den Zugriff führen. Für Credential-Repositories bedeutet das:

Granulare Zugriffsberechtigungen, die an Jobrollen gebunden sind
Audit-Trails, die zeigen, wer wann und von wo auf was zugegriffen hat
Automatisierte Durchsetzung des Prinzips der geringsten Berechtigung

KeePass bietet nichts davon. Eine Datenbank, die von Teammitgliedern mit einem einzigen Passwort geteilt wird, ist das Gegenteil von geringster Berechtigung — es ist maximale Berechtigung für alle.

PCI DSS 4.0: Schutz von Zahlungskartendaten

Wenn Ihre Organisation Zahlungskartendaten verarbeitet, schreibt PCI DSS 4.0 Anforderung 7.1 vor, dass der Zugriff auf Karteninhaberdaten auf Personal mit legitimem geschäftlichem Bedarf beschränkt werden muss. Anforderung 10.2.1 erfordert die Protokollierung aller Zugriffe auf Systeme, die Karteninhaberdaten enthalten, einschließlich Benutzer-ID, Datum, Uhrzeit und Art des Zugriffs.

Eine KeePass-Datenbank, die Payment-Gateway-API-Schlüssel oder Datenbankzugangsdaten speichert, kann diese Anforderungen nicht erfüllen. Es gibt keine Authentifizierung pro Benutzer, keinen Audit-Trail und keine Möglichkeit, einem PCI-Auditor nachzuweisen, dass der Zugriff auf autorisiertes Personal beschränkt war.

SOC 2 Type II und CC6.1

SOC 2 Trust Services Criteria CC6.1 verlangt, dass der logische Zugang zu Systemen, die sensible Daten speichern, auf autorisierte Benutzer beschränkt und der Zugriff protokolliert wird. Eine gemeinsam genutzte KeePass-Datenbank mit einem einzigen Masterpasswort erfüllt beide Bedingungen nicht. Es gibt keine Authentifizierung pro Benutzer und kein Log.

Dies ist kein theoretisches Risiko. Auditoren fragen bei SOC 2 Type II-Bewertungen nach Zugriffs-Logs. „Wir verwenden KeePass" beendet dieses Gespräch ungünstig.

NIST SP 800-63B (Revision 4)

NIST SP 800-63B, finalisiert im August 2025, empfiehlt eine Mindestpasswortlänge von 15 Zeichen für gemerkte Geheimnisse und rät ausdrücklich von obligatorischer periodischer Rotation ab, zugunsten einer durch Breaches ausgelösten Rotation. KeePass kann konforme Passwörter speichern — aber es kann die Richtlinie nicht durchsetzen, keine Compliance-Berichte erstellen und einem Auditor nicht nachweisen, dass die Richtlinie befolgt wurde.

Das Ausmaß der Bedrohung

Die Zahlen machen das Compliance-Argument konkret. Laut dem IBM 2025 Cost of a Data Breach Report erreichten die durchschnittlichen Breach-Kosten für Unternehmen mit weniger als 500 Mitarbeitern 3,31 Millionen Dollar. Credential-Kompromittierung gehört konstant zu den häufigsten initialen Angriffsvektoren. Ein Compliance-Verstoß zusätzlich zu einem Breach verstärkt den finanziellen Schaden durch regulatorische Bußgelder und Sanierungskosten.

Die Reifekurve der Passwortsicherheit für KMU

Die meisten KMU durchlaufen drei erkennbare Stufen. Diese Progression zu benennen hilft Teams zu identifizieren, wo sie stehen und wie der nächste Schritt tatsächlich aussieht.

Stufe 1 — Excel/gemeinsames Dokument. Zugangsdaten in einer Tabelle, oft auf einem gemeinsamen Laufwerk oder in E-Mail-Threads. Keine Verschlüsselung. Keine Zugriffssteuerung. Vollständig auditierbar auf die denkbar schlechteste Art: Jeder mit der Datei kann alles sehen.
Stufe 2 — KeePass. Verschlüsselte Datei, starke Kryptographie, keine Kosten. Eine echte Verbesserung gegenüber Stufe 1. Geeignet für Einzelpersonen und sehr kleine Teams ohne Compliance-Anforderungen. Bricht bei mehr als fünf Benutzern zusammen, bei Audits oder wenn jemand geht.
Stufe 3 — Unternehmens-Tresor. Zweckgebautes Multi-User-Credential-Management mit RBAC, AD/LDAP-Integration, Audit-Logs pro Benutzer, MFA-Durchsetzung und automatisiertem Offboarding. Hier müssen Teams mit Compliance-Verpflichtungen, mehr als zehn Benutzern oder jeglichen kundenorientierten Sicherheitsanforderungen sein.

Die Falle ist, bei Stufe 2 zu bleiben, nachdem sie nicht mehr passt. Die Kosten dieser Verzögerung sind der administrative Overhead, das Incident-Risiko und die Audit-Findings.

Der 5-Punkte-KeePass-Stresstest für Ihr Unternehmen

Gehen Sie diese fünf Fragen mit Ihrem aktuellen Setup durch. Jedes „Ja" ist ein Signal, dass KeePass Risiken erzeugt, die Ihr Team möglicherweise nicht eingepreist hat.

Haben Sie mehr als 5 Benutzer, die auf die gemeinsame Datenbank zugreifen?
Über fünf gleichzeitige Benutzer werden Sync-Konflikte zu einem fast täglichen Ereignis. Das „Last-Writer-Wins"-Problem skaliert linear mit der Teamgröße.
Können Sie nachweisen, wer wann auf bestimmte Zugangsdaten zugegriffen hat?
Wenn ein Kunde fragt, welcher Ihrer Mitarbeiter letzten Dienstag auf seine Systemzugangsdaten zugegriffen hat, können Sie antworten? KeePass kann diese Aufzeichnung nicht erstellen. Ein Unternehmens-Tresor mit Audit-Logging kann es.
Wird die Datenbank auf einem gemeinsamen Laufwerk, Dropbox oder ähnlichem gespeichert?
Cloud-Sync-Tools wie Dropbox fügen ihre eigene Konfliktlösung zusätzlich zu der von KeePass hinzu — was bedeutet, dass Sie mit mehreren .kdbx-Versionen enden können, ohne zuverlässig zu wissen, welche aktuell ist. Netzlaufwerke haben das oben beschriebene Dateisperrproblem.
Wie lange dauert es, den Zugriff für einen ehemaligen Mitarbeiter vollständig zu widerrufen?
Wenn die Antwort lautet „wir ändern das Masterpasswort und rotieren dann alles, was er möglicherweise gesehen hat", beschreiben Sie einen mehrstündigen Incident, der jedes Mal passiert, wenn jemand geht. Mit Zugriffssteuerung pro Benutzer ist der Widerruf eine einzige Aktion.
Schützt MFA den Tresor selbst?
KeePass unterstützt Schlüsseldateien als zweiten Faktor, aber die Verteilung und Verwaltung dieser Schlüsseldateien über ein Team hinweg ist ein eigenes operatives Problem. Native MFA-Integration — TOTP, Hardware-Keys, SSO — erfordert ein zweckgebautes Tool.

Wenn Sie die Fragen 2 und 5 mit „Nein" beantwortet haben oder die Fragen 1, 3 und 4 mit „Ja", ist Ihr Team über KeePass hinausgewachsen.

Wie verwalten Sie den Credential-Zugriff, wenn Ihr Team über fünf Personen hinaus skaliert? Passwork übernimmt das Multi-Team-Credential-Management mit RBAC, Audit-Logging und Echtzeit-Sync — ohne den operativen Overhead. Passwork kostenlos testen

Über KeePass hinaus: Auswahl einer Unternehmens-Zugriffsverwaltungslösung

Die Kriterien für einen teamtauglichen Credential-Manager sind nicht kompliziert, aber sie sind nicht verhandelbar, sobald Sie in irgendeinem Umfang oder unter irgendeinem Compliance-Framework operieren.

Gemeinsam genutzte Tresore mit granularen Berechtigungen

Jedes Team oder Projekt sollte seinen eigenen Tresor haben. Einzelne Benutzer erhalten Zugriff auf die Tresore, die sie benötigen, auf der Berechtigungsebene, die sie benötigen (Lesen, Schreiben, Admin). Wenn sich die Rolle einer Person ändert, aktualisieren Sie ihre Tresor-Mitgliedschaft — nicht das Masterpasswort. Das ist rollenbasierte Zugriffssteuerung (RBAC), und sie ist die Grundlage der Compliance. KeePass hat kein Äquivalent.

Passwork weist Gruppen Berechtigungen zu, sodass ein Entwickler, der dem DevOps-Team beitritt, automatisch den Tresor-Zugriff des Teams erbt. Wenn er geht, widerrufen Sie ihn einmal.

RBAC mit Ihrem Verzeichnis verknüpft

AD/LDAP-Integration bedeutet, dass Benutzer-Provisioning und -Deprovisioning automatisch erfolgen. Wenn der Admin ein Konto in Active Directory terminiert, geht der Tresor-Zugriff damit. Kein manueller Schritt, keine Lücke. Passwork integriert nativ mit Active Directory und LDAP, sodass Ihr Credential-Zugriff Ihrer Organisationsstruktur folgt — nicht umgekehrt.

