NIS2 konform, nicht ohne Identity und Access Management

14. September, 2023

Inhaltsverzeichnis

Mit der neuen NIS2 Richtlinie soll die Cybersicherheit in Europa gestärkt werden. Sie tritt voraussichtlich im Jahr 2024 in Kraft und wird die bestehende NIS Richtlinie ablösen. Viele betroffene Unternehmen in Deutschland und anderen europäischen Ländern sind nun zum Handeln gezwungen, um die Anforderungen fristgerecht zu erfüllen. In diesem Artikel erklären wir Dir, wer von der Richtlinie betroffen ist, welche Anforderungen umgesetzt werden müssen und wie Identity und Access Management dabei unterstützt.

Worum geht’s bei NIS2?

Mit der NIS2 Richtlinie hat die Europäische Union einen neuen Ansatz zur Steigerung der Cybersicherheit veröffentlicht. In Anbetracht der steigenden Bedrohungen durch Cyberangriffe hat diese Richtlinie höchste Dringlichkeit. Die neue Richtlinie wurde Anfang 2023 bekannt gegeben und soll für einen EU-weiten Mindeststandard der Cybersicherheit sorgen. Im Jahr 2016 wurde bereits die NIS als Cybersicherheitsvorschrift eingeführt. Diese galt unter Kritikern allerdings als vage formuliert und wurde oftmals nicht konsequent und einheitlich umgesetzt. Das soll sich mit NIS2 aber deutlich ändern.

Die Richtline modernisiert den bestehenden Rechtsrahmen und konkretisiert die zu befolgenden Maßnahmen. Dabei geht es beispielsweise um das Risikomanagement, die Vorfallsmeldung oder Governance. Außerdem wurden die betroffenen Unternehmen um neue Sektoren und Einrichtungen erweitert. Geschützt werden sollen vor allem Betreiber kritischer Infrastrukturen (KRITIS). Zudem gibt es die Unterteilung in wichtige und besonders wichtige Unternehmen, die je nach Unternehmensgröße und Umsatz unterteilt sind. Als zusätzliche Maßnahme und als klares Signal zur Unterstreichung der Dringlichkeit, wird die Geschäftsführung als persönlich haftbar benannt. Viele Unternehmen wurden sicherlich von den konkreten Maßnahmen überrumpelt, die zeitnah umgesetzt werden müssen. Deshalb ist jetzt höchste Zeit zu Handeln, um den hohen Sanktionen zu entgehen und die Cybersicherheit in den Unternehmen zu erhöhen.

Wer ist betroffen?

Um mit der neuen NIS2 Richtlinie umfassend die Cybersicherheit in der EU zu gewährleisten, sind die betroffenen Unternehmen und Einrichtungen konkret benannt. Für einen ganzheitlichen Schutz beziehen sie sich nicht nur auf kleine Bereiche, sondern auf große Teile der Wirtschaft. Für folgende Branchen gilt nun die neue NIS2 Richtlinie: Betreiber kritischer Infrastrukturen (KRITIS), Bundeseinrichtungen sowie wichtige und besonders wichtige Einrichtungen. Des Weiteren gelten die Maßnahmen für Unternehmen verschiedener Sektoren wie beispielsweise Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten, Öffentliche Verwaltung oder Weltraum.

Im Bereich der wichtigen und besonders wichtigen Unternehmen wird zwischen Großunternehmen und mittleren Unternehmen unterschieden, die sich folgendermaßen definieren lassen:

Mittlere Unternehmen: 50 bis 249 Unternehmen mit Umsatz weniger 50 Mio. Euro oder Bilanz weniger 43 Mio. Euro oder weniger als 50 Mitarbeiter und Umsatz 10-50 Mio. Euro und Bilanz 10-43 Mio. Euro
Großunternehmen: min 250 Mitarbeiter oder ab 50 Mio. Euro Umsatz und Bilanz ab 43 Mio. Euro

Was ist zu tun?

Diese Anforderungen gilt es umzusetzen

Betreiber kritischer Infrastrukturen und andere betroffene Einrichtungen in Deutschland und anderen Ländern der Europäischen Union sind verpflichtet, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ermitteln und umzusetzen, um die Anforderungen zu erfüllen. Nur so kann gewährleistet werden, dass Betreiber kritischer Infrastrukturen und betroffene Einrichtungen angemessen gegen mögliche Cyberangriffe geschützt sind.

