Wie ein Passwort-Manager die NIS2-Compliance ermöglicht

NIS2 ist eine Erweiterung der früheren EU-Cybersicherheitsrichtlinie NIS, die 2016 als Anforderungskatalog zur Absicherung von Netz- und Informationssystemen in der gesamten EU verabschiedet wurde. NIS2 wurde 2020 eingeführt und trat am 16. Januar 2023 in Kraft.

Die Richtlinie verpflichtet Unternehmen, die als Betreiber wesentlicher Dienste eingestuft werden, geeignete Maßnahmen zur Verbesserung der Cybersicherheit umzusetzen und gesetzlichen Pflichten nachzukommen. NIS2 umfasst mehrere Organisationen, die nicht Teil der ursprünglichen Richtlinie waren, und erweitert die betroffenen Sektoren von 7 auf 15, um noch mehr kritische Bereiche zu schützen. Die Liste der unter NIS2 fallenden Einrichtungen umfasst nun:

• Energie

• Gesundheit

• Verkehr

• Finanzen

• Wasserversorgung

• Digitale Infrastruktur

• Öffentliche Verwaltung

• Digitale Anbieter

• Postdienste

• Abfallwirtschaft

• Weltraum

• Lebensmittel

• Verarbeitendes Gewerbe

• Chemikalien

• Forschung

Darüber hinaus verschärft NIS2 die Anforderungen an die Durchsetzung der Cybersicherheit, enthält strengere Regeln für die Meldung von Vorfällen und sieht härtere Sanktionen bei Nichteinhaltung vor. Zuständige Behörden spielen eine zentrale Rolle bei der Überwachung der Compliance und der Erleichterung der Vorfallmeldung in kritischen Sektoren von Wirtschaft und Gesellschaft. Laut offizieller Website dauert der typische NIS2-Compliance-Prozess etwa 12 Monate und umfasst Sicherheitsbewertungen, Audits, Beratung und die Implementierung von Tools.

Da die Durchsetzung in der gesamten EU nun an Fahrt gewinnt, stehen Organisationen unter erheblichem Druck, ihre Cybersicherheitslage nachzuweisen. Artikel 21 hat die größte Auswirkung, da er sich auf die sichere Verwaltung von Zugangsdaten bezieht – eine Vorgabe, die Auditoren besonders genau prüfen.

Von allen 45 Artikeln der NIS2-Richtlinie ist Artikel 21 derjenige, mit dem sich die meisten Organisationen am intensivsten befassen werden. Er legt die Mindestmaßnahmen für das Cybersicherheitsrisikomanagement fest, die alle wesentlichen und wichtigen Einrichtungen umsetzen und in der Praxis nachweisen können müssen.

Die Richtlinie verwendet bewusst formulierte Sprache: Maßnahmen müssen je nach Größe, Risikoexposition sowie Wahrscheinlichkeit und Schwere von Vorfällen der Einrichtung „geeignet und verhältnismäßig“ sein. Der Ansatz ist ergebnisorientiert, nicht vorschreibend.

Artikel 21 Absatz 2 nennt zehn Mindestmaßnahmen, die jede in den Anwendungsbereich fallende Organisation umsetzen muss:

• (a) Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme

• (b) Bewältigung von Sicherheitsvorfällen

• (c) Geschäftskontinuität – Backup-Management und Notfallwiederherstellung

• (d) Sicherheit der Lieferkette

• (e) Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen

• (f) Richtlinien zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen

• (g) Grundlegende Cyberhygienepraktiken und Cybersicherheitsschulungen

• (h) Richtlinien für Kryptografie und Verschlüsselung

• (i) Personalsicherheit, Richtlinien zur Zugriffskontrolle und Asset-Management

• (j) Multi-Faktor-Authentifizierung oder Lösungen für kontinuierliche Authentifizierung

Artikel 21 ist ergebnisorientiert. Das bedeutet, dass Auditoren nicht nur Richtliniendokumente prüfen, sondern auch verifizieren, ob Kontrollen operativ umgesetzt und nachweisbar sind. Drei Lücken werden am häufigsten beanstandet:

• Fehlende oder uneinheitlich durchgesetzte MFA

  Eine Richtlinie zur Multi-Faktor-Authentifizierung (MFA) zu haben, ist nicht dasselbe wie die Durchsetzung von MFA. Auditoren achten auf die Durchsetzung auf Organisationsebene, nicht auf die Einführung durch einzelne Benutzer.