Audit-Logs pro Benutzer

Jede Credential-Ansicht, -Kopie, -Bearbeitung und -Freigabe sollte mit Zeitstempel und Benutzeridentität protokolliert werden. Dies ist die Aufzeichnung, die SOC 2 CC6.1 erfüllt und die GDPR Artikel 32-Rechenschaftspflicht unterstützt. KeePass produziert keine Logs.

Passwork führt einen vollständigen Audit-Trail jeder Aktion, exportierbar für Compliance-Überprüfungen und Incident-Untersuchungen.

MFA-Durchsetzung auf Tresor-Ebene

Nicht optional, keine Benutzer-Präferenz — durch Richtlinie durchgesetzt, mit Unterstützung für TOTP, Hardware-Token und SAML SSO. KeePass unterstützt Schlüsseldateien, was keine MFA ist. Passwork erzwingt MFA auf Tresor-Ebene, mit Unterstützung für mehrere Authentifizierungsmethoden, die an Ihren Identity-Provider gebunden sind.

Autofill und Browser-Integration

Ein moderner Credential-Manager integriert sich mit Browsern und CLI-Tools, um Passwörter automatisch auszufüllen und Secrets in Deployment-Pipelines einzuspeisen. KeePass hat Browser-Plugins, aber sie werden von der Community gepflegt und haben nicht das Sicherheitsmodell eines zentralisierten Tresors. Passwork bietet native Browser-Erweiterungen und CLI-Tools, die Zugangsdaten on-demand aus Ihrem Tresor abrufen, mit vollständigem Audit-Logging jeder Autofill-Aktion.

Zero-Knowledge-Architektur

Ihre Credential-Daten sollten clientseitig verschlüsselt werden, bevor sie jemals den Server erreichen. Das bedeutet, der Server (ob selbstgehostet oder Cloud) kann Ihre Zugangsdaten nicht entschlüsseln. Es ist eine Garantie, kein Versprechen. KeePass verschlüsselt lokal, bietet aber keine Team-Zusammenarbeit ohne manuelles Filesharing. Passwork verwendet clientseitige AES-256-Verschlüsselung mit Zero-Knowledge-Architektur: Zugangsdaten werden vor der Übertragung verschlüsselt, verschlüsselt auf dem Server gespeichert und nur auf autorisierten Clients entschlüsselt.

Selbstgehostet oder Cloud, Ihre Wahl

Einige KMU haben regulatorische oder vertragliche Gründe, Credential-Daten on-premises zu halten. Ein Tool, das echtes Self-Hosting bietet, gibt Ihnen die Kontrolle, die KeePass bietet, ohne die operativen Einschränkungen. Passwork ist als Cloud-Passwort- und Secrets-Manager und als selbstgehostete Deployment auf Ihrer eigenen Infrastruktur verfügbar, mit vollständiger AES-256-Verschlüsselung und Zero-Knowledge-Architektur. Ihre Daten verlassen nie Ihre Kontrolle.

KeePass vs. Passwork: Funktionsvergleich

Funktion	KeePass	Passwork
Multi-User-Sync	Manuell / fehleranfällig	Echtzeit, konfliktfrei
Granulare Berechtigungen (RBAC)	Keine	Pro Benutzer, pro Tresor
Audit-Logs	Keine	Vollständiges Aktivitätslog pro Benutzer
MFA-Durchsetzung	Nur Schlüsseldatei	TOTP, SSO, Hardware-Keys, Passkeys, Biometrie
AD/LDAP-Integration	Keine	Nativ
Automatisiertes Offboarding	Keines	Widerruf mit einer Aktion
Autofill und Browser-Integration	Community-Plugins	Native Erweiterungen
Zero-Knowledge-Verschlüsselung	Nur lokal	Clientseitig + Server
SIEM-Integration	Keine	syslog, REST API
Compliance-Nachweise	Keine	Exportierbare Audit-Berichte
Self-Hosting-Option	Nur dateibasiert	Volle Infrastrukturkontrolle

Der Unterschied ist architektonisch. Wenn Ihr Team über fünf Personen hinauswächst, wird die operative Reibung von KeePass real. Credential-Rotation erfordert das Neuschlüsseln der gesamten Datenbank. Offboarding bedeutet, dass alle ihr Masterpasswort ändern. Die Zugriffssteuerung ist binär — entweder hat jemand das Masterpasswort oder nicht. Passwork eliminiert diese Reibung: granulare Berechtigungen, automatisiertes Offboarding, Audit-Trails pro Benutzer und Echtzeit-Sync ohne Konflikte.

Wenn Ihre Organisation unter Compliance-Anforderungen operiert (GDPR, SOC 2, NIS2, ISO 27001, PCI DSS), wird die Lücke noch größer. Eine gemeinsam genutzte KeePass-Datenbank besteht kein Audit. Passwork mit RBAC, Audit-Logging, AD-Integration und Zero-Knowledge-Verschlüsselung erfüllt Compliance-Anforderungen ohne administrativen Overhead.

Fazit

KeePass ist ein Ausgangspunkt. Für einen Solo-Admin oder ein Zwei-Personen-Team ohne externe Audit-Anforderungen erfüllt es seinen Zweck. Für jedes Team, das über diese Schwelle hinaus operiert, erzeugt es mehr Risiko, als es eliminiert.

Die administrative Schuld akkumuliert sich leise: Sync-Konflikte, die hier eine Stunde kosten, eine Offboarding-Rotation, die dort einen Tag kostet, ein Audit-Finding, das ein Quartal kostet. Nichts davon erscheint auf der KeePass-Rechnung, weil es keine gibt. Aber die Kosten sind real.

Der nächste Schritt ist unkompliziert: Kartieren Sie Ihr aktuelles Credential-Inventar, identifizieren Sie, welche Teams Zugriff auf welche Systeme teilen, und bewerten Sie, ob Ihr aktuelles Tool Ihnen sagen kann, wer auf was Zugriff hat. Wenn es das nicht kann, haben Sie Ihre Antwort.

Wenn Ihr Team über KeePass hinausgewachsen ist, wurde Passwork genau für diesen Moment entwickelt. Sie erhalten granulare Berechtigungen, Echtzeit-Sync, Audit-Logs pro Benutzer, AD-Integration, MFA-Durchsetzung und Zero-Knowledge-Verschlüsselung. Alles ohne die operative Schuld der Verwaltung gemeinsamer Masterpasswörter und manueller Credential-Rotation. Passwork kostenlos testen

Häufig gestellte Fragen

Ist KeePass sicher für die Unternehmensnutzung?

KeePass verwendet AES-256-Verschlüsselung und ist Open-Source mit einer langen Sicherheitsbilanz, was es kryptographisch solide macht. Für die Unternehmensnutzung liegt das Sicherheitsrisiko im Fehlen von Audit-Logs, granularen Zugriffssteuerungen und MFA-Durchsetzung. Diese Lücken erzeugen Compliance-Risiko unter GDPR Artikel 32 und SOC 2 CC6.1.

Können mehrere Benutzer eine KeePass-Datenbank teilen?

Ja, aber mit erheblichen Einschränkungen. KeePass hat keine Echtzeit-Sync-Engine. Wenn zwei Benutzer dieselbe .kdbx-Datei gleichzeitig auf einem Netzlaufwerk bearbeiten, überschreibt das letzte Speichern das vorherige ohne Merge oder Warnung. Die eigene Dokumentation von KeePass beschreibt dies als bekannte Einschränkung, die manuelle Workarounds erfordert.

Was ist der Hauptunterschied zwischen KeePass und einem Unternehmens-Passwortmanager?

Der Kernunterschied liegt in der Zugriffsarchitektur. KeePass verwendet ein einziges Masterpasswort, das von allen Benutzern geteilt wird — es gibt keine individuellen Konten, keine Berechtigungen pro Benutzer und keine Aktivitätslogs. Ein Unternehmens-Passwortmanager weist jedem Benutzer seine eigene authentifizierte Sitzung zu, erzwingt rollenbasierten Zugriff auf bestimmte Tresore und protokolliert jede Credential-Interaktion.

Unterstützt KeePass Active Directory oder LDAP?

Nein. KeePass hat keine native AD- oder LDAP-Integration. Benutzer-Provisioning und -Deprovisioning sind vollständig manuell. Im Gegensatz dazu integrieren sich Enterprise-Grade-Credential-Manager mit AD/LDAP, sodass Zugriffsrechte automatisch der Verzeichnisgruppen-Mitgliedschaft folgen.

Warum besteht KeePass Compliance-Audits nicht?

KeePass kann keine Nachweise darüber erbringen, wer wann auf welche Zugangsdaten zugegriffen hat. SOC 2 Type II-Auditoren verlangen Zugriffs-Logs unter CC6.1. GDPR Artikel 32 verlangt nachweisbare Zugriffssteuerungen. Eine .kdbx-Datei mit einem gemeinsamen Masterpasswort erfüllt keine der beiden Anforderungen, unabhängig davon, wie stark die Verschlüsselung ist.

Wann sollte ein KMU von KeePass zu einem Unternehmens-Passwortmanager wechseln?

