Der Countdown läuft für die Keyfactor Tech Days | Sichern Sie sich noch heute Ihren Platz!

  • Startseite
  • Blog
  • PKI
  • Wichtige Cybersicherheitsanforderungen für NIS2: Zertifikatsverwaltung und PKI

Wichtige Cybersicherheitsanforderungen für NIS2: Zertifikatsverwaltung und PKI

PKI

Cybersicherheit hat heute für jeden Einzelnen und jede Organisation höchste Priorität. Und mit der zunehmenden Digitalisierung steigt auch die Bedrohung durch Cyberangriffe - die Einhaltung von Sicherheitsvorschriften ist daher wichtiger denn je.

Vor diesem Hintergrund müssen die Unternehmen beginnen Vorbereitung auf NIS2vorbereiten, einem aktualisierten Rahmen der Europäischen Union, der die Sicherheit und Widerstandsfähigkeit kritischer Infrastrukturen weiter verbessern soll.

Zur Unterstützung von Sicherheitsteams bei NIS2-Konformitätführte Keyfactor kürzlich ein Webinar durch, das sich auf die Stärkung der Cybersicherheit durch robustes Zertifikatsmanagement und Public Key Infrastructure (PKI) konzentrierte. Wir haben insbesondere die erweiterte Definition von kritischen Infrastrukturen im Rahmen der NIS2-Richtlinie und die wichtigsten Cybersicherheitsanforderungen für die Einhaltung der Vorschriften erörtert, sowie die Bedeutung von PKI und digitalen Zertifikaten für die Schaffung von Vertrauen und sicherer Kommunikation und die Rolle des Zertifikatsmanagements und der PKI-Sicherheit bei der Einhaltung der Vorschriften und der Stärkung des Schutzes vor Cyberbedrohungen.

Lesen Sie weiter, um eine Zusammenfassung unserer Diskussion zu erhalten, oder klicken Sie hier, um das gesamte Webinar anzusehen.

Eine Einführung in NIS2

Wir erleben mehr Cyber-Vorfälle als je zuvorund die Arten von Bedrohungen entwickeln sich ständig weiter. In diesem Umfeld müssen Unternehmen aller Art darauf vorbereitet sein, Risiken effizient zu managen und Informationen über potenzielle Vorfälle auszutauschen, um eine angemessene Reaktion zu gewährleisten.

Die NIS2-Richtlinie trägt dieser Entwicklung Rechnung, und da die Frist für die Umsetzung durch die EU-Mitgliedstaaten im September 2024 abläuft, müssen Unternehmen mit der Planung und Budgetierung beginnen, um ihre Sicherheitspraktiken entsprechend anzupassen. Hier finden Sie einen Überblick über das, was Sie wissen müssen, um loszulegen:

Wie verbessert und erweitert NIS2 die NIS1?

In den fast sieben Jahren seit Inkrafttreten der NIS1 haben globale Ereignisse wie COVID, Unterbrechungen der Lieferkette und geopolitische Veränderungen Schwachstellen in der Sicherheit aufgezeigt, die zu einer steigenden Zahl von Vorfällen geführt haben. Darüber hinaus gab es große Unterschiede in der Art und Weise, wie die EU-Mitgliedstaaten die NIS1 umsetzten, was zu Verwirrung führte, insbesondere aufgrund mangelnder Klarheit über die erforderlichen Schwellenwerte für die Einhaltung.

Mit NIS2 sollen diese Probleme gelöst werden. Insbesondere hat die NIS2 bereits zu einer stärkeren Zusammenarbeit zwischen den Mitgliedstaaten geführt, sie umfasst mehr Sektoren, um den Erfassungsbereich auf etwa 20 Mal mehr Organisationen als die NIS1 auszudehnen, und sie verfolgt bei der Durchsetzung einen "Zuckerbrot-und-Peitsche"-Ansatz, ähnlich wie die DSGVO, indem sie mehr Strafmaßnahmen für die Nichteinhaltung einführt.

Wer sollte sich für NIS2 interessieren?