Risikomanagementmaßnahmen im Bereich der Cybersicherheit:

Konzepte zur Sicherheit von Informationssystemen
Bewältigung von Sicherheitsvorfällen
Aufrechterhaltung des Betriebs, Backup-Management, Krisenmanagement
Sicherheit der Lieferkette
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
Konzepte zur Bewertung von Risikomanagementmaßnahmen
Verfahren im Bereich der Cyberhygiene und Schulung im Bereich der Cybersicherheit
Konzepte für den Einsatz von Kryptografie und evtl. Verschlüsselung
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
Verwendung von MFA oder kontinuierliche Authentifizierung, gesicherte Kommunikation

Schutz der Lieferketten

Da Lieferketten immer komplexer und globaler werden, gelten sie als ein Fokus-Thema der NIS2 Richtlinie, denn die enge Vernetzung mit Lieferanten und externen Dienstleistungen birgt Sicherheitsrisiken, die es zu vermeiden gilt. Schließlich nützt es nichts, nur die Einzelunternehmen gegen Cyberbedrohungen zu stärken, wenn gleichzeitig Lieferketten nicht abgesichert sind. Böswillige Akteure können durch die Kompromittierung eines Zulieferers Zugriff auf Netzwerke der Unternehmen erhalten. Deshalb sind Betreiber kritischer Infrastrukturen und andere betroffene Einrichtungen angehalten, die Cybersicherheit ihrer Lieferketten zu überprüfen und dafür zu sorgen, dass ihre Zulieferer und Dienstleister ebenfalls ein hinreichendes Risikomanagement in Bezug auf Cyberangriffe darlegen.

[Unternehmen sollen] die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Dienstanbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Dienstanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse, berücksichtigen.

Auszug aus der NIS2 Richtlinie

Diese Tipps helfen Dir, die NIS2 Maßnahmen umzusetzen.

Herausforderungen meistern

Die neue NIS2 Richtlinie stellt vermutlich einige Unternehmen der betroffenen Sektoren unerwartet vor Herausforderungen. Vor allem, weil die Maßnahmen in relativ kurzer Zeit umgesetzt werden müssen. In vielen Einrichtungen hat der Fokus auf Sicherheitsstrategien nicht unbedingt mit der Geschwindigkeit der Digitalisierung mitgehalten und in der IT herrscht bekannterweise Fachkräftemangel. Eines der größten Herausforderungen wird es vermutlich sein, in solch kurzer Zeit genügend Ressourcen bereitzustellen, um die nötigen Maßnahmen konform und langfristig umzusetzen. Deshalb empfiehlt sich, so früh wie möglich mit der Planung und Umsetzung zu beginnen, um nach hinten raus genügend Puffer für eventuelle Komplikationen zu haben. So können Risiken und Mängel frühzeitig erkannt und mit konkreten Maßnahmen gegengesteuert werden.

Falls es Dir an Zeit, Ressourcen oder konkreten Ansatzpunkten mangelt, wende Dich gerne an externe Berater, die Dich bei der Umsetzung der Maßnahmen unterstützen. Wir von amiconsult stehen Dir da gerne zur Seite. Aber auch da lohnt es sich, schnell zu sein. Es sind unzählige Einrichtungen von der neuen NIS2 Richtlinie betroffen, doch die Anzahl der externen Berater zur Unterstützung ist begrenzt. Und denk dran: Du setzt die Maßnahmen nicht nur für die NIS2 um, sondern sollst selbst als Einrichtung davon profitieren. Durch die ganzen Maßnahmen und Anforderungen soll die Cybersicherheit Deines Unternehmens verbessert werden. Es geht um den Schutz Deiner Einrichtung, Deiner Mitarbeiter und Deiner Kunden. Sieh es als Chance, Dich vor Cyberangriffen zu schützen und im Ernstfall besser vorbereitet zu sein, damit der Schaden möglichst gering ausfällt.

Bereit für Dein neues IAM System?

Du hast Fragen rund um Identity und Access Management oder möchtest ein neues IAM System implementieren? Schreib uns einfach ganz unverbindlich eine Nachricht und lass Dich beraten!

Jetzt mit IAM durchstarten!

NIS2-konform mit Identity und Access Management

Ein wichtiger Baustein zur Umsetzung ist Identity und Access Management, auch wenn es nicht explizit genannt wird. IAM sorgt in zwei Punkten für eine NIS2-konforme Umsetzung und mehr Cybersicherheit: IAM schützt vor Angriffen und sorgt im Falle einer Cyberattacke für schnelle Handlungsfähigkeit.