Die praktische Schwelle liegt bei fünf oder mehr Benutzern, jeglicher Compliance-Verpflichtung (SOC 2, GDPR, HIPAA, ISO 27001) oder jeder Situation, in der der Zugriffsverlauf nachgewiesen werden muss. Wenn beim Ausscheiden eines Mitarbeiters Zugangsdaten rotiert werden müssen, anstatt ein Benutzerkonto zu widerrufen, ist das ein klares Signal, dass das aktuelle Tool nicht zweckgeeignet ist.

Passwort- und Zugriffsverwaltung für KMU: Reicht KeePass aus?

Password security

May 28, 2026 — 18 min read

Gestión de contraseñas y accesos para pymes: ¿Es suficiente KeePass?

Todos los administradores de TI que utilizan KeePass para un equipo cuentan la misma historia. Comienza con un único archivo .kdbx compartido en una unidad de red. Luego alguien no puede abrirlo porque un compañero lo tiene bloqueado. Después, un administrador de sistemas junior sobrescribe un cambio que otra persona hizo una hora antes. Finalmente, un empleado se va y nadie sabe con certeza a qué contraseñas tenía acceso.

KeePass es una herramienta genuinamente excelente — para una sola persona. En el momento en que lo pone frente a un equipo, ya no está gestionando contraseñas. Está gestionando un único archivo.

Conclusiones clave

KeePass es excelente para individuos, pero estructuralmente inadecuado para equipos. En el momento en que añade un segundo usuario, pierde la sincronización en tiempo real, el control de acceso granular y los registros de auditoría — las tres cosas que previenen las filtraciones de credenciales y las violaciones de cumplimiento normativo.

La sincronización multiusuario es manual y propensa a errores. Las ediciones simultáneas en un archivo .kdbx compartido causan pérdida de datos. El problema del «último escritor gana» escala linealmente con el tamaño del equipo. No hay fusión, no hay detección de conflictos y no hay advertencia.
El control de acceso es binario. Todos los que necesitan la contraseña maestra obtienen acceso completo a todas las credenciales. No existe el concepto de «este usuario puede leer las credenciales de la nube pero no las contraseñas de la base de datos». La baja de personal requiere rotar todas las credenciales que pudieron haber visto.
KeePass no produce registros de auditoría. No puede demostrar quién accedió a una credencial específica, cuándo o desde dónde. Esto incumple SOC 2 CC6.1, GDPR Artículo 32, NIS2, ISO 27001 y PCI DSS 4.0 — todos los marcos de cumplimiento modernos.
El coste operativo se acumula rápidamente. Los conflictos de sincronización, las bajas manuales, la rotación de credenciales y las brechas de auditoría crean una sobrecarga administrativa que crece con el tamaño del equipo.
La solución es una bóveda diseñada específicamente con RBAC, integración con AD y registros de auditoría automatizados. No una hoja de cálculo más grande, no una mejor herramienta para compartir archivos — un gestor de credenciales diseñado para equipos que operan bajo marcos de cumplimiento.

El atractivo de KeePass para pequeñas empresas

KeePass atrae a las pymes por tres razones completamente racionales: no cuesta nada, almacena los datos localmente y ha sido auditado por la comunidad de código abierto durante más de dos décadas. Para una empresa de cinco personas sin obligaciones de cumplimiento y un único generalista de TI, esas son ventajas reales.

El cifrado es sólido. KeePass 2.x utiliza AES-256 por defecto, con soporte opcional para ChaCha20 — este último es más rápido en hardware móvil donde la aceleración por hardware de AES no está disponible. El formato .kdbx está bien documentado, es portátil y no va a desaparecer.

KeePass sigue siendo una parte significativa de la curva de adopción del consumidor, particularmente entre usuarios técnicamente capacitados que desconfían de los servicios en la nube. Sin embargo, el segmento empresarial (donde las auditorías de cumplimiento, el acceso multiequipo y el registro de auditoría son obligatorios) se ha movido casi por completo hacia soluciones diseñadas específicamente.

¿Qué es AES-256?

AES-256 (Estándar de Cifrado Avanzado con clave de 256 bits) es un cifrado de bloques simétrico estandarizado por NIST en 2001 (FIPS 197). Opera en bloques de 128 bits a través de 14 rondas de sustitución, permutación y mezcla de claves. La longitud de clave de 256 bits hace que los ataques de fuerza bruta sean computacionalmente inviables con el hardware actual y el del futuro cercano. AES-256 es el estándar de cifrado utilizado en TLS, cifrado de disco completo (BitLocker, FileVault) y la mayoría de los gestores de credenciales empresariales — incluyendo Passwork, que lo aplica del lado del cliente antes de que cualquier dato salga del dispositivo.

¿Qué es ChaCha20?

ChaCha20 es un cifrado de flujo diseñado por Daniel J. Bernstein en 2008 como una alternativa más rápida e independiente del hardware a AES. Aplica 20 rondas de operaciones ARX (suma, rotación, XOR) a una clave de 256 bits y un nonce de 96 bits, produciendo un flujo de claves que se combina mediante XOR con el texto plano. A diferencia de AES, ChaCha20 no depende de instrucciones de aceleración por hardware — lo que lo hace significativamente más rápido en dispositivos sin soporte AES-NI, como CPUs móviles antiguas y sistemas embebidos. Se utiliza ampliamente en TLS 1.3 (emparejado con Poly1305 como ChaCha20-Poly1305) y es el cifrado predeterminado en WireGuard. KeePass 2.x soporta ChaCha20 como alternativa a AES-256 para el cifrado de bases de datos, razón por la cual funciona mejor en hardware Android e iOS de gama baja.

¿Qué es un archivo .kdbx?

.kdbx es el formato de base de datos binario utilizado por KeePass 2.x y sus derivados. El archivo almacena todas las credenciales en un contenedor cifrado — protegido por AES-256 o ChaCha20 — y se desbloquea con una contraseña maestra, un archivo de clave o ambos. El formato es autónomo y portátil: todo el almacén de credenciales reside en un único archivo sin servidor, sin motor de sincronización y sin cuentas de usuario. KDBX 4.0 (introducido en KeePass 2.35) añadió Argon2 como función de derivación de claves, reemplazando AES-KDF y aumentando significativamente la resistencia a los ataques de fuerza bruta basados en GPU. El diseño de archivo único es lo que hace que .kdbx sea excelente para uso individual — y lo que lo hace estructuralmente inadecuado para el acceso multiusuario concurrente.

La «trampa de escala de KeePass»: cuando lo gratuito se vuelve caro

KeePass fue diseñado como una aplicación para un solo usuario. Su documentación multiusuario reconoce esto directamente — la página de ayuda oficial de KeePass sobre múltiples usuarios describe soluciones alternativas, no funciones nativas. Cuando coloca un archivo .kdbx en una unidad de red compartida y da acceso a cinco personas, ha construido un sistema que eventualmente fallará. Así es exactamente cómo.

El problema del «último escritor gana»

KeePass no tiene motor de sincronización en tiempo real. Cuando dos usuarios abren el mismo archivo de base de datos simultáneamente, cada uno mantiene una copia local en memoria. Cuando el Usuario A guarda, el archivo se actualiza. Cuando el Usuario B guarda treinta segundos después, su versión sobrescribe completamente los cambios del Usuario A. No hay fusión, no hay detección de conflictos y no hay advertencia.

KeePass ofrece una función manual de «Sincronizar» que puede fusionar dos archivos .kdbx — pero requiere una acción deliberada del usuario, y solo funciona si ambas versiones están disponibles. En una unidad de red compartida donde el archivo se sobrescribe al guardar, esa segunda versión ya se ha perdido.

Acceso de todo o nada

KeePass tiene una contraseña maestra (o archivo de clave) por base de datos. Todos los que necesitan acceso obtienen la misma clave. No existe el concepto de «este usuario puede leer las credenciales del servidor en la nube pero no las contraseñas de la base de datos». Puede crear archivos .kdbx separados para diferentes niveles de acceso, pero ahora está gestionando múltiples archivos y múltiples procesos de sincronización — y todavía no tiene registro de auditoría.

RBAC (control de acceso basado en roles) — la capacidad de definir qué puede ver y hacer cada usuario o grupo — simplemente no existe en la arquitectura de KeePass. Es una decisión de diseño para una herramienta de usuario único.

La baja de personal

Cuando un empleado con acceso a la base de datos compartida de KeePass abandona su organización, la respuesta de seguridad correcta es rotar todas las credenciales que pudo haber visto. Todas ellas. Debido a que no tiene registro de a qué accedió, no puede limitar el alcance de la rotación — tiene que asumir el peor escenario.

Para una base de datos con 200 entradas, eso es un día completo de trabajo. Para una base de datos con 800 entradas distribuidas entre sistemas de producción, herramientas SaaS y entornos de clientes, es un incidente de varios días. Y sucede cada vez que alguien se va.

Las bóvedas basadas en roles de Passwork permiten revocar el acceso de un empleado saliente con una sola acción. Vea cómo funciona

Seguridad vs. cumplimiento: El panorama regulatorio de 2026

El cifrado de KeePass es genuinamente fuerte. AES-256 con una contraseña maestra bien elegida no es el punto débil. El punto débil es que KeePass no produce evidencia de lo que ocurrió dentro de la base de datos — y en 2026, esa evidencia es lo que piden los auditores.