• Konten mit übermäßigen Berechtigungen

  Die Zugriffskontrolle gemäß Artikel 21 Absatz 2 Buchstabe i setzt voraus, dass Least-Privilege-Prinzipien angewendet und dokumentiert werden.

• Nicht verwaltete Dienstzugangsdaten

  API-Schlüssel, Passwörter von Dienstkonten und gemeinsam genutzte Zugangsdaten, die außerhalb eines verwalteten Systems liegen, sind ein wiederkehrender Audit-Befund.

Der rote Faden: Auditoren prüfen, ob Sicherheit als wiederholbarer, nachweisbarer Prozess verwaltet wird.

Das größte Problem der ursprünglichen NIS war, dass sie zu breit gefasst, zu ungenau und nicht praktikabel durchsetzbar war.

Mittlerweile sind die Strafen bei Nichteinhaltung erheblich: Wesentliche Einrichtungen müssen mit Geldbußen von bis zu 10 Millionen € oder 2 % des weltweiten Jahresumsatzes rechnen; bei wichtigen Einrichtungen sind es bis zu 7 Millionen € oder 1,4 %.

In der Anfangszeit von COVID stellten viele Unternehmen in der EU auf Remote-Arbeit um, und es wurde schnell deutlich, dass die ursprüngliche NIS ihre erklärten Ziele nicht wirksam erreichte.

Prüfer, die die Einhaltung von Artikel 21 überprüfen, lesen Richtliniendokumente nicht isoliert. Sie suchen nach Nachweisen, dass Kontrollen in der gesamten Organisation durchgesetzt, konsistent und dokumentiert sind. Die drei am häufigsten beanstandeten Lücken – uneinheitliche MFA-Durchsetzung, überprivilegierte Konten und nicht verwaltete Zugangsdaten – sind zugleich die Lücken, die ein Passwort-Manager am besten schließen kann.

Bitwarden ermöglicht Organisationen, über Enterprise-Richtliniensteuerungen eine Zwei-Schritt-Anmeldung in der gesamten Organisation vorzuschreiben. Bitwarden lässt sich außerdem in Duo integrieren, um MFA zentral durchzusetzen und zu überwachen. Darüber hinaus enthalten Tresor-Zustandsberichte einen Bericht zu inaktiver 2FA der alle gespeicherten Zugangsdaten hervorhebt, bei denen kein TOTP-Seed enthalten ist.

Rollenbasierte Zugriffskontrollen, Berechtigungen auf Sammlungsebene und Benutzergruppen-Richtlinien ermöglichen Administratoren, das Prinzip der geringsten Rechte auf alle Zugangsdaten in der Organisation anzuwenden. Eigentümer einer Organisation können außerdem Sammlungseinstellungen ändern, um den Administratorzugriff auf geteilte Zugangsdaten einzuschränken und sicherzustellen, dass selbst Rollen mit erweiterten Rechten keine pauschale Einsicht in sensible Zugangsdaten haben.

Passwörter von Dienstkonten sowie geteilte Zugangsdaten, die in Tabellen, E-Mail-Verläufen oder persönlichen Tresoren liegen, sind ein blinder Fleck, nach dem Prüfer gezielt suchen. Bitwarden überführt sie in eine geregelte, auditierbare Umgebung, in der der Zugriff kontrolliert, protokolliert und widerrufbar ist. Bitwarden Secrets Manager sorgt außerdem für zentrale Sicherheitskontrollen bei API-Schlüsseln.

Die Ereignisprotokolle der Bitwarden-Admin-Konsole erfassen, wer wann und von wo aus auf welche Zugangsdaten zugegriffen hat. Integrationen mit SIEM-Tools oder die Verwendung von API-Schlüsseln ermöglichen, diese Ereignisse zusammen mit anderer Ereignisüberwachung in der Unternehmensinfrastruktur aufzunehmen und zu verarbeiten.

Bitwarden verschlüsselt Daten clientseitig, bevor sie das Gerät des Benutzers verlassen. Dank der Zero-Knowledge-Architektur und der Open-Source-Codebasis kann die Implementierung der Verschlüsselung unabhängig überprüft werden. Die Verschlüsselung ist im Bitwarden-Sicherheits-Whitepaper.

Für Organisationen mit strengen Anforderungen an die Datenresidenz bietet Bitwarden einen dedizierten EU-Cloud-Dienst und eine selbst gehostete Bereitstellungsoption an, bei der die Daten vollständig in Ihrer eigenen Infrastruktur verbleiben.

