Um die Anforderungen der NIS2-Richtlinie zu erfüllen, müssen viele Unternehmen und Institutionen bis zum 18. Oktober 2024 entsprechende Prozesse, Richtlinien und Technologien implementieren. Doch was genau bedeutet das und wie kann IAM bei der Erfüllung dieser Anforderungen helfen?
In allen Bereichen – Gesellschaft, Wirtschaft und Privatleben – hat die Nutzung und Abhängigkeit von Informationssystemen in den letzten zehn Jahren stark zugenommen. Dass diese Systeme zunehmend vernetzt und grenzüberschreitend sind, haben die EU und viele nationale Regierungen erkannt. Für das Funktionieren der modernen Gesellschaft bilden diese Dienste die Grundlage. Daher ist es unerlässlich, ihre Sicherheit und Zuverlässigkeit zu gewährleisten.
Die EU hat die Richtlinie über die Netz- und Informationssicherheit (NIS-Richtlinie) angesichts der wachsenden und sich verändernden Herausforderungen im Bereich der Cybersicherheit im Januar 2023 aktualisiert. Die Mitgliedstaaten haben bis Oktober 2024 Zeit, um die NIS-Richtlinie 2 in nationales Recht umzusetzen. Betreiber kritischer Dienste in der EU, die in Sektoren wie Gesundheit, Energie, Verkehr, Banken und digitale Infrastruktur tätig sind, müssen höhere Anforderungen an die Cybersicherheit und die Meldung von Vorfällen erfüllen.
Viele Organisationen müssen nun umfassende Risikomanagementverfahren im Bereich der Cybersicherheit einführen. Zu den neuen Verpflichtungen für „kritische“ und „wichtige“ Einrichtungen – die Einstufung hängt von der Größe der Organisation und der Branche ab – gehören das Risiko- und Lieferkettenmanagement, die Meldung von Cybervorfällen und der Informationsaustausch.
Um diesen Anforderungen gerecht zu werden, müssen Unternehmen ihre Cybersicherheitsmaßnahmen ausbauen und neue Richtlinien, Verfahren und Lösungen implementieren. NIS2 verlangt von diesen Organisationen, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit von Netzwerken, Informationssystemen, Lieferketten und Lieferantenbeziehungen zu gewährleisten. Darüber hinaus müssen sie ihre Sicherheitslage regelmäßig überprüfen und verbessern. Zu diesem Zweck empfiehlt NIS2 die Anwendung der folgenden Strategien und Lösungen:
- Verschlüsselung
- Zugangskontrollmanagement
- Netzwerk-Segmentierung
- Multi-Faktor-Authentifizierung
- Kontinuierliche Überwachung
Die Schlüsselrolle von IAM
Identity & Access Management (IAM) ist eine Schlüsselkomponente, um das von NIS2 geforderte Sicherheitsniveau zu erreichen und sicherzustellen, dass Mitarbeitende nur über die Rechte verfügen, die sie benötigen. Warum bieten IAM-Lösungen eine solide Basis, um die von NIS2 geforderten Sicherheitsmaßnahmen umzusetzen und den Schutz von Informationssystemen und Netzwerken zu gewährleisten?
IAM-Lösungen zur Unterstützung der NIS2
Die folgenden von NIS2 geforderten Maßnahmen werden durch IAM-Lösungen abgedeckt:
- Sicherheit der Lieferkette: IAM-Lösungen helfen, den Zugriff Dritter auf kritische Daten und Infrastrukturen zu kontrollieren, so dass der Zugriff nur bei Bedarf gewährt und sofort entzogen wird, wenn er nicht mehr benötigt wird. Zudem werden alle Zugriffe und Aktivitäten protokolliert.
- Cyber-Security-Hygiene: Mit IAM-Lösungen können starke Passwortrichtlinien mit Single Sign-On (SSO) auf allen Geräten durchgesetzt und Security Badges mit Tap und PIN zur Zwei-Faktor-Authentifizierung eingesetzt werden. Dadurch wird auch die Verwendung von gemeinsamen Konten für den Zugriff auf Systeme und Daten überflüssig.
- Personalsicherheit, Zugriffskontrolle, Asset Management: IAM-Lösungen können die Bereitstellung automatisieren, um eine genaue rollenbasierte Zugriffskontrolle (RBAC) für neue Nutzer, bei Rollenwechsel, für Dritte und für Nutzer, die die Organisation verlassen, zu gewährleisten. Sie verringern das Risiko einer schleichenden Rollenerweiterung und ermöglichen die rechtzeitige Deprovisionierung und Einführung eines privilegierten Zugriffsmanagements für interne Nutzer, wodurch Administratorkonten weniger anfällig für Missbrauch werden und eine strenge Verwaltung mobiler Geräte gewährleistet ist.
- Multi-Faktor-Authentifizierung (MFA): Security Badges mit Tap und PIN ermöglichen eine konsistente Multi-Faktor-Authentifizierung (MFA) nach modernen Authentifizierungsstandards wie FIDO (Fast IDentity Online) auf Desktops und mobilen Geräten, um die wachsende Zahl vernetzter Geräte wie medizinische Geräte zu schützen.
IAM-Lösungen erleichtern Compliance und vermeiden Kosten
Durch die Implementierung einer IAM-Strategie werden Unternehmen in die Lage versetzt, die wichtigsten NIS2-Anforderungen an das Identitäts- und Zugriffsmanagement zu erfüllen. Sie können sicherstellen, dass sie über die richtigen Lösungen verfügen, um ihre Systeme bei gleichzeitiger Produktivitätssteigerung abzusichern, gesetzliche und behördliche Auflagen einzuhalten und die erforderliche Dokumentation bereitzustellen.
Die Nichtumsetzung dieser und anderer in NIS2 beschriebenen Protokolle kann teuer werden: Betreiber „wesentlicher“ Anlagen, die die Anforderungen von NIS2 nicht umsetzen, müssen mit einer Höchststrafe von entweder 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes rechnen, bei Betreibern „wichtiger“ Anlagen sind es maximal 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes – ganz zu schweigen von Reputationsschäden und der persönlichen Haftung von Führungskräften, die für Compliance-Verstöße haftbar gemacht werden können.
Darüber hinaus kann das Fehlen angemessener Sicherheitsstandards auch teuer werden, wenn Unternehmen Opfer eines Angriffs werden und Lösegeld zahlen müssen.
Obwohl IAM nur ein Element einer umfassenderen Cyber-Sicherheitsstrategie ist, ist es eine Schlüsselkomponente des koordinierten, ganzheitlichen Ansatzes, den alle Unternehmen bei der Umsetzung der NIS2-Protokolle verfolgen müssen. Da Cyber-Angriffe immer raffinierter werden, bietet die NIS2-Richtlinie Unternehmen einen Weg, sich in der zunehmend komplexen Bedrohungslandschaft zurechtzufinden, wobei IAM-Lösungen ein wichtiges Instrument darstellen.
Autor: Ingo Buck, Regional Manager DACH, Imprivata OGiTiX GmbH