NIS2 betrifft alle Einrichtungen, die wesentliche oder wichtige Dienstleistungen für die europäische Wirtschaft und Gesellschaft erbringen, einschließlich Unternehmen und Zulieferer. Zu den von NIS2 erfassten Sektoren gehören "wichtige Einrichtungen" und "wesentliche Einrichtungen". Unverzichtbare Einrichtungen sind z. B. Unternehmen des Gesundheitswesens, der Energiewirtschaft und des Verkehrssektors, für die eine Unterbrechung der Dienste schwerwiegende Folgen für die Gesellschaft oder die Wirtschaft haben könnte. Zu den wichtigen Einrichtungen gehören Produktionsunternehmen, Postdienste, die Abfallwirtschaft und digitale Anbieter wie Suchmaschinen, soziale Netzwerke und Online-Marktplätze.

Obwohl die NIS2 beide Arten von Sektoren abdeckt, unterscheiden sich die Anforderungen an die Einhaltung der Vorschriften für beide. Wesentliche Unternehmen müssen beispielsweise regelmäßiger Audits durchführen als wichtige Unternehmen. Aber auch kleinere Unternehmen sind nicht zwangsläufig ausgeschlossen, da die Mitgliedstaaten bestimmte Anforderungen in ihrem Zuständigkeitsbereich aktualisieren können, z. B. indem sie mehr Audits von Anbietern staatlicher Dienstleistungen verlangen.

Wie sieht es mit open-source aus?

NIS2 erkennt den Wert von open-source Cybersecurity-Tools und -Standards an, insbesondere wenn es darum geht, die Kosten für kleine und mittlere Unternehmen zu minimieren. Allerdings verlangt die Richtlinie, dass Organisationen, die diese open-source Lösungen nutzen, diese auch nachhaltig einsetzen. 

So heißt es beispielsweise in Erwägungsgrund 52: "Open-source Cybersecurity-Werkzeuge und -Anwendungen können zu einem höheren Grad an Offenheit beitragen und sich positiv auf die Effizienz der industriellen Innovation auswirken. Offene Standards erleichtern die Interoperabilität zwischen Sicherheitswerkzeugen, was der Sicherheit der industriellen Akteure zugute kommt".

Wie fügt sich NIS2 in das Gesamtbild der Cybersicherheit ein?

NIS2 ist eine von vielen Richtlinien, Normen und Vorschriften, die weltweit und oft in Kombination mit anderen angewendet werden. Die genauen Standards, die für jedes Unternehmen gelten, hängen u. a. von der Branche und der geografischen Lage ab, aber es ist wichtig, diese globalen Anforderungen zu kennen. Generell kommen wir in eine Zeit, in der Unternehmen ein größeres Bewusstsein und eine bessere Umsetzung von Cybersicherheits- und Risikomanagementrichtlinien brauchen.

Vorbereitung auf die NIS2: Was die betroffenen Einrichtungen jetzt tun müssen

Es ist wichtig, jetzt mit der Planung und Budgetierung für NIS2 zu beginnen, da die Einhaltung der neuen Richtlinie je nach Sektor, Geografie und Einhaltung anderer Standards, einschließlich NIS1, eine Erhöhung des Budgets um bis zu 10-20 % erfordern könnte.

Was genau beinhaltet die Einhaltung der Vorschriften? Auf höchster Ebene müssen die Unternehmen "geeignete und verhältnismäßige technische und betriebliche Maßnahmen ergreifen". Damit wird der Tatsache Rechnung getragen, dass ein Vorfall, der sich auf bestimmte Organisationen auswirkt, einen Lawineneffekt haben könnte, der andere Unternehmen oder die Gesellschaft im Allgemeinen stark beeinträchtigt. Folglich müssen Organisationen - insbesondere solche, die als wichtige Einrichtungen gelten - ihre Sicherheitsmaßnahmen mit Blick auf diese nachgelagerten Auswirkungen vorbereiten. 