Sicherheitsvorfälle mit IAM verhindern

Die neue Richtlinie beschreibt, dass die Zugangsverwaltung zum Schutz von Netzwerken und Systemen gewährleistet werden muss. Dies lässt sich beispielsweise mit einem Identity und Access Management System umsetzen. Mithilfe von Identity Governance und Access Management können strikte Zugriffskontrollen auf Daten festgelegt werden. Mittels Role Based Access lassen sich konkrete Benutzerrollen für die einzelnen Mitarbeitenden oder Kunden mit angepassten Zugriffsrechten festlegen. Somit kann sichergestellt werden, dass nur berechtigte Personen Zugriff auf die für sie notwendigen Daten und Informationen haben. Durch den Einsatz von Multifaktorauthentifizierung, lässt sich der Zugriff noch einmal besser absichern.

Des Weiteren können im Rahmen des Zugriffsmanagements Aktivitäten von Usern nachverfolgt und gemonitored werden. So wird z.B. sichtbar, welcher Nutzende sich zu welchem Zeitpunkt in welchem System angemeldet hat und auf welche Daten er Zugriff hatte. Dadurch kann beispielsweise geschaut werden, welche Nutzenden gefährdet sind, weil sie viele Rechte besitzen. Diese gilt es dann, besonders zu schützen und im Auge zu behalten.

Vorfälle schnell melden

Gemäß der NIS2 Richtlinie müssen Unternehmen aus Deutschland und anderen Ländern der Europäischen Union Sicherheitsvorfälle innerhalb von 24 Stunden an die zuständige Behörde melden. Dementsprechend muss schnell gehandelt werden, wenn der Verdacht eines Cyberangriffes besteht. Manuell nach möglichen Schwachstellen oder Sicherheitslücken zu suchen, würde viel zu lange dauern. Mit einem Identity und Access Management System kann sofort eingegriffen, nachvollzogen und reagiert werden. Bei einem Identity Breach kann die betroffene Person in sehr kurzer Zeit ermittelt und Maßnahmen zur Eindämmung ergriffen werden. Die Person kann beispielsweise sofort ausgesperrt und deren Zugriffe entfernt werden. Somit kann schnell ein größerer Schaden verhindert werden. Außerdem kann der Vorfall unverzüglich den Behörden gemeldet werden.

Jetzt ist Zeit, zu handeln!

Die Europäische Union hat sich mit der neuen NIS2 Richtlinie zur Aufgabe gemacht, für mehr Cybersicherheit in Deutschland und anderen europäischen Ländern zu sorgen. Im Gegensatz zur vorherigen NIS Richtlinie zwingt sie mit konkreten Maßnahmen, klar definierten Zielgruppen, engen Deadlines und hohen Sanktionen unzählige Einrichtungen zum Handeln. Die Umsetzung ist für betroffene Akteure häufig mit großen Herausforderungen verbunden, weshalb Du hoffentlich schon mit der Umsetzung begonnen hast.

Wie in diesem Artikel beschrieben, helfen Identity und Access Management Systeme dabei, einige Maßnahmen NIS2-konform umzusetzen. Wenn Du nun merkst, dass Dein aktuelles System veraltet ist oder Du ein neues IAM System implementieren möchtest, um die Anforderungen umzusetzen, kannst Du dich gerne bei uns melden. Wir zeigen Dir u.a. Deine Möglichkeiten auf und helfen Dir bei der Auswahl des Anbieters. Profitiere von unseren Experten und unserer langjährigen Erfahrung. Wir freuen uns auf Deine Nachricht!

Klick mich

Jetzt NIS2 konform werden!

Autor

Tim Lipphardt( IAM Berater )

Tim ist Lead Consultant im Bereich Identity und Access Management. Er hilft amiconsults KundInnen dabei, IAM sinnvoll in ganzheitliche IT Strategien und Architekturen einzuordnen, unterstützt bei der Konzeptionierung und sorgt somit für eine rundum gelungene Projekterfahrung.

Co Authors :

Sina Ruland( Content Editor )

Sina unterstützt als Content Editor unsere IAM Experten bei der redaktionellen und technischen Erstellung der Blogartikel. Mit ihrer Leidenschaft fürs Texten hilft sie dabei, komplexe IAM- und IT-Themen verständlich und interessant aufzubereiten.