El Artículo 32 del GDPR exige «medidas técnicas y organizativas apropiadas» para garantizar un nivel de seguridad adecuado al riesgo. Para la gestión de credenciales, la interpretación práctica del Artículo 32 incluye cifrado en reposo, controles de acceso y — de manera crítica — la capacidad de demostrar que los controles de acceso funcionan. Esa última parte requiere registros.

Una base de datos de KeePass no puede indicarle quién la abrió, cuándo, desde qué máquina o qué consultó. Si un regulador le pide que demuestre que el acceso a las credenciales de datos personales estaba apropiadamente restringido, un archivo .kdbx no es una respuesta.

Directiva NIS2: Control de acceso y respuesta a incidentes

La Directiva NIS2 (efectiva desde octubre de 2024 para organizaciones de la UE) exige que los operadores de servicios esenciales y entidades importantes implementen «control de acceso avanzado» y mantengan registros detallados del acceso a activos críticos. Para la gestión de credenciales, esto significa:

Control de acceso basado en roles (RBAC) con autenticación por usuario
Registros de auditoría inmutables de todo el acceso a credenciales
La capacidad de revocar el acceso inmediatamente cuando un empleado se va

Un archivo KeePass compartido con una única contraseña maestra viola los tres requisitos. Regenerar las claves de toda la base de datos cuando alguien se va no es «revocación inmediata» — es una solución alternativa que crea sobrecarga administrativa y aumenta el riesgo de error humano.

ISO 27001:2022 y requisitos de control de acceso

ISO 27001 Anexo A.8.2 (Control de Acceso) y A.8.15 (Registro) requieren que las organizaciones implementen controles que restrinjan el acceso a la información a usuarios autorizados y mantengan registros de acceso. Para repositorios de credenciales, esto se traduce en:

Permisos de acceso granulares vinculados a roles laborales
Registros de auditoría que muestren quién accedió a qué, cuándo y desde dónde
Aplicación automatizada del principio de mínimo privilegio

KeePass no ofrece ninguno de estos. Una base de datos compartida entre miembros del equipo con una única contraseña es lo opuesto al mínimo privilegio — es el máximo privilegio para todos.

PCI DSS 4.0: Protección de datos de tarjetas de pago

Si su organización maneja datos de tarjetas de pago, el Requisito 7.1 de PCI DSS 4.0 exige que el acceso a los datos del titular de la tarjeta esté restringido al personal con una necesidad comercial legítima. El Requisito 10.2.1 requiere el registro de todo el acceso a sistemas que contienen datos del titular de la tarjeta, incluyendo el ID de usuario, la fecha, la hora y la naturaleza del acceso.

Una base de datos de KeePass que almacena claves de API de pasarelas de pago o credenciales de bases de datos no puede satisfacer estos requisitos. No hay autenticación por usuario, no hay registro de auditoría y no hay forma de demostrar a un auditor de PCI que el acceso estaba restringido al personal autorizado.

SOC 2 Tipo II y CC6.1

Los Criterios de Servicios de Confianza SOC 2 CC6.1 requieren que el acceso lógico a sistemas que almacenan datos sensibles esté restringido a usuarios autorizados y que el acceso sea registrado. Una base de datos de KeePass compartida con una única contraseña maestra incumple ambas condiciones. No hay autenticación por usuario y no hay registro.

Este no es un riesgo teórico. Los auditores solicitan registros de acceso durante las evaluaciones SOC 2 Tipo II. «Usamos KeePass» termina mal esa conversación.

NIST SP 800-63B (Revisión 4)

NIST SP 800-63B, finalizado en agosto de 2025, recomienda una longitud mínima de contraseña de 15 caracteres para secretos memorizados y desaconseja explícitamente la rotación periódica obligatoria en favor de la rotación desencadenada por brechas. KeePass puede almacenar contraseñas conformes — pero no puede aplicar la política, informar sobre el cumplimiento ni demostrar a un auditor que se siguió la política.

La magnitud de la amenaza

Las cifras hacen concreto el argumento del cumplimiento. Según el Informe del Coste de una Filtración de Datos 2025 de IBM, el coste promedio de una filtración para empresas con menos de 500 empleados alcanzó los 3,31 millones de dólares. El compromiso de credenciales está consistentemente entre los principales vectores de acceso inicial. Una violación de cumplimiento además de una filtración multiplica el daño financiero a través de multas regulatorias y costes de remediación.

La curva de madurez de seguridad de contraseñas para pymes

La mayoría de las pymes atraviesan tres etapas reconocibles. Nombrar esta progresión ayuda a los equipos a identificar dónde están y cuál es realmente el siguiente paso.

Etapa 1 — Excel/documento compartido. Credenciales en una hoja de cálculo, a menudo en una unidad compartida o hilo de correo electrónico. Sin cifrado. Sin control de acceso. Completamente auditable de la peor manera posible: cualquiera con el archivo puede ver todo.
Etapa 2 — KeePass. Archivo cifrado, criptografía fuerte, coste cero. Una mejora genuina respecto a la Etapa 1. Apropiado para individuos y equipos muy pequeños sin requisitos de cumplimiento. Falla por encima de cinco usuarios, bajo auditoría o cuando alguien se va.
Etapa 3 — Bóveda corporativa. Gestión de credenciales multiusuario diseñada específicamente con RBAC, integración AD/LDAP, registros de auditoría por usuario, aplicación de MFA y baja automatizada. Aquí es donde deben estar los equipos con obligaciones de cumplimiento, más de diez usuarios o cualquier requisito de seguridad de cara al cliente.

La trampa es quedarse en la Etapa 2 más allá del punto donde encaja. El coste de ese retraso es la sobrecarga administrativa, la exposición a incidentes y los hallazgos de auditoría.

La prueba de estrés de 5 puntos de KeePass para su empresa

Revise estas cinco preguntas con su configuración actual. Cada «sí» es una señal de que KeePass está creando un riesgo que su equipo puede no haber valorado.

¿Tiene más de 5 usuarios accediendo a la base de datos compartida?
Por encima de cinco usuarios concurrentes, los conflictos de sincronización se convierten en un evento casi diario. El problema del «último escritor gana» escala linealmente con el tamaño del equipo.
¿Puede demostrar quién accedió a una credencial específica y cuándo?
Si un cliente pregunta cuál de sus empleados accedió a sus credenciales de sistema el martes pasado, ¿puede responder? KeePass no puede producir ese registro. Una bóveda corporativa con registro de auditoría sí puede.
¿Está la base de datos almacenada en una unidad compartida, Dropbox o similar?
Las herramientas de sincronización en la nube como Dropbox añaden su propia resolución de conflictos encima de la de KeePass — lo que significa que puede terminar con múltiples versiones de .kdbx y ninguna forma fiable de saber cuál es la actual. Las unidades de red compartidas tienen el problema de bloqueo de archivos descrito anteriormente.
¿Cuánto tiempo tarda en revocar completamente el acceso de un exempleado?
Si la respuesta es «cambiamos la contraseña maestra y luego rotamos todo lo que pudieron haber visto», está describiendo un incidente de varias horas que ocurre cada vez que alguien se va. Con controles de acceso por usuario, la revocación es una única acción.
¿Está MFA protegiendo la propia bóveda?
KeePass soporta archivos de clave como segundo factor, pero distribuir y gestionar esos archivos de clave en un equipo es su propio problema operativo. La integración nativa de MFA — TOTP, llaves de hardware, SSO — requiere una herramienta diseñada específicamente.

Si respondió «no» a las preguntas 2 y 5, o «sí» a las preguntas 1, 3 y 4, su equipo ha superado a KeePass.

¿Cómo gestiona el acceso a credenciales cuando su equipo crece más allá de cinco personas? Passwork maneja la gestión de credenciales multiequipo con RBAC, registro de auditoría y sincronización en tiempo real — sin la sobrecarga operativa. Pruebe Passwork gratis

Más allá de KeePass: Elegir una solución de gestión de accesos corporativa

Los criterios para un gestor de credenciales de nivel empresarial no son complicados, pero son innegociables una vez que opera a cualquier escala o bajo cualquier marco de cumplimiento.

Bóvedas compartidas con permisos granulares

Cada equipo o proyecto debe tener su propia bóveda. Los usuarios individuales obtienen acceso a las bóvedas que necesitan, con el nivel de permiso que necesitan (lectura, escritura, administrador). Cuando el rol de alguien cambia, actualiza su membresía de bóveda — no la contraseña maestra. Esto es control de acceso basado en roles (RBAC), y es la base del cumplimiento. KeePass no tiene equivalente.

Passwork asigna permisos a grupos, por lo que cuando un desarrollador se une al equipo de DevOps, hereda automáticamente el acceso a la bóveda del equipo. Cuando se va, lo revoca una sola vez.

RBAC vinculado a su directorio

La integración con AD/LDAP significa que el aprovisionamiento y desaprovisionamiento de usuarios ocurren automáticamente. Cuando el administrador termina una cuenta en Active Directory, el acceso a la bóveda se va con ella. Sin paso manual, sin brecha. Passwork se integra de forma nativa con Active Directory y LDAP, por lo que su acceso a credenciales sigue su estructura organizacional — no al revés.

