Sie sind hier: Home » Markt » Hinweise & Tipps

NIS2-Richtlinie als nächster Evolutionsschritt


Kritische IGA-Funktionen für die NIS2-Compliance
Eine moderne Identity Governance and Administration (IGA) erweist sich dabei als ein Erfolgsfaktor



Von Dr. Alfons Jakoby, Director, Advisory Practice Manager, Omada

Die NIS2-Richtlinie der Europäischen Union soll den Standard der IT-Sicherheit bei Betreibern kritischer Infrastrukturen (KRITIS) anheben und dem aktuellen und zu erwartenden Gefahrenlevel anpassen. Mit deutlich verschärften Anforderungen und einem erweiterten Anwendungsbereich stellt sie Unternehmen vor handfeste Herausforderungen – eröffnet aber auch neue Chancen.

Eine moderne Identity Governance and Administration (IGA) erweist sich dabei als ein Erfolgsfaktor. Wer die folgenden neun Aspekte betrachtet, versteht schnell, warum ohne leistungsfähige IGA-Lösungen NIS-2 Anforderungen nicht vollständig umgesetzt werden können.

Identity- und Access Management (IAM)
NIS2 folgt dem Grundsatz "Vertrauen ist gut, Kontrolle ist besser" und das durchgängige Management von Zugriffsberechtigungen durch IGA-Lösungen schafft Transparenz und Sicherheit für das Berechtigungswesen. Besonders wertvoll erweist sich dabei die Fähigkeit moderner IGA-Systeme, Zugriffsrechte schnell an organisatorische Veränderungen anzupassen, verwaiste Berechtigungen sofort zu erkennen und Akkumulation nicht benötigter Rechte zu verhindern. Das erhöht die Sicherheit vor Cyberattacken.

Risikomanagement und Governance
NIS2 fordert einen risikobasierten Sicherheitsansatz, um der Vielfalt der möglichen Cyberattacken passende Antworten entgegenzusetzen. Moderne IGA-Systeme liefern hier notwendige, kritische Informationen: Sie ermöglichen eine lückenlose Kontrolle über Benutzerrechte auf sensible Daten und kritische IT-Systeme – der Grundpfeiler jeder effektiven Cybersicherheitsstrategie. Durch die Integration von Risikobewertungen des IGA-Systems in das Sicherheitsrisikomanagement können Unternehmen Bedrohungen umfassend erkennen und neutralisieren, bevor sie sich zu echten Sicherheitsvorfällen entwickeln.

Incident Response
Im Notfall ist Schnelligkeit oberstes Gebot. Die Integration der IGA-Systeme mit SIEM-Systemen ermöglicht schnelle, grundlegende Reaktionen auf Sicherheitsvorfälle wie z.B. Deaktivierung von Accounts als eine Maßnahme. So wird aus einzelnen Sicherheitsmaßnahmen ein schlagkräftiges Ganzes.

Schwachstellen-Management
Vorbeugen ist bekanntlich besser als Nachsorgen und IGA-Systeme setzen genau hier an: Sie erkennen kritische Schwachstellen in Konfigurationen zur Rechtevergabe und erlauben über aktive Dashboards vielfältige Aktionen, bevor Missstände oder Fehler zum Problem werden können. Die dynamische Anpassung von Zugriffsberechtigungen minimiert die Angriffsfläche für Angreifer.

Überwachung und Prüfpfade
Wer hat welche Rechte wann und warum? Diese zentrale Frage beantwortet eine moderne IGA-Lösung präzise und lückenlos. Die entsprechenden Prozesse und Logs machen es nicht nur für Auditoren leichter, die Compliance zu prüfen, sondern sind auch für die eigene Sicherheitsanalyse unverzichtbar. Die granulare Protokollierung ermöglicht es, forensische Analysen nach Sicherheitsvorfällen durchzuführen und ebenso eine Optimierung bevor Sicherheitsvorfälle eintreten. Auch das erfüllt Anforderungen von NIS-2.

Awareness
Die wachsende Cybersecurity Bedrohung erfordert, wie alle anderen Sicherheitsmaßnahmen, immer auch Awarenessmaßnahmen. NIS-2 fordert das ein. Die üblicherweise für IGA durchgeführten Schulungen passen nahtlos als Teilelement in ein Gesamtkonzept.

