Wie ein Passwort-Manager die NIS2-Konformität ermöglicht

NIS2 ist eine Erweiterung der vorherigen EU-Cybersicherheitsrichtlinie NIS, die 2016 als Anforderungskatalog zur Absicherung von Netzwerk- und Informationssystemen in der EU verabschiedet wurde. NIS2 wurde 2020 eingeführt und trat am 16. Januar 2023 in Kraft.

Die Richtlinie verpflichtet Unternehmen, die als Betreiber wesentlicher Dienste eingestuft werden, geeignete Maßnahmen zur Verbesserung der Cybersicherheit umzusetzen und gesetzliche Verpflichtungen einzuhalten. NIS2 umfasst mehrere Organisationen, die nicht Teil der ursprünglichen Richtlinie waren, und erweitert die betroffenen Sektoren von 7 auf 15, um noch mehr kritische Bereiche zu schützen. Die Liste der unter NIS2 fallenden Einrichtungen umfasst nun:

• Energie

• Gesundheitswesen

• Verkehr

• Finanzwesen

• Wasserversorgung

• Digitale Infrastruktur

• Öffentliche Verwaltung

• Digitale Anbieter

• Postdienste

• Abfallwirtschaft

• Weltraum

• Lebensmittel

• Verarbeitendes Gewerbe

• Chemikalien

• Forschung

Darüber hinaus erhöht NIS2 die Anforderungen an die Durchsetzung der Cybersicherheit, enthält strengere Regeln für die Meldung von Sicherheitsvorfällen und sieht härtere Sanktionen bei Nichteinhaltung vor. Zuständige Behörden spielen eine entscheidende Rolle bei der Überwachung der Konformität und der Erleichterung der Vorfallmeldung in kritischen Sektoren von Wirtschaft und Gesellschaft. Laut der offiziellen Website dauert der typische Prozess zur NIS2-Konformität etwa 12 Monate und umfasst Sicherheitsbewertungen, Audits, Beratung und Tool-Implementierung.

Da die Durchsetzung in der EU inzwischen an Fahrt aufnimmt, stehen Organisationen unter echtem Druck, ihr Cybersicherheitsniveau nachzuweisen. Artikel 21 hat die größte Wirkung, da er sich auf die sichere Verwaltung von Zugangsdaten bezieht – eine Vorgabe, die Auditoren genau prüfen.

Von allen 45 Artikeln der NIS2-Richtlinie ist Artikel 21 derjenige, mit dem die meisten Organisationen die meiste Zeit verbringen werden. Er legt die Mindestmaßnahmen für das Cybersicherheitsrisikomanagement fest, die alle wesentlichen und wichtigen Einrichtungen umsetzen und in der Praxis nachweisen können müssen.

Die Richtlinie verwendet bewusst formulierte Begriffe: Maßnahmen müssen je nach Größe, Risikoexposition sowie Wahrscheinlichkeit und Schwere von Vorfällen „angemessen und verhältnismäßig“ sein. Das ist ergebnisorientiert, nicht präskriptiv.

Artikel 21(2) nennt zehn Mindestmaßnahmen, die jede in den Geltungsbereich fallende Organisation umsetzen muss:

• (a) Risikoanalyse und Richtlinien zur Sicherheit von Informationssystemen

• (b) Bewältigung von Sicherheitsvorfällen

• (c) Business Continuity – Backup-Management und Notfallwiederherstellung

• (d) Sicherheit der Lieferkette

• (e) Sicherheit bei Beschaffung, Entwicklung und Wartung von Netzwerk- und Informationssystemen

• (f) Richtlinien zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen

• (g) Grundlegende Cyberhygienepraktiken und Cybersicherheitsschulungen

• (h) Richtlinien zu Kryptografie und Verschlüsselung

• (i) Personalsicherheit, Richtlinien zur Zugriffskontrolle und Asset-Management

• (j) Multi-Faktor-Authentifizierung oder Lösungen zur kontinuierlichen Authentifizierung

Artikel 21 ist ergebnisorientiert. Das bedeutet, dass Auditoren nicht nur Richtliniendokumente prüfen, sondern verifizieren, ob Kontrollen wirksam umgesetzt und belegt sind. Drei Lücken werden am häufigsten beanstandet:

• Fehlende oder uneinheitlich durchgesetzte MFA

  Eine Richtlinie zur Multi-Faktor-Authentifizierung (MFA) zu haben, ist nicht dasselbe wie MFA tatsächlich durchzusetzen. Auditoren achten auf die Durchsetzung auf Organisationsebene, nicht auf die Nutzung durch einzelne Benutzer.