Registros de auditoría por usuario

Cada visualización, copia, edición y compartición de credencial debe registrarse con una marca de tiempo e identidad de usuario. Este es el registro que satisface SOC 2 CC6.1 y respalda la responsabilidad del Artículo 32 del GDPR. KeePass no produce registros.

Passwork mantiene un registro de auditoría completo de cada acción, exportable para revisiones de cumplimiento e investigaciones de incidentes.

Aplicación de MFA a nivel de bóveda

No opcional, no preferencia por usuario — aplicado por política, con soporte para TOTP, tokens de hardware y SAML SSO. KeePass soporta archivos de clave, lo cual no es MFA. Passwork aplica MFA a nivel de bóveda, con soporte para múltiples métodos de autenticación vinculados a su proveedor de identidad.

Autocompletado e integración con navegador

Un gestor de credenciales moderno se integra con navegadores y herramientas CLI para autocompletar contraseñas e inyectar secretos en pipelines de despliegue. KeePass tiene plugins de navegador, pero son mantenidos por la comunidad y carecen del modelo de seguridad de una bóveda centralizada. Passwork proporciona extensiones de navegador nativas y herramientas CLI que obtienen credenciales bajo demanda de su bóveda, con registro de auditoría completo de cada acción de autocompletado.

Arquitectura de conocimiento cero

Sus datos de credenciales deben cifrarse del lado del cliente antes de llegar al servidor. Esto significa que el servidor (ya sea autoalojado o en la nube) no puede descifrar sus credenciales. Es una garantía, no una promesa. KeePass cifra localmente, pero no ofrece colaboración en equipo sin compartición manual de archivos. Passwork utiliza cifrado AES-256 del lado del cliente con arquitectura de conocimiento cero: las credenciales se cifran antes de la transmisión, se almacenan cifradas en el servidor y se descifran solo en clientes autorizados.

Autoalojado o en la nube, su elección

Algunas pymes tienen razones regulatorias o contractuales para mantener los datos de credenciales en sus propias instalaciones. Una herramienta que ofrece autoalojamiento genuino le da el control que ofrece KeePass sin las limitaciones operativas. Passwork está disponible como gestor de contraseñas y secretos en la nube y como despliegue autoalojado en su propia infraestructura, con cifrado AES-256 completo y arquitectura de conocimiento cero. Sus datos nunca salen de su control.

KeePass vs. Passwork: comparativa de funciones

Función	KeePass	Passwork
Sincronización multiusuario	Manual / propensa a errores	Tiempo real, sin conflictos
Permisos granulares (RBAC)	Ninguno	Por usuario, por bóveda
Registros de auditoría	Ninguno	Registro de actividad completo por usuario
Aplicación de MFA	Solo archivo de clave	TOTP, SSO, llaves de hardware, passkeys, biometría
Integración AD/LDAP	Ninguna	Nativa
Baja automatizada	Ninguna	Revocación con una sola acción
Autocompletado e integración con navegador	Plugins de la comunidad	Extensiones nativas
Cifrado de conocimiento cero	Solo local	Lado del cliente + servidor
Integración SIEM	Ninguna	syslog, REST API
Evidencia de cumplimiento	Ninguna	Informes de auditoría exportables
Opción autoalojada	Solo basada en archivos	Control total de infraestructura

La diferencia es arquitectónica. Cuando su equipo crece más allá de cinco personas, la fricción operativa de KeePass se vuelve real. La rotación de credenciales requiere regenerar las claves de toda la base de datos. La baja significa que todos cambian su contraseña maestra. El control de acceso es binario — o alguien tiene la contraseña maestra o no la tiene. Passwork elimina esa fricción: permisos granulares, bajas automatizadas, registros de auditoría por usuario y sincronización en tiempo real sin conflictos.

Si su organización opera bajo requisitos de cumplimiento (GDPR, SOC 2, NIS2, ISO 27001, PCI DSS), la brecha se amplía aún más. Una base de datos de KeePass compartida no pasa ninguna auditoría. Passwork con RBAC, registro de auditoría, integración con AD y cifrado de conocimiento cero satisface los requisitos de cumplimiento sin crear sobrecarga administrativa.

Conclusión

KeePass es un punto de partida. Para un administrador en solitario o un equipo de dos personas sin requisitos de auditoría externa, cumple su función. Para cualquier equipo que opere por encima de ese umbral, crea más riesgo del que elimina.

La deuda administrativa se acumula silenciosamente: conflictos de sincronización que cuestan una hora aquí, una rotación de baja que cuesta un día allá, un hallazgo de auditoría que cuesta un trimestre. Nada de esto aparece en la factura de KeePass porque no hay ninguna. Pero el coste es real.

El siguiente paso es sencillo: mapee su inventario de credenciales actual, identifique qué equipos comparten acceso a qué sistemas y evalúe si su herramienta actual puede indicarle quién tiene acceso a qué. Si no puede, tiene su respuesta.

Si su equipo ha superado a KeePass, Passwork está diseñado exactamente para este momento. Obtiene permisos granulares, sincronización en tiempo real, registros de auditoría por usuario, integración con AD, aplicación de MFA y cifrado de conocimiento cero. Todo sin la deuda operativa de gestionar contraseñas maestras compartidas y rotación manual de credenciales. Pruebe Passwork gratis

Preguntas frecuentes

¿Es seguro KeePass para uso empresarial?

KeePass utiliza cifrado AES-256 y es de código abierto con un largo historial de seguridad, lo que lo hace criptográficamente sólido. Para uso empresarial, el riesgo de seguridad es la ausencia de registros de auditoría, controles de acceso granulares y aplicación de MFA. Estas brechas crean exposición de cumplimiento bajo el Artículo 32 del GDPR y SOC 2 CC6.1.

¿Pueden múltiples usuarios compartir una base de datos de KeePass?

Sí, pero con limitaciones significativas. KeePass no tiene motor de sincronización en tiempo real. Cuando dos usuarios editan el mismo archivo .kdbx simultáneamente en una unidad de red compartida, el último guardado sobrescribe el anterior sin fusión ni advertencia. La propia documentación de KeePass describe esto como una limitación conocida que requiere soluciones alternativas manuales.

¿Cuál es la principal diferencia entre KeePass y un gestor de contraseñas corporativo?

La diferencia central es la arquitectura de acceso. KeePass utiliza una única contraseña maestra compartida por todos los usuarios — no hay cuentas individuales, no hay permisos por usuario y no hay registros de actividad. Un gestor de contraseñas corporativo asigna a cada usuario su propia sesión autenticada, aplica acceso basado en roles a bóvedas específicas y registra cada interacción con credenciales.

¿Soporta KeePass Active Directory o LDAP?

No. KeePass no tiene integración nativa con AD o LDAP. El aprovisionamiento y desaprovisionamiento de usuarios es completamente manual. En contraste, los gestores de credenciales de nivel empresarial se integran con AD/LDAP para que los derechos de acceso sigan automáticamente la pertenencia a grupos del directorio.

¿Por qué KeePass no pasa las auditorías de cumplimiento?

KeePass no puede producir evidencia de quién accedió a qué credenciales y cuándo. Los auditores de SOC 2 Tipo II requieren registros de acceso bajo CC6.1. El Artículo 32 del GDPR requiere controles de acceso demostrables. Un archivo .kdbx con una contraseña maestra compartida no satisface ninguno de los requisitos, independientemente de lo fuerte que sea el cifrado.

¿Cuándo debería una pyme pasar de KeePass a un gestor de contraseñas corporativo?

El umbral práctico es cinco o más usuarios, cualquier obligación de cumplimiento (SOC 2, GDPR, HIPAA, ISO 27001), o cualquier situación donde necesite demostrar el historial de acceso. Si la salida de un empleado requiere rotar credenciales en lugar de revocar una cuenta de usuario, esa es una señal clara de que la herramienta actual no es adecuada para el propósito.

Gestión de contraseñas y accesos para pymes: ¿Es suficiente KeePass?

Password security

May 28, 2026 — 15 min read

Password and access management for SMBs: Is KeePass enough?

Every IT admin who runs KeePass for a team tells the same story. It starts with one shared .kdbx file on a network drive. Then someone can't open it because a colleague has it locked. Then a junior sysadmin saves over a change someone else made an hour ago. Then an employee leaves, and nobody's quite sure which passwords they had access to.

KeePass is a genuinely excellent tool — for one person. The moment you put it in front of a team, you're not managing passwords anymore. You're managing a single file.

Key takeaways

KeePass is excellent for individuals but structurally unsuitable for teams. The moment you add a second user, you lose real-time sync, granular access control, and audit trails — the three things that prevent credential breaches and compliance violations.