Reduzierung von Fehlern durch Automatisierung
Die Automatisierung von IGA-Prozessen in modernen IGA-Lösungen minimiert das Risiko manueller Prozesse systematisch und nachhaltig. Intelligente Workflows standardisieren die Prozesse, vereinfachen durch eine rigide Systematik die Fehlerbehebung und stellen zusätzlich sicher, dass Mitarbeiter über Regeln und Rollen nur die Zugriffsrechte erhalten, die sie für ihre aktuelle Position wirklich benötigen – vom ersten Arbeitstag bis zum Ausscheiden aus dem Unternehmen.

Compliance Reporting
Die für Compliance-Treue notwendige Dokumentation findet sich für IGA Systeme in Datenbanken, die Dashboards bedienen, in Logs für die Prozessdurchführungen und weiteren Ablagen. Die IGA-Nachweispflichten sind unabhängig von NIS2, passen aber nahtlos in die NIS2-Anforderungen. Dabei reduziert die automatische Generierung von Compliance-Berichten und Audit-Trails den manuellen Aufwand erheblich und ermöglicht eine kontinuierliche Überwachung der Einhaltung von Richtlinien.

Fazit
Die NIS2-Richtlinie markiert den nächsten Evolutionsschritt in der europäischen Cybersicherheit. Sie erweitert den ursprünglichen Scope von KRITIS auf sehr viel mehr Unternehmen und verschärft die Melde- und Nachweispflichten. Ein gut konfiguriertes IGA-System ist ohne Zusatzaufwände ein maßgeblicher Baustein in der Erfüllung der NIS-2 Anforderungen.

Unternehmen, die jetzt in zukunftsfähige IGA-Systeme investieren, schaffen nicht nur die Grundlage für ihre NIS2-Compliance – sie positionieren sich auch als Vorreiter in Sachen Cybersicherheit. In einer Zeit, in der digitale Bedrohungen täglich zunehmen, könnte diese Investition kaum wichtiger sein. (Omada: ra)

eingetragen: 20.12.24
Newsletterlauf: 13.03.25

Omada Solutions: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Markt / Hinweise & Tipps

  • Compliance, die gelebt wird

    Trotz strikterer Cybersecurity- und Compliance-Vorgaben behandeln viele KMU die Dokumentation ihrer IT-Infrastruktur noch stiefmütterlich. Dabei birgt fehlende oder unvollständige Dokumentation das Risiko von ineffizientem Troubleshooting und teuren Fehlentscheidungen. Ohne verlässliche Informationen zu Netzstrukturen, Systemabhängigkeiten oder Rechten wird jeder Incident zur Blackbox.

  • Echtzeitüberweisungen gemäß IPR

    Zahlungsdienstleister stehen unter Druck: Bis Oktober dieses Jahres müssen sie die Verification of Payee (VOP) umgesetzt haben und die Versendung von Echtzeitüberweisungen (Instant Payments) möglich machen. NTT Data erklärt die größten Hürden - und wie sie bis zur Deadline überwunden werden können.

  • PCI-DSS und Sichtbarkeit

    Als anerkanntes Security Framework ist der Payment-Card-Industry-Data-Security-Standard (kurz: PCI-DSS) für Anbieter von Kreditkartentransaktionen ein absolutes Compliance-Muss. Tiho Saric, Senior Sales Director bei Gigamon, verrät, wie die Einhaltung des Sicherheitsstandards dank Netzwerksichtbarkeit zum Kinderspiel wird.

  • Resilienz kritischer Infrastrukturen stärken

    Mit dem neuen KRITIS-Dachgesetz steht die deutsche Wirtschaft vor einer sicherheitspolitischen Zäsur. Ziel des juristischen Rahmenwerks ist es, die Resilienz kritischer Infrastrukturen zu stärken - und das über alle Sektoren hinweg: von Energie, Wasser und Telekommunikation über Gesundheit und Ernährung bis hin zum Transportwesen. Neben Konzernen geraten nun zunehmend auch mittelständische Betreiber in den Fokus.

  • E-Mails mit geschäftskritischen Inhalten

    Unternehmen, die ein falsches Bild von der grundsätzlichen Aufbewahrung von E-Mails mit geschäftskritischen Inhalten haben, laufen Gefahr, gesetzliche Vorgaben der GoBD oder DSGVO zu missachten. Folglich müssen sie dann mit juristischen und finanziellen Konsequenzen rechnen. Umso erstaunlicher ist es, dass zahlreiche Unternehmen ihrem Schutz noch immer nur wenig Bedeutung beimessen.

Primärer Bedrohungsvektor im Cyberspace CEO-Vortäuschung & KI-gesteuerten Attacken

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen