Der Geltungsbereich der Richtlinie hat sich entscheidend erweitert. Nicht nur Unternehmen der kritischen Infrastruktur sind betroffen, sondern auch "besonders wichtige Einrichtungen" und "wichtige Einrichtungen". Hierzu haben wir bereits in einem separaten Artikel informiert.
Die NIS2-Richtlinie fordert Cyberhygiene und Sicherheit der Lieferkette
Die NIS2-Richtlinie soll das Niveau der Cybersicherheit in der EU maßgeblich erhöhen. Für Unternehmen, die dieser Richtlinie unterliegen, gelten eine Reihe von Mindestanforderungen an die IT-Sicherheit. Bei Verstößen drohen hohe Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes, im schlimmsten Fall sogar der Entzug der Betriebserlaubnis.
NIS2 Mindestanforderung: Cyberhygiene
Neben einem funktionierenden Krisen- und Notfallmanagement sowie geforderten Konzepten zur Risikoanalyse und einer Früherkennung von Schwachstellen wird ein entscheidender Baustein in der Cyberhygiene liegen. In §30, Abs. 2 fordert Punkt 7 als Mindestanforderung "grundlegende Verfahren im Bereich der Cyberhygiene". Die Europäische Kommission empfiehlt hier insbesondere ein vollumfängliches Identity- und Zugriffsmanagement in Unternehmen zu implementieren. Denn es wird entscheidend sein sicherzustellen, dass Mitarbeiter (interne wie externe Dienstleister und Lieferanten) nur die Berechtigungen haben, die sie auch wirklich haben dürfen ("Minimalprinzip"). Und nicht nur die Sicherstellung wird wichtig sein, sondern auch die Nachweisbarkeit und Dokumentation. Access Governance wird somit zur Pflicht, um Regulatorien und Richtlinien einzuhalten, nachzuweisen und kontinuierlich zu dokumentieren. Denn IT-Compliance wird zukünftig deutlich stärker geprüft.
NIS2 Mindestanforderung: Policies
Richtlinien (Policies) sind ein wichtiges Werkzeug, um vorzugeben, ab wann etwas kritisch werden könnte. NIS2 fordert Policies (Richtlinien) explizit als Mindestanforderung. In Richtlinien kann zum Beispiel festgelegt werden, wie viele Benutzerkonten mit Vollzugriff oder wie viele Domänen Admins erlaubt sind und ab wann die Anzahl kritisch wird und überprüft werden soll.
In der IAM-Software daccord werden standardmäßig Richtlinien mit ausgeliefert. Sie geben sogar Handlungsempfehlungen bei Missständen, so dass Sie einfach entscheiden können, wie Sie den Richtlinien-Verstoß beheben möchten. Und natürlich können Sie individuelle Anpassungen vornehmen und selbst vorgeben, ab welcher Größenordnung in Ihrem Unternehmen eine bestimmte Kritikalität erreicht ist.
NIS2 Mindestanforderung: Sicherheit der Lieferkette
Die in §30 Abs. 2, Punkt 4. geforderte Sicherheit der Lieferkette stellt viele Unternehmen in Europa noch vor große Herausforderungen. Gerade im Zuge des vermehrten mobilen Arbeitens ist die Zahl an externen Mitarbeitern, Partnern und Lieferanten in den meisten Unternehmen stark angestiegen. Studien zeigen aber, dass gerade diese Benutzerkonten oft nicht ausreichend geschützt sind und dadurch eine hohe Gefahrenquelle für Cyberangriffe oder Missbrauch darstellen. Oft sind Zugänge nur für eine bestimmte Zeit, z.B. für ein einzelnes Projekt notwendig. Der Entzug der Berechtigungen nach Ablauf des Zeitraums wird aber nicht ausreichend nachgehalten und kontrolliert. Wie kann diese Herausforderung also gelöst werden? Wir empfehlen folgende Vorgehensweise:
- Etablierung eines Rollenmodells
Ein Rollenmodell bringt sofort mehr Ordnung in Ihre Rechtestrukturen. Je nach Rolle im Unternehmen werden bestimmte Berechtigungen vergeben. Ändert sich die Rolle, werden die Berechtigungen verändert, nicht mehr benötigte Berechtigungen gelöscht und/oder neue vergeben. Dies gilt eben auch für zeitlich begrenzte Rollen. Der Rolebuilder führt Sie schnell und einfach durch diesen Prozess und unterstützt Sie auf Basis Ihres Ist-Zustands zu einem Soll-Rollenmodell zu gelangen. - Definition von Verantwortlichkeiten
Haben Sie die Rollen und Funktionen in Ihrem Unternehmen definiert, empfehlen wir dringend, Verantwortlichkeiten festzulegen. Wer ist für welches System zuständig, wer für welche Rolle, etc.? Verlagern Sie Verantwortlichkeiten am besten in Fachabteilungen. Dies entlastet die IT-Abteilung enorm und sie geben denen die Verantwortung, die fachlich die Entscheidungen am besten treffen können. - Rollenbasierte Rezertifizierung
Legen Sie Zyklen fest, in denen die Rollen und damit verbundenen Berechtigungen regelmäßig kontrolliert und von Verantwortlichen rezertifiziert werden. So stellen Sie kontinuierlich sicher, dass die Berechtigungsvergaben noch benötigt werden und dass Ihre Mitarbeiter bestenfalls nur die Berechtigungen haben, die sie auch wirklich benötigen (Need-to-know Prinzip). Eine rollenbasierte Zertifizierung spart nicht nur Zeit, sondern ist letztlich auch die sicherste Form einer nachhaltigen Kontrolle. - Lückenlose Dokumentation
Für Prüfer wird es entscheidend sein, dass Sie nachweisen können, wer wann welche Berechtigung erhalten oder entzogen bekommen hat. Nutzen Sie somit eine Software, die Veränderungen dokumentiert, Ihnen historische Daten liefert und bestenfalls sogar Reports zur Verfügung stellt. Sozusagen ein Nachweis auf Knopfdruck.
Als CISO perfekt für das Audit vorbereitet
Als CISO kennen Sie die gesetzlichen Anforderungen an die IT-Compliance sicher ganz genau. Aber wissen Sie auch, wie Sie mit einer rollenbasierten Rezertifizierung deutlich Zeit, Kosten und Nerven sparen können? Und wie einfach es sein kann, ein eigenes Rollenmodell zu entwickeln?
Unser Erklärfilm zeigt die wesentlichen Vorteile für Sie als CISO. Schauen Sie doch mal rein!
Access Governance als wesentlicher Baustein
Unsere Access Governance Software daccord erfüllt wesentliche Anforderungen von NIS2 im Hinblick auf die Kontrolle der Zugriffsberechtigungen Ihrer Mitarbeiter. Es ist davon auszugehen, dass Access Governance ein wesentlicher Baustein sein wird, um die Anforderungen von NIS2 zu erfüllen. Eine kontinuierliche, rollenbasierte Rezertifizierung von Berechtigungen minimiert Risiken im Hinblick auf einen möglichen Missbrauch oder auf Cyberangriffe.
Können Sie schon sicherstellen, dass nur die Mitarbeiter Zugriff auf wesentliche Informationen haben, die es im Sinne des Need-to-know Prinzips auch dürten?