Multi-user sync is manual and error-prone. Concurrent edits on a shared .kdbx file cause data loss. The "last-writer-wins" problem scales linearly with team size. There is no merge, no conflict detection, and no warning.
Access control is binary. Everyone who needs the master password gets full access to every credential. There is no concept of "this user can read cloud credentials but not database passwords." Offboarding requires rotating every credential they could have seen.
KeePass produces no audit logs. You cannot prove who accessed a specific credential, when, or from where. This fails SOC 2 CC6.1, GDPR Article 32, NIS2, ISO 27001, and PCI DSS 4.0 — every modern compliance framework.
The operational cost compounds quickly. Sync conflicts, manual offboarding, credential rotation, and audit gaps create administrative overhead that grows with team size.
The fix is a purpose-built vault with RBAC, AD integration, and automated audit trails. Not a bigger spreadsheet, not a better file-sharing tool — a credential manager built for teams operating under compliance frameworks.

The allure of KeePass for small businesses

KeePass appeals to SMBs for three reasons that are completely rational: it costs nothing, stores data locally, and has been audited by the open-source community for over two decades. For a five-person shop with no compliance obligations and a single IT generalist, those are real advantages.

The encryption is solid. KeePass 2.x uses AES-256 by default, with optional ChaCha20 support — the latter being faster on mobile hardware where AES hardware acceleration isn't available. The .kdbx format is well-documented, portable, and not going anywhere.

KeePass remains a meaningful part of the consumer adoption curve, particularly among technically literate users who distrust cloud services. However, the enterprise segment (where compliance audits, multi-team access, and audit logging are mandatory) has almost entirely moved to purpose-built solutions.

What is AES-256?

AES-256 (Advanced Encryption Standard with a 256-bit key) is a symmetric block cipher standardized by NIST in 2001 (FIPS 197). It operates on 128-bit blocks across 14 rounds of substitution, permutation, and key mixing. The 256-bit key length makes brute-force attacks computationally infeasible with current and near-future hardware. AES-256 is the encryption standard used in TLS, full-disk encryption (BitLocker, FileVault), and most enterprise credential managers — including Passwork, which applies it client-side before any data leaves the device.

What is ChaCha20?

ChaCha20 is a stream cipher designed by Daniel J. Bernstein in 2008 as a faster, hardware-independent alternative to AES. It applies 20 rounds of ARX operations (add, rotate, XOR) to a 256-bit key and a 96-bit nonce, producing a keystream that is XORed with plaintext. Unlike AES, ChaCha20 does not rely on hardware acceleration instructions — making it significantly faster on devices without AES-NI support, such as older mobile CPUs and embedded systems. It is widely used in TLS 1.3 (paired with Poly1305 as ChaCha20-Poly1305) and is the default cipher in WireGuard. KeePass 2.x supports ChaCha20 as an alternative to AES-256 for database encryption, which is why it performs better on low-end Android and iOS hardware.

What is a .kdbx file?

.kdbx is the binary database format used by KeePass 2.x and its forks. The file stores all credentials in an encrypted container — protected by AES-256 or ChaCha20 — and is unlocked with a master password, a key file, or both. The format is self-contained and portable: the entire credential store lives in a single file with no server, no sync engine, and no user accounts. KDBX 4.0 (introduced in KeePass 2.35) added Argon2 as the key derivation function, replacing AES-KDF and significantly increasing resistance to GPU-based brute-force attacks. The single-file design is what makes .kdbx excellent for individual use — and what makes it structurally unsuitable for concurrent multi-user access.

The "KeePass scale trap": When free becomes expensive

KeePass was designed as a single-user application. Its multi-user documentation acknowledges this directly — the official KeePass help page on multiple users describes workarounds, not native features. When you put a .kdbx file on a network share and give five people access, you've built a system that will eventually fail. Here's exactly how.

The last-writer-wins problem

KeePass has no real-time sync engine. When two users open the same database file simultaneously, each holds a local copy in memory. When User A saves, the file updates. When User B saves thirty seconds later, their version overwrites User A's changes entirely. There is no merge, no conflict detection, and no warning.

KeePass does offer a manual "Synchronize" function that can merge two .kdbx files — but it requires a deliberate action from the user, and it only works if both versions are available. On a network share where the file gets overwritten on save, that second version is already gone.

All-or-nothing access

KeePass has one master password (or key file) per database. Everyone who needs access gets the same key. There is no concept of "this user can read the cloud server credentials but not the database passwords." You can create separate .kdbx files for different access levels, but now you're managing multiple files and multiple sync processes — and you still have no audit trail.

RBAC (role-based access control) — the ability to define what each user or group can see and do — simply doesn't exist in KeePass's architecture. It's a design choice for a single-user tool.

The offboarding

When an employee with access to the shared KeePass database leaves your organization, the correct security response is to rotate every credential they could have seen. All of them. Because you have no log of what they accessed, you can't scope the rotation — you have to assume worst-case.

For a database with 200 entries, that's a full day of work. For a database with 800 entries across production systems, SaaS tools, and client environments, it's a multi-day incident. And it happens every time someone leaves.

Passwork's role-based vaults let you revoke access for a departing employee in a single action. See how it works

Security vs. compliance: The 2026 regulatory landscape

KeePass's encryption is genuinely strong. AES-256 with a well-chosen master password is not the weak point. The weak point is that KeePass produces no evidence of what happened inside the database — and in 2026, that evidence is what auditors ask for.

GDPR Article 32 mandates "appropriate technical and organisational measures" to ensure security appropriate to the risk. For credential management, the Article 32 working interpretation includes encryption at rest, access controls, and — critically — the ability to demonstrate that access controls are working. That last part requires logs.

A KeePass database can't tell you who opened it, when, from which machine, or what they looked at. If a regulator asks you to demonstrate that access to personal data credentials was appropriately restricted, a .kdbx file is not an answer.

NIS2 Directive: Access control and incident response

The NIS2 Directive (effective October 2024 for EU organizations) mandates that operators of essential services and important entities implement "advanced access control" and maintain detailed logs of access to critical assets. For credential management, this means:

Role-based access control (RBAC) with per-user authentication
Immutable audit logs of all credential access
The ability to revoke access immediately upon employee departure

A shared KeePass file with a single master password violates all three requirements. Rekeying the entire database when someone leaves is not "immediate revocation" — it's a workaround that creates administrative overhead and increases the risk of human error.

ISO 27001:2022 and access control requirements

ISO 27001 Annex A.8.2 (Access Control) and A.8.15 (Logging) require organizations to implement controls that restrict access to information to authorized users and maintain records of access. For credential repositories, this translates to:

Granular access permissions tied to job roles
Audit trails showing who accessed what, when, and from where
Automated enforcement of the principle of least privilege

KeePass offers none of these. A database shared among team members with a single password is the opposite of least privilege — it's maximum privilege for everyone.

PCI DSS 4.0: Payment card data protection

If your organization handles payment card data, PCI DSS 4.0 Requirement 7.1 mandates that access to cardholder data be restricted to personnel with a legitimate business need. Requirement 10.2.1 requires logging of all access to systems containing cardholder data, including the user ID, date, time, and nature of the access.

A KeePass database storing payment gateway API keys or database credentials cannot satisfy these requirements. There is no per-user authentication, no audit trail, and no way to prove to a PCI auditor that access was restricted to authorized personnel.

SOC 2 Type II and CC6.1

SOC 2 Trust Services Criteria CC6.1 requires that logical access to systems storing sensitive data be restricted to authorized users and that access be logged. A shared KeePass database with a single master password fails both conditions. There's no per-user authentication, and there's no log.

This isn't a theoretical risk. Auditors ask for access logs during SOC 2 Type II assessments. "We use KeePass" ends that conversation badly.

NIST SP 800-63B (Revision 4)

NIST SP 800-63B, finalized August 2025, recommends a minimum password length of 15 characters for memorized secrets and explicitly discourages mandatory periodic rotation in favor of breach-triggered rotation. KeePass can store compliant passwords — but it can't enforce the policy, report on compliance, or prove to an auditor that the policy was followed.

The scale of the threat

The numbers make the compliance argument concrete. According to IBM's 2025 Cost of a Data Breach Report, the average breach cost for businesses with fewer than 500 employees reached $3.31 million. Credential compromise is consistently among the top initial access vectors. A compliance violation on top of a breach compounds the financial damage through regulatory fines and remediation costs.

The SMB password security maturity curve

Most SMBs move through three recognizable stages. Naming this progression helps teams identify where they are and what the next step actually looks like.

Stage 1 — Excel/shared doc. Credentials in a spreadsheet, often on a shared drive or email thread. No encryption. No access control. Fully auditable in the worst possible way: anyone with the file can see everything.
Stage 2 — KeePass. Encrypted file, strong cryptography, zero cost. A genuine improvement over Stage 1. Appropriate for individuals and very small teams with no compliance requirements. Breaks down above five users, under audit, or when someone leaves.
Stage 3 — Corporate vault. Purpose-built multi-user credential management with RBAC, AD/LDAP integration, per-user audit logs, MFA enforcement, and automated offboarding. This is where teams with compliance obligations, more than ten users, or any client-facing security requirements need to be.

The trap is staying at Stage 2 past the point where it fits. The cost of that delay is the administrative overhead, the incident exposure, and the audit findings.

The 5-point KeePass stress test for your business

Run through these five questions against your current setup. Each "yes" is a signal that KeePass is creating risk your team may not have priced in.