• Konten mit zu weitreichenden Berechtigungen

  Die Zugriffskontrolle nach Artikel 21(2)(i) setzt voraus, dass das Prinzip der geringsten Rechte angewendet und dokumentiert wird.

• Nicht verwaltete Dienstzugangsdaten

  API-Schlüssel, Passwörter von Dienstkonten und gemeinsam genutzte Zugangsdaten, die außerhalb eines verwalteten Systems liegen, sind ein wiederkehrender Prüfungsbefund.

Der gemeinsame Nenner: Auditoren prüfen, ob Sicherheit als wiederholbarer, nachweisbarer Prozess verwaltet wird.

Das größte Problem der ursprünglichen NIS war, dass sie zu breit angelegt und zu vage war und keine praktikablen Durchsetzungsmöglichkeiten bot.

Bei Nichteinhaltung drohen nun erhebliche Strafen: Wesentliche Einrichtungen müssen mit Geldbußen von bis zu 10 Millionen € oder 2 % des weltweiten Jahresumsatzes rechnen; wichtige Einrichtungen mit bis zu 7 Millionen € oder 1,4 %.

Zu Beginn der COVID-Pandemie stellten viele Unternehmen in der EU auf Remote-Arbeit um, und es wurde schnell deutlich, dass die ursprüngliche NIS ihre erklärten Ziele nicht erreichte.

Prüfer, die die Einhaltung von Artikel 21 überprüfen, lesen Richtliniendokumente nicht isoliert. Sie suchen nach Nachweisen, dass Kontrollen in der gesamten Organisation durchgesetzt, konsistent angewendet und dokumentiert werden. Die drei am häufigsten beanstandeten Lücken – uneinheitliche MFA-Durchsetzung, Konten mit zu weitreichenden Berechtigungen und nicht verwaltete Zugangsdaten – sind auch die Lücken, die ein Passwort-Manager am besten schließen kann.

Bitwarden ermöglicht es Organisationen, die Zwei-Schritt-Anmeldung über Enterprise-Richtlinienkontrollen in der gesamten Organisation vorzuschreiben. Bitwarden lässt sich außerdem in Duo integrieren, um MFA zentral durchzusetzen und zu überwachen. Darüber hinaus enthalten Tresor-Zustandsberichte einen Bericht zu inaktiver 2FA, der alle gespeicherten Zugangsdaten hervorhebt, für die kein TOTP-Seed hinterlegt ist.

Rollenbasierte Zugriffskontrollen, Berechtigungen auf Sammlungsebene und Benutzergruppenrichtlinien ermöglichen es Administratoren, das Least-Privilege-Prinzip auf alle Zugangsdaten in der Organisation anzuwenden. Eigentümer der Organisation können außerdem Sammlungseinstellungen ändern, um den Administratorzugriff auf gemeinsam genutzte Zugangsdaten einzuschränken und sicherzustellen, dass selbst erhöhte Rollen keine pauschale Einsicht in sensible Zugangsdaten haben.

Passwörter von Dienstkonten und gemeinsam genutzte Zugangsdaten, die in Tabellen, E-Mail-Verläufen oder persönlichen Tresoren liegen, sind ein blinder Fleck, nach dem Prüfer gezielt suchen. Bitwarden überführt sie in eine kontrollierte, auditierbare Umgebung, in der der Zugriff gesteuert, protokolliert und widerrufen werden kann. Bitwarden Secrets Manager bringt außerdem zentrale Sicherheitskontrolle für API-Schlüssel.

Die Ereignisprotokolle der Bitwarden-Administratorkonsole erfassen, wer wann und von wo aus auf welche Zugangsdaten zugegriffen hat. Durch Integrationen mit SIEM-Tools oder die Verwendung von API-Schlüsseln können diese Ereignisse zusammen mit anderen Ereignisüberwachungen in der Unternehmensinfrastruktur aufgenommen und verarbeitet werden.

Bitwarden verschlüsselt Daten clientseitig, bevor sie das Gerät des Benutzers verlassen. Die Zero-Knowledge-Architektur und die Open-Source-Codebasis bedeuten, dass die Implementierung der Verschlüsselung unabhängig überprüft werden kann. Die Verschlüsselung ist im Bitwarden-Sicherheits-Whitepaper klar dokumentiert.

Für Organisationen mit strengen Anforderungen an die Datenresidenz bietet Bitwarden einen dedizierten EU-Cloud-Dienst und eine selbst gehostete Bereitstellungsoption, bei der die Daten vollständig in Ihrer eigenen Infrastruktur verbleiben.

