Meldepflichten, Sektoren, Geldbußen: Was ist neu in NIS2

Mit der Einführung von NIS2, will die Europäische Union die Meldung von Sicherheitsvorfällen und die Reaktion darauf stärken und den Informationsaustausch zwischen den Beteiligten verbessern. Dazu wurde mit dem European Cyber Crises Liaison Organisation Network, kurz EU-CyCLONe[i], eine neue Stelle für das Krisenmanagement bei großen Sicherheitsvorfällen eingerichtet. Ferner gelten neue Meldepflichten, die sicherstellen, dass Vorfälle bereits in einem sehr frühen Stadium gemeldet und damit kontrolliert werden. So müssen Unternehmen entsprechende Stellen bereits innerhalb von 24 Stunden nach Bekanntwerden eines Vorfalls benachrichtigen und innerhalb von 72 Stunden eine Folgemeldung mit aktualisierten Informationen abgeben.

Darüber hinaus erweitert NIS2 die Liste der kritischen Sektoren, die gegen Bedrohungen für Netz- und Informationssysteme geschützt werden müssen. So fallen ab 2024 Unternehmen in 18 Sektoren[ii] ab 50 Mitarbeitern und zehn Millionen Euro Umsatz in den Geltungsbereich der Richtlinie, wobei Sektoren wie Abwasser und Lebensmittel nun neu hinzugekommen sind.

Mit NIS2 werden auch eine Reihe von Geldbußen eingeführt, die gegen Unternehmen verhängt werden, die gegen die Vorschriften verstoßen. Die maximale Geldbuße für als „wesentlich“ eingestufte Einrichtungen beträgt dabei mindestens 10.000.000 Euro bzw. 2 Prozent des gesamten im vorangegangenen Geschäftsjahr weltweit erzielten Jahresumsatzes. Als „wichtig“ eingestuften Einrichtungen droht nun eine maximale Geldbuße in Höhe von mindestens 7.000.000 Euro oder 1,4 Prozent des gesamten Jahresumsatzes.

Cyberhygiene gemäß NIS2

Gemäß NIS2 ist eine umfassenden Cyberhygiene die Grundlage für eine effektive Absicherung von Netzwerken, Systeminfrastrukturen, Hardware, Software, Anwendungen sowie Geschäfts- und Endnutzerdaten, weshalb die Umsetzung der entsprechenden Maßnahmen von der Agentur der Europäischen Union für Cybersicherheit (ENISA) überwacht und analysiert wird. Eine wichtige Rolle spielt dabei das Identitäts- und Zugriffsmanagement, für das die NIS2-Direktive einheitliche Anforderungen definiert hat. So verlangt NIS2 von Unternehmen das Einführen und Umsetzen von Richtlinien für das Passwort-, Identitäts- und Zugriffsmanagement sowie für die Anwendungskontrolle. Dies stellt die IT- und Security-Verantwortlichen bisweilen vor Herausforderungen, kann durch den Einsatz moderner PAM-Lösungen jedoch nachhaltig unterstützt werden.

Wie PAM hilft, die Anforderungen an das Identitäts- und Zugriffsmanagement zu erfüllen

Passwortmanagement:

Moderne PAM-Lösungen bieten ein umfangreiches Passwortmanagement, das Passwörter automatisch rotiert, und zwar je nach Bedarf, d.h. etwa gemäß einem zuvor festgelegten Zeitplan oder nach einem bestimmten Ereignis (etwa dem Login). Veraltete oder kontoübergreifende Passwörter werden so eliminiert und eine benutzerdefinierte Passwortqualität gewährleistet. Darüber hinaus werden sämtliche verwaltete Passwörter sicher in einem verschlüsselten Tresor gespeichert.

Anwendungsmanagement:

Auch das Anwendungsmanagement profitiert von modernem PAM, indem es Regeln und Richtlinien festlegt, Administratoren Just-in-Time-Zugriff gewährt und den IT- und Sicherheitsteam ein ausführliches Reporting, Audit-Funktionen sowie eine Sitzungsaufzeichnung zur Überwachung der Benutzeraktivitäten bietet. Nicht selten können unbekannte Anwendungen auch in einer Sandbox untersucht und anschließend zu Access- bzw. Deny-Listen hinzugefügt werden.

Zero-Trust und Least Privilege:

PAM stellt sicher, dass nur autorisierte Benutzer Zugriff auf privilegierte Konten und sensible Daten haben und folgt damit einem Zero-Trust-Ansatz, der verlangt, dass sowohl Benutzern als auch Geräten und Anwendungen grundsätzlich misstraut werden muss. Dabei setzten PAM-Lösungen auf das Least-Privilege-Prinzip, das Benutzern standardmäßig nur ein Minimum an Berechtigungen zugesteht und auf Just-in-Time-Berechtigungen für einen granularen, zeitlich begrenzten Zugriff auf Server, Datenbanken, Anwendungen und Workstations setzt. Dies stellt sicher, dass Benutzer privilegierte Anwendungen, wie die Installation von Software oder die Durchführung von Konfigurationsänderungen, nur bei Bedarf und nach vorheriger Genehmigung ausführen können.

Zugriffsmanagement:

Viele PAM-Lösungen unterstützen eine Multi-Faktor-Authentifizierung (MFA), etwa in Form von Drittanbieter-Authentifikatoren, und sorgen so dafür, dass Cyberkriminelle und böswillige Insider selbst im Fall, dass sie sich Zugang zu einem Passwort verschaffen konnten, nicht auf sensible Ressourcen zugreifen können.

Automatisierung

Automatisierung spielt für die Effektivität von Cybersicherheit eine entscheidende Rolle, auch im PAM. Vor allem moderne Lösungen sind heutzutage in der Lage, die Rolle der IT-Administratoren zu automatisieren, indem sie eine zentrale Kontrolle und Verwaltung privilegierter Zugriffe im gesamten Unternehmen ermöglichen. So können Administratoren Zugriffsrichtlinien und -regeln festlegen und ihre Durchsetzung dann bequem automatisieren. Dazu gehören die automatische Rotation von Passwörtern und die Erhöhung von Berechtigungen für bestimmte Anwendungen und Befehle. Darüber hinaus können auch Reporting, Audit-Funktionen und Sitzungsaufzeichnung automatisiert werden, was es IT-Administratoren ermöglicht, die Benutzeraktivitäten ohne zeitaufwändiges manuelles Eingreifen zu verfolgen und potenzielle Bedrohungen in Echtzeit zu erkennen und einzudämmen – auch in Zeiten von Personalknappheit.

Spätestens am 17. Oktober 2024 muss die Umsetzung von NIS2 gemäß nationalem Recht erfolgt und Cybersicherheitsstrategien angepasst sein. Bedenkt man, wie viel Zeit für die Planung, Implementierung und Erprobung neuer Tools, Richtlinien und Verfahren eingeplant werden muss, sollte man lieber früher als später damit beginnen.

[i] https://www.enisa.europa.eu/news/enisa-news/eu-member-states-test-rapid-cyber-crisis-management
[ii] https://www.openkritis.de/it-sicherheitsgesetz/eu-nis-2-sektoren-rce-cer.html