Do you have more than 5 users accessing the shared database?
Above five concurrent users, sync conflicts become a near-daily event. The "last-writer-wins" problem scales linearly with team size.
Can you prove who accessed a specific credential and when?
If a client asks which of your staff accessed their system credentials last Tuesday, can you answer? KeePass cannot produce that record. A corporate vault with audit logging can.
Is the database stored on a shared drive, Dropbox, or similar?
Cloud sync tools like Dropbox add their own conflict resolution on top of KeePass's — which means you can end up with multiple .kdbx versions and no reliable way to know which is current. Network shares have the file-locking problem described above.
How long does it take to fully revoke access for a former employee?
If the answer is "we change the master password and then rotate everything they might have seen," you're describing a multi-hour incident that happens every time someone leaves. With per-user access controls, revocation is a single action.
Is MFA protecting the vault itself?
KeePass supports key files as a second factor, but distributing and managing those key files across a team is its own operational problem. Native MFA integration — TOTP, hardware keys, SSO — requires a purpose-built tool.

If you answered "no" to questions 2 and 5, or "yes" to questions 1, 3, and 4, your team has outgrown KeePass.

How do you manage credential access when your team scales beyond five people? Passwork handles multi-team credential management with RBAC, audit logging, and real-time sync — without the operational overhead. Try Passwork free

Beyond KeePass: Choosing a corporate access management solution

The criteria for a team-grade credential manager are not complicated, but they're non-negotiable once you're operating at any scale or under any compliance framework.

Shared vaults with granular permissions

Each team or project should have its own vault. Individual users get access to the vaults they need, at the permission level they need (read, write, admin). When someone's role changes, you update their vault membership — not the master password. This is role-based access control (RBAC), and it's the foundation of compliance. KeePass has no equivalent.

Passwork assigns permissions to groups, so when a developer joins the DevOps team, they inherit the team's vault access automatically. When they leave, you revoke it once.

RBAC tied to your directory

AD/LDAP integration means user provisioning and deprovisioning happen automatically. When admin terminates an account in Active Directory, vault access goes with it. No manual step, no gap. Passwork integrates natively with Active Directory and LDAP, so your credential access follows your organizational structure — not the other way around.

Per-user audit logs

Every credential view, copy, edit, and share should be logged with a timestamp and user identity. This is the record that satisfies SOC 2 CC6.1 and supports GDPR Article 32 accountability. KeePass produces no logs.

Passwork maintains a complete audit trail of every action, exportable for compliance reviews and incident investigations.

MFA enforcement at the vault level

Not optional, not per-user preference — enforced by policy, with support for TOTP, hardware tokens, and SAML SSO. KeePass supports key files, which is not MFA. Passwork enforces MFA at the vault level, with support for multiple authentication methods tied to your identity provider.

Autofill and browser integration

A modern credential manager integrates with browsers and CLI tools to autofill passwords and inject secrets into deployment pipelines. KeePass has browser plugins, but they're community-maintained and lack the security model of a centralized vault. Passwork provides native browser extensions and CLI tools that pull credentials on-demand from your vault, with full audit logging of every autofill action.

Zero-knowledge architecture

Your credential data should be encrypted client-side before it ever reaches the server. This means the server (whether self-hosted or cloud) cannot decrypt your credentials. It's a guarantee, not a promise. KeePass encrypts locally, but offers no team collaboration without manual file sharing. Passwork uses AES-256 client-side encryption with zero-knowledge architecture: credentials are encrypted before transmission, stored encrypted on the server, and decrypted only on authorized clients.

Self-hosted or cloud, your choice

Some SMBs have regulatory or contractual reasons to keep credential data on-premises. A tool that offers genuine self-hosting gives you the control KeePass offers without the operational limitations. Passwork is available as a cloud password and secrets manager and a self-hosted deployment on your own infrastructure, with full AES-256 encryption and zero-knowledge architecture. Your data never leaves your control.

KeePass vs. Passwork: feature comparison

Feature	KeePass	Passwork
Multi-user sync	Manual / error-prone	Real-time, conflict-free
Granular permissions (RBAC)	None	Per-user, per-vault
Audit logs	None	Full per-user activity log
MFA enforcement	Key file only	TOTP, SSO, hardware keys, passkeys, biometrics
AD/LDAP integration	None	Native
Automated offboarding	None	Single-action revocation
Autofill and browser integration	Community plugins	Native extensions
Zero-knowledge encryption	Local only	Client-side + server
SIEM integration	None	Syslog, REST API
Compliance evidence	None	Exportable audit reports
Self-hosted option	File-based only	Full infrastructure control

The difference is architectural. When your team grows beyond five people, the operational friction of KeePass becomes real. Credential rotation requires rekeying the entire database. Offboarding means everyone changes their master password. Access control is binary — either someone has the master password or they don't. Passwork eliminates that friction: granular permissions, automated offboarding, per-user audit trails, and real-time sync without conflicts.

If your organization operates under compliance requirements (GDPR, SOC 2, NIS2, ISO 27001, PCI DSS), the gap widens further. A shared KeePass database fails every audit. Passwork with RBAC, audit logging, AD integration, and zero-knowledge encryption satisfies compliance requirements without creating administrative overhead.

Conclusion

KeePass is a starting point. For a solo admin or a two-person team with no external audit requirements, it does the job. For any team operating above that threshold it creates more risk than it eliminates.

The administrative debt accumulates quietly: sync conflicts that cost an hour here, an offboarding rotation that costs a day there, an audit finding that costs a quarter. None of it shows up on the KeePass invoice because there isn't one. But the cost is real.

The next step is straightforward: map your current credential inventory, identify which teams share access to which systems, and evaluate whether your current tool can tell you who has access to what. If it can't, you have your answer.

If your team has outgrown KeePass, Passwork is built for exactly this moment. You get granular permissions, real-time sync, per-user audit logs, AD integration, MFA enforcement, and zero-knowledge encryption. All without the operational debt of managing shared master passwords and manual credential rotation. Try Passwork free

Frequently asked questions

Is KeePass safe for business use?

KeePass uses AES-256 encryption and is open-source with a long security track record, making it cryptographically sound. For business use, the security risk is the absence of audit logs, granular access controls, and MFA enforcement. These gaps create compliance exposure under GDPR Article 32 and SOC 2 CC6.1.

Yes, but with significant limitations. KeePass has no real-time sync engine. When two users edit the same .kdbx file simultaneously on a network share, the last save overwrites the previous one with no merge or warning. KeePass's own documentation describes this as a known limitation requiring manual workarounds.

What is the main difference between KeePass and a corporate password manager?

The core difference is access architecture. KeePass uses a single master password shared by all users — there are no individual accounts, no per-user permissions, and no activity logs. A corporate password manager assigns each user their own authenticated session, enforces role-based access to specific vaults, and logs every credential interaction.

Does KeePass support Active Directory or LDAP?

No. KeePass has no native AD or LDAP integration. User provisioning and deprovisioning are entirely manual. In contrast, enterprise-grade credential managers integrate with AD/LDAP so that access rights follow directory group membership automatically.

Why does KeePass fail compliance audits?

KeePass cannot produce evidence of who accessed which credentials and when. SOC 2 Type II auditors require access logs under CC6.1. GDPR Article 32 requires demonstrable access controls. A .kdbx file with a shared master password satisfies neither requirement, regardless of how strong the encryption is.

When should an SMB move from KeePass to a corporate password manager?

The practical threshold is five or more users, any compliance obligation (SOC 2, GDPR, HIPAA, ISO 27001), or any situation where you need to prove access history. If an employee departure requires rotating credentials rather than revoking a user account, that's a clear signal the current tool isn't fit for purpose.

Password and access management for SMBs: Is KeePass enough?

Passwork news

May 28, 2026 — 3 min read

Passwork gewinnt Top Performer Spring 2026 auf SourceForge

Passwork wurde von SourceForge als Top Performer Frühjahr 2026 ausgezeichnet — einer B2B-Softwarevergleichsplattform, auf der IT-Teams Tools recherchieren, bevor sie Kaufentscheidungen treffen. Die Auszeichnung basiert ausschließlich auf verifizierten Bewertungen von Personen, die Passwork täglich einsetzen und nutzen.

Dies folgt auf eine weitere Anerkennung Anfang 2026: Passwork erhielt die Auszeichnung Best Customer Support von Software Advice, einer zu Gartner gehörenden Plattform für Unternehmenssoftware-Recherche. Auch diese Auszeichnung wird durch verifizierte Nutzerbewertungen bestimmt, wobei die Supportqualität das primäre Kriterium ist.

Was Nutzer über Passwork sagen

Laut verifizierten Bewertungen auf SourceForge bewerten Nutzer Passwork als zuverlässigen Passwort-Manager und loben das strukturierte Anmeldedaten-Management mit Zugriffskontrolle auf Ordnerebene, den reibungslosen Bereitstellungsprozess und einen Support, der tatsächlich antwortet.

„Wir verwenden Passwork als unseren geschäftlichen Passwort-Manager und haben bisher sehr positive Erfahrungen gemacht. Die Oberfläche ist übersichtlich und einfach zu bedienen, das Onboarding des Teams war unkompliziert, und das sichere Teilen von Anmeldedaten zwischen Abteilungen funktioniert wirklich gut." — IT-Leiter

Administratoren heben die granulare Zugriffskontrolle als herausragendes Merkmal hervor — die Möglichkeit, Anmeldedaten logisch zu strukturieren und die Sichtbarkeit auf Ordnerebene einzuschränken.