Organisationen können Zugangsdaten mit Anbietern über die sicheren Freigabefunktionen von Bitwarden Send teilen oder RBAC nutzen und einen Auftragnehmer vorübergehend aufnehmen. Wenn eine Anbieterbeziehung endet, wird der Zugriff über die Plattform widerrufen.

Ein Passwort-Manager unterstützt direkt eine Sicherheitskultur, indem er starke, einzigartige Passwörter für jeden Benutzer zum Weg des geringsten Widerstands macht. Darüber hinaus erhalten Benutzer von Bitwarden Enterprise auch ein kostenloses Families-Konto, sodass sie auch zu Hause gute Sicherheitsgewohnheiten praktizieren können.

Die Durchsetzung von NIS2 gewinnt in der gesamten EU an Fahrt, und Artikel 21 setzt eine klare Messlatte: Kontrollen müssen implementiert, durchgesetzt und nachgewiesen werden. Organisationen, die einer Audit-Prüfung standhalten, sind diejenigen, die Regulierungsbehörden eine dokumentierte und operative Sicherheitslage nachweisen können – für jeden einzelnen Satz Zugangsdaten.

Bitwarden bietet Organisationen beide Seiten dieser Anforderung. Enterprise-Richtliniensteuerungen setzen MFA, Zugriffsberechtigungen und das Prinzip der geringsten Rechte für jeden Benutzer durch. Ereignisprotokolle der Admin-Konsole und SIEM-Integrationen schaffen den Audit-Trail, der belegt, dass diese Kontrollen funktionieren. Und als Open-Source-Plattform mit EU-Cloud und selbst gehosteten Bereitstellungsoptionen unterstützt Bitwarden die Anforderungen von EU-Organisationen an die Datensouveränität.

Compliance muss kein langwieriges, teures Infrastrukturprojekt sein. Ein Passwort-Manager ist eine der schnellsten Möglichkeiten, die Lücken bei Zugangsdaten zu schließen, nach denen Prüfer suchen, und den Nachweisbestand aufzubauen, den sie einsehen möchten.

Starten Sie noch heute mit einer kostenlosen Bitwarden-Business-Testversion.

Was ist NIS2?

NIS2 legt den Schwerpunkt auf Prozesse für das Risikomanagement im Bereich Cybersicherheit, die Unternehmen dazu verpflichten sollen, Maßnahmen zur Verhinderung oder Minderung von Cybersicherheitsbedrohungen zu ergreifen. Sie deckt Risiken und Maßnahmen im Zusammenhang mit KI ab, einschließlich Cybersicherheitstests, Dokumentation und Minderungsstrategien.

Was ist der Unterschied zwischen NIST und NIS2?

Anders als NIS2 enthält das NIST Cyber Security Framework keine umsetzbare Liste. Die Verwendung eines NIST-spezifischen Frameworks für Cyberresilienz kann Organisationen dabei helfen, sich effektiv auf die Einhaltung der Richtlinie zur Informationssicherheit vorzubereiten.

Was ist der NIS2-Durchführungsrechtsakt?

Die NIS2-Richtlinie umfasst nun mittlere und große öffentliche und private Einrichtungen in zusätzlichen kritischen Sektoren für Cyberresilienz.

Was sind Netzwerk- und Informationssysteme im Rahmen von NIS2?

NIS2 legt als EU-weite Gesetzgebung den Schwerpunkt auf Prozesse für das Risikomanagement im Bereich Cybersicherheit, die auf die Herausforderungen der sich wandelnden Bedrohungslandschaft ausgerichtet sind. Die Konzeption verlangt von Unternehmen, Maßnahmen zur Verhinderung oder Minderung von Cybersicherheitsbedrohungen zu ergreifen. Sie deckt Risiken und Maßnahmen im Zusammenhang mit KI ab, einschließlich Cybersicherheitstests, Dokumentation und Minderungsstrategien.

NIS2 umfasst deutlich mehr Organisationen, die nicht Teil der ursprünglichen NIS-Richtlinie waren. Dazu gehören Betreiber wesentlicher Dienste in kritischen Sektoren wie Gesundheitswesen, Energie und Verkehr. Die Europäische Union zielt darauf ab, Cybersicherheitsmaßnahmen und -praktiken in ihren Mitgliedstaaten zu harmonisieren.

Sie unterscheidet außerdem zwischen wesentlichen und wichtigen Einrichtungen bei der Festlegung von Anforderungen.