Organisationen können Zugangsdaten über die sicheren Freigabefunktionen von Bitwarden Send oder mithilfe von RBAC und der vorübergehenden Aufnahme eines Auftragnehmers mit Lieferanten teilen. Wenn eine Lieferantenbeziehung endet, wird der Zugriff über die Plattform widerrufen.

Ein Passwort-Manager unterstützt direkt eine Sicherheitskultur, indem er starke, einzigartige Passwörter für jeden Benutzer zum Weg des geringsten Widerstands macht. Darüber hinaus erhalten Bitwarden Enterprise-Benutzer auch ein kostenloses Families-Konto, damit sie auch zu Hause gute Sicherheitsgewohnheiten praktizieren können.

Die Durchsetzung von NIS2 beschleunigt sich in der gesamten EU, und Artikel 21 setzt eine klare Messlatte: Kontrollen müssen implementiert, durchgesetzt und nachgewiesen werden. Organisationen, die einer Prüfung standhalten, sind diejenigen, die Aufsichtsbehörden eine dokumentierte und operative Sicherheitslage bis hin zu einzelnen Zugangsdaten vorweisen können.

Bitwarden bietet Organisationen beide Seiten dieser Anforderung. Enterprise-Richtlinienkontrollen setzen MFA, Zugriffsberechtigungen und Least-Privilege-Prinzipien für jeden Benutzer durch. Ereignisprotokolle der Administratorkonsole und SIEM-Integrationen erstellen den Audit-Trail, der belegt, dass diese Kontrollen funktionieren. Und als Open-Source-Plattform mit EU-Cloud und selbst gehosteten Bereitstellungsoptionen unterstützt Bitwarden die Anforderungen von EU-Organisationen an Datensouveränität.

Compliance muss kein langwieriges, teures Infrastrukturprojekt sein. Ein Passwort-Manager ist eine der schnellsten Möglichkeiten, die von Prüfern kontrollierten Lücken bei Zugangsdaten zu schließen und die Nachweisdokumentation aufzubauen, die sie sehen möchten.

Starten Sie noch heute mit einer kostenlosen Bitwarden Business-Testversion.

Was ist NIS2?

NIS2 legt den Schwerpunkt auf Prozesse für das Cybersicherheits-Risikomanagement, die darauf ausgelegt sind, Unternehmen zur Einführung von Maßnahmen zur Verhinderung oder Eindämmung von Cybersicherheitsbedrohungen zu verpflichten. Sie umfasst Risiken und Maßnahmen im Zusammenhang mit KI, einschließlich Cybersicherheitstests, Dokumentation und Minderungsstrategien.

Was ist der Unterschied zwischen NIST und NIS2?

Im Gegensatz zu NIS2 enthält das NIST Cybersecurity Framework keine umsetzbare Liste. Die Verwendung eines NIST-spezifischen Frameworks für Cyberresilienz kann Organisationen dabei helfen, sich effektiv auf die Einhaltung der Informationssicherheitsrichtlinie vorzubereiten.

Was ist der NIS2-Durchführungsrechtsakt?

Die NIS2-Richtlinie umfasst nun mittlere und große öffentliche und private Einrichtungen in weiteren kritischen Sektoren für Cyberresilienz.

Was sind Netzwerk- und Informationssysteme gemäß NIS2?

Als EU-weite Rechtsvorschrift legt NIS2 den Schwerpunkt auf Prozesse für das Cybersicherheits-Risikomanagement, die darauf ausgelegt sind, den Herausforderungen der sich weiterentwickelnden Bedrohungslandschaft im Bereich Cybersicherheit zu begegnen. Die Ausgestaltung verpflichtet Unternehmen, Maßnahmen zur Verhinderung oder Eindämmung von Cybersicherheitsbedrohungen zu ergreifen. Sie umfasst Risiken und Maßnahmen im Zusammenhang mit KI, einschließlich Cybersicherheitstests, Dokumentation und Minderungsstrategien.

NIS2 umfasst deutlich mehr Organisationen, die nicht Teil der ursprünglichen NIS-Richtlinie waren. Dazu gehören Betreiber wesentlicher Dienste in kritischen Sektoren wie Gesundheitswesen, Energie und Verkehr. Die Europäische Union möchte Cybersicherheitsmaßnahmen und -praktiken in ihren Mitgliedstaaten harmonisieren.

Bei der Festlegung der Anforderungen wird außerdem zwischen wesentlichen und wichtigen Einrichtungen unterschieden.