Die entscheidende Rolle von Identitäts- und Zugriffsmanagement So hilft IAM bei der NIS2-Konformität

Anbieter zum Thema

Imprivata, Inc.

Fsas Technologies GmbH

FAST LTA GmbH

FTAPI Software GmbH

Bis zum 18. Oktober 2024 müssen viele Unternehmen und Einrichtungen geeignete Prozesse, Richtlinien und Technologien einführen, um sicherzustellen, dass sie NIS2-konform sind. Aber was bedeutet das eigentlich und für welche Probleme kann IAM eine Lösung sein?

Die Nutzung und die Abhängigkeit von Informationssystemen in allen Bereichen der Gesellschaft, der Wirtschaft und des Privatlebens hat im letzten Jahrzehnt rapide zugenommen. Die EU und viele nationale Regierungen haben die wachsende Abhängigkeit von diesen Netzen und Informationssystemen erkannt, die häufig organisatorische und nationale Grenzen überschreiten. Die von diesen Systemen erbrachten Dienste bilden die Grundlage für das Funktionieren der heutigen Gesellschaft. Die Sicherheit und Zuverlässigkeit dieser Systeme muss daher unbedingt geschützt werden.

Um den wachsenden und sich verändernden Herausforderungen der Cybersicherheit zu begegnen, aktualisierte die EU im Januar 2023 die Richtlinie über Netz- und Informationssysteme (NIS-Richtlinie). Die Mitgliedstaaten müssen die NIS2-Richtlinie bis Oktober 2024 in nationales Recht umsetzen. Betreiber wesentlicher Dienste in den EU-Mitgliedstaaten, die Dienste in kritischen Sektoren wie Gesundheit, Energie, Verkehr, Banken und digitale Infrastruktur bereitstellen, müssen strengere Anforderungen an die Cybersicherheit und die Meldung von Vorfällen erfüllen. Viele Organisationen sind nun verpflichtet, Verfahren für das Risikomanagement im Bereich der Cybersicherheit einzuführen. Zu den neuen Cybersicherheitsverpflichtungen für „wesentliche“ und „wichtige“ Einrichtungen - Bezeichnungen, die auf der Größe der Organisation und der Branche basieren - gehören das Risiko- und Lieferkettenmanagement, die Meldung von Cybervorfällen und der Informationsaustausch. Um diese Anforderungen zu erfüllen, müssen Unternehmen ihren Fokus auf Cybersicherheit vertiefen und erweitern und neue Richtlinien, Verfahren und Lösungen implementieren. NIS2 verlangt von diesen Organisationen, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit von Netzwerken und Informationssystemen sowie von Lieferketten und Lieferantenbeziehungen zu gewährleisten und ihre Sicherheitslage regelmäßig zu bewerten und zu verbessern. Zu diesem Zweck listet NIS2 die folgenden Lösungen und Strategien auf, die Unternehmen anwenden sollten: Verschlüsselung, Zugangskontrollmanagement, Netzwerksegmentierung, Multi-Faktor-Authentifizierung und kontinuierliche Überwachung.

Identity & Access Management (IAM) ist ein wesentlicher Faktor, um das von NIS2 geforderte Sicherheitsniveau zu erreichen und sicherzustellen, dass Mitarbeitende nur über die Rechte verfügen, die sie benötigen. Betrachten wir genauer, warum IAM-Lösungen eine Schlüsselrolle spielen, wenn es darum geht, Unternehmen bei der Einhaltung der Sicherheitsanforderungen zu unterstützen.

IAM-Lösungen zur Unterstützung von NIS2

Folgende von NIS2 geforderte Maßnahmen werden durch IAM-Lösungen abgedeckt:

• Sicherheit der Lieferketten: IAM-Lösungen helfen, den Zugriff Dritter auf kritische Daten und Infrastrukturen zu kontrollieren, so dass der Zugriff nur bei Bedarf gewährt und sofort entzogen wird, wenn er nicht mehr benötigt wird. Darüber hinaus werden alle Zugriffe und Aktivitäten protokolliert.

• Cybersicherheitshygiene: Mit IAM-Lösungen lassen sich starke Passwortrichtlinien mit Single Sign-On (SSO) auf allen Geräten umsetzen und Security Badges mit Tap und PIN für die Zwei-Faktor-Authentifizierung verwenden. Dadurch wird auch die Verwendung allgemeiner Konten für den Zugriff auf Systeme und Daten überflüssig.

• Personalsicherheit, Zugriffskontrolle, Asset Management: IAM-Lösungen können die Bereitstellung automatisieren, um eine genaue rollenbasierte Zugriffskontrolle (RBAC) für neue Nutzer, bei Rollenwechsel, für Dritte und Nutzer, die die Organisation verlassen, zu gewährleisten. Sie verringern das Risiko einer schleichenden Rollenerweiterung und ermöglichen die rechtzeitige Deprovisionierung und Einführung eines privilegierten Zugriffsmanagements für interne Nutzer, wodurch Administratorkonten weniger anfällig für Missbrauch werden und eine strenge Verwaltung mobiler Geräte gewährleistet wird.

• Multi-Faktor-Authentifizierung (MFA): Security Badges mit Tap und PIN ermöglichen eine konsistente Multi-Faktor-Authentifizierung (MFA) gemäß modernen Authentifizierungsstandards wie FIDO (Fast IDentity Online) auf Desktops und mobilen Geräten, um die wachsende Zahl vernetzter Geräte wie medizinische Geräte zu schützen.

Fazit: IAM-Lösungen erleichtern Compliance und vermeiden Kosten

Durch die Implementierung einer IAM-Strategie sind Unternehmen in der Lage, die wichtigsten NIS2-Anforderungen an das Identitäts- und Zugriffsmanagement zu erfüllen. Sie können sicherstellen, dass sie über die richtigen Lösungen verfügen, um ihre Systeme zu sichern und gleichzeitig die Produktivität zu steigern, gesetzliche und behördliche Auflagen zu erfüllen und die erforderliche Dokumentation und Protokollierung bereitzustellen.

Die Nichtumsetzung dieser und anderer in NIS2 beschriebenen Protokolle kann teuer werden: Betreiber „wesentlicher“ Einrichtungen, die die Anforderungen von NIS2 nicht umsetzen, müssen mit einer Höchststrafe von entweder 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes rechnen, bei Betreibern „wichtiger“ Einrichtungen sind es maximal 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes – ganz zu schweigen von Reputationsschäden und der persönlichen Verantwortung von Führungskräften, die für Compliance-Verstöße haftbar gemacht werden können.

Darüber hinaus kann das Fehlen angemessener Sicherheitsstandards auch teuer werden, wenn Unternehmen Opfer eines Angriffs werden und Lösegeld zahlen müssen.

Obwohl IAM nur ein Element einer umfassenderen Cybersicherheitsstrategie ist, ist es eine Schlüsselkomponente des koordinierten, ganzheitlichen Ansatzes, den alle Unternehmen bei der Umsetzung der NIS2-Protokolle verfolgen müssen. Da Cyber-Angriffe immer raffinierter werden, bietet die NIS2-Richtlinie Unternehmen einen Weg, sich in der zunehmend komplexen Bedrohungslandschaft zurechtzufinden, wobei IAM-Lösungen ein wichtiges Instrument darstellen.

Über den Autor: Ingo Buck ist Geschäftsführer der Imprivata OGiTiX GmbH.

(ID:49885691)