„Was mir an Passwork am besten gefällt, ist, dass man Anmeldedaten/Passwörter in Ordnern und Unterordnern für eine übersichtliche logische Struktur organisieren kann und Zugriff nur auf bestimmte Ordner gewähren kann." — Infrastruktur-Architekt

Für Sicherheits- und Compliance-Teams wird Passwork zur Grundlage für die Erfüllung formaler Zertifizierungsanforderungen.

„Die Integration mit verschiedenen Browsern und die Smartphone-App sind unschlagbare Vorteile. Die Weboberfläche ist einfach und intuitiv. Es war die Lösung, die uns ermöglichte, die Anforderungen des ISO-27001-Standards zu erfüllen." — ICT-Manager

Über die Auszeichnung

SourceForge ist das weltweit größte B2B-Softwarebewertungs- und -vergleichsverzeichnis mit fast 20 Millionen monatlichen Nutzern, die Unternehmenssoftware evaluieren. SourceForge vergibt das Top-Performer-Abzeichen viermal jährlich — im Frühjahr, Sommer, Herbst und Winter. Es geht an Produkte, die zu den besten 10 % von mehr als 100.000 auf der Plattform gelisteten Lösungen gehören.

„Diese Auszeichnung bestätigt, dass unser Fokus auf flexibles, strukturiertes Anmeldedaten-Management, Transparenz und echten Support der richtige Weg war. Es bedeutet noch mehr zu wissen, dass sie direkt von den Menschen kommt, die Passwork täglich nutzen." — Alex Muntyan, CEO von Passwork

Die Auswahl wird durch verifizierte Nutzerbewertungen bestimmt, ohne redaktionelle Beurteilung. Je aktueller, zahlreicher und besser bewertet sie sind, desto höher rangiert das Produkt. Passwork hat eine Gesamtbewertung von 4,8 von 5 Sternen, mit Einzelwertungen von 4,7 für Benutzerfreundlichkeit, 4,8 für Design und 5,0 für Support.

Erfahren Sie, wie Passwork Anmeldedaten sicher in Ihrer eigenen Infrastruktur aufbewahrt. Starten Sie eine kostenlose Testversion mit vollem Zugriff

Passwork gewinnt Top Performer Spring 2026 auf SourceForge

Passwork wurde von SourceForge als Top Performer Spring 2026 ausgezeichnet und gehört damit zu den besten 10 % von über 100.000 Lösungen. Die Auszeichnung basiert ausschließlich auf verifizierten Bewertungen — 4,8 Sterne insgesamt, mit einer perfekten 5,0 für den Support.

Passwork news

May 28, 2026 — 4 min read

Passwork gana Top Performer Primavera 2026 en SourceForge

Passwork ha sido nombrado Top Performer Primavera 2026 por SourceForge — una plataforma de comparación de software B2B donde los equipos de TI investigan herramientas antes de tomar decisiones de compra. El premio se basa exclusivamente en reseñas verificadas de las personas que implementan y utilizan Passwork a diario.

Este reconocimiento sigue a otro recibido a principios de 2026: Passwork recibió el premio Mejor Soporte al Cliente de Software Advice, una plataforma propiedad de Gartner para la investigación de software empresarial. Ese premio también se determina mediante reseñas verificadas de usuarios, con la calidad del soporte como criterio principal.

Qué dicen los usuarios sobre Passwork

Según las reseñas verificadas en SourceForge, los usuarios califican a Passwork como un gestor de contraseñas fiable, destacando la gestión estructurada de credenciales con control de acceso a nivel de carpeta, un proceso de implementación sencillo y un soporte que realmente responde.

«Hemos estado utilizando Passwork como nuestro gestor de contraseñas empresarial y hasta ahora hemos tenido una experiencia muy positiva. La interfaz es limpia y fácil de usar, la incorporación del equipo fue sencilla, y compartir credenciales de forma segura entre departamentos funciona muy bien.» — Director de TI

Los administradores destacan el control de acceso granular como una característica sobresaliente — la capacidad de estructurar las credenciales de forma lógica y restringir la visibilidad a nivel de carpeta.

«Lo que más me gusta de Passwork es que puedes organizar credenciales/contraseñas en carpetas y subcarpetas para una estructura lógica ordenada y puedes dar acceso solo a carpetas específicas.» — Arquitecto de Infraestructura

Para los equipos de seguridad y cumplimiento, Passwork se convierte en la base para cumplir con los requisitos de certificación formal.

«La integración con varios navegadores y la aplicación para smartphone son ventajas inmejorables. La interfaz web es simple e intuitiva. Fue la solución que nos permitió cumplir con los requisitos de la norma ISO 27001.» — Director de TIC

Sobre el premio

SourceForge es el directorio de reseñas y comparación de software B2B más grande del mundo, con casi 20 millones de usuarios mensuales evaluando software empresarial. SourceForge otorga la insignia Top Performer cuatro veces al año — en primavera, verano, otoño e invierno. Se concede a productos que se sitúan en el 10% superior de más de 100.000 soluciones listadas en la plataforma.

«Este premio confirma que nuestro enfoque en la gestión de credenciales flexible y estructurada, la transparencia y el soporte real fue el camino correcto. Significa aún más sabiendo que proviene directamente de las personas que utilizan Passwork todos los días.» — Alex Muntyan, CEO de Passwork

La selección se determina mediante reseñas verificadas de usuarios, sin juicio editorial. Cuanto más recientes, numerosas y mejor valoradas sean, más alto se posiciona el producto. Passwork mantiene una calificación general de 4,8 sobre 5 estrellas, con puntuaciones individuales de 4,7 en facilidad de uso, 4,8 en diseño y 5,0 en soporte.

Descubra cómo Passwork mantiene las credenciales seguras dentro de su propia infraestructura. Inicie una prueba gratuita con acceso completo

Passwork gana Top Performer Primavera 2026 en SourceForge

Passwork ha sido nombrado Top Performer Primavera 2026 por SourceForge, posicionándose en el 10% superior de más de 100.000 soluciones. La insignia se basa exclusivamente en reseñas verificadas — 4,8 estrellas en general, con un 5,0 perfecto en soporte.

Passwork news

May 28, 2026 — 3 min read

Passwork wins Top Performer Spring 2026 on SourceForge

Passwork has been named a Top Performer Spring 2026 by SourceForge — a B2B software comparison platform where IT teams research tools before making purchasing decisions. The award is based entirely on verified reviews from the people who deploy and use Passwork every day.

This follows another recognition earlier in 2026: Passwork received the Best Customer Support award from Software Advice, a Gartner-owned platform for business software research. That award is also determined by verified user reviews, with support quality as the primary criterion.

What users say about Passwork

According to verified reviews on SourceForge, users rate Passwork as a reliable password manager, praising structured credential management with folder-level access control, clean deployment process, and support that actually responds.

"We've been using Passwork as our business password manager and have had a very positive experience so far. The interface is clean and easy to use, onboarding the team was straightforward, and sharing credentials securely across departments works really well." — Head of IT

Administrators point to granular access control as a standout feature — the ability to structure credentials logically and restrict visibility at the folder level.

"What I like the most about Passwork is that you can organize credentials/passwords into folders and subfolders for a neat logical structure and you can give access just to particular folders." — Infrastructure Architect

For security and compliance teams, Passwork becomes the foundation for meeting formal certification requirements.

"Integration with various browsers and the smartphone app are unbeatable advantages. The web interface is simple and intuitive. It was the solution that enabled us to comply with the requirements of the ISO 27001 standard." — ICT Manager

About the award

SourceForge is the largest B2B software review and comparison directory in the world, with nearly 20 million monthly users evaluating business software. SourceForge issues the Top Performer badge four times a year — in spring, summer, fall, and winter. It goes to products that rank in the top 10% out of more than 100,000 solutions listed on the platform.

"This award confirms that our focus on flexible, structured credential management, transparency, and real support was the right path. It means even more knowing it comes directly from the people who use Passwork every day." — Alex Muntyan, CEO of Passwork

The selection is determined by verified user reviews, without editorial judgment. The more recent, numerous, and highly rated they are, the higher the product ranks. Passwork holds a 4.8 out of 5 stars overall rating, with individual scores of 4.7 for ease of use, 4.8 for design, and 5.0 for support.

See how Passwork keeps credentials secure within your own infrastructure. Start a free trial with full access.

Passwork wins Top Performer Spring 2026 on SourceForge

Passwork has been named a Top Performer Spring 2026 by SourceForge, ranking in the top 10% of 100,000+ solutions. The badge is based entirely on verified reviews — 4.8 stars overall, with a perfect 5.0 for support.

Company

About us Privacy policy ISO 27001 certificate Release notes Roadmap Blog

Browser extension

Google Chrome Mozilla Firefox Microsoft Edge Apple Safari

Mobile application

App Store Google Play

For business

Teams Small business Business and corporates Enterprise On-premise solution Password sharing tool Secret management

Help

User manual Technical documentation Help center