Um damit zu beginnen, müssen die Unternehmen zwei entscheidende Schritte unternehmen:

  • Selbstbeurteilung: Eine Selbsteinschätzung ist für jede Art von Sicherheitskonformität wichtig. Bei dieser Bewertung sollten potenzielle Risiken und Reaktionsmaßnahmen überprüft werden, so dass die Teammitglieder Schritte zur proaktiven Risikominderung unternehmen und sicherstellen können, dass geeignete Reaktionsprotokolle vorhanden sind. Diese Schritte tragen dazu bei, Teams besser vorzubereiten, Risiken zu verringern und die Geschäftskontinuität zu gewährleisten, wenn es zu einem Zwischenfall kommt.
  • Berichterstattung: Die Anforderungen an die Berichterstattung in NIS2 sind viel strenger als die in NIS1 und verlangen von den Unternehmen, dass sie jederzeit einen aktuellen Status der Einhaltung der Vorschriften haben. Dies erfordert ein tiefgreifendes Verständnis der Verfahren zur Meldung von Vorfällen und zur Aufrechterhaltung des Geschäftsbetriebs sowie eine hohe Transparenz im gesamten Unternehmen, d. h. eine einfache Tabelle reicht nicht aus. Darüber hinaus ist es wichtig zu wissen, dass die Führungsebene und der Vorstand direkt für diese Berichterstattung verantwortlich sind, was die Schulung zu den Protokollen ebenso wichtig macht.

Insgesamt bietet die Vorbereitung auf die NIS2-Konformität eine hervorragende Gelegenheit, alle bestehenden Technologien zu aktualisieren, da instabile Infrastrukturen wahrscheinlich nicht das erforderliche Maß an Geschäftskontinuität bieten. In vielen Fällen werden Unternehmen feststellen, dass die Auslagerung bestimmter Supportleistungen mehr Fachwissen und Übersicht bietet, als sie intern bereitstellen können.

Das Gesamtbild verstehen: Wo PKI und Zertifikatsmanagement in die NIS2-Konformität passen

PKI und Zertifikatsmanagement sind für Unternehmen besonders wichtig, wenn es um die Einhaltung von NIS2 geht. Denn die neue Richtlinie verlangt von Unternehmen die Einführung von Zero-Trust-Prinzipien (z. B. durch Multi-Faktor-Authentifizierung), regelmäßige software Updates, Netzwerksegmentierung, Identitäts- und Zugriffsmanagement, Code Signing und vieles mehr einführen müssen - all dies beruht auf PKI und erfordert ordnungsgemäße Zertifikatsverwaltung um richtig zu sein.

Wichtig ist, dass die Unternehmen proaktiv in die richtige Infrastruktur investieren und nicht warten, bis ein Problem auftritt. Diese Infrastruktur muss widerstandsfähig und skalierbar sein, um das erforderliche Maß an Geschäftskontinuität zu gewährleisten. Außerdem muss sie ein hohes Maß an Transparenz und Flexibilität bieten, um die gesamte Identitätslandschaft zu verstehen und bei Bedarf neue Zertifikate auszustellen.

Organisationen sollten sich zunächst auf drei Hauptbereiche konzentrieren:

  • Machen Sie eine Bestandsaufnahme: Führen Sie eine Bestandsaufnahme aller Dienste und Identitäten durch, um sicherzustellen, dass alle identifiziert sind und die Vorschriften eingehalten werden. Ergreifen Sie bei Bedarf Maßnahmen zur Verbesserung der Sichtbarkeit und Konformität.
  • Überprüfen Sie die Dienste: Stellen Sie sicher, dass die Dienste nicht überlastet werden. Oftmals nutzen Unternehmen dieselbe Infrastruktur für zwei verschiedene Zwecke (z. B. externe und interne Anforderungen), was sich langfristig nicht bewährt und mehr Möglichkeiten für Risiken schafft.
  • Einführung der Automatisierung des Lebenszyklus von Zertifikaten: Richtig Automatisierung des Lebenszyklus von Zertifikaten kann dazu beitragen, Ausfälle zu vermeiden und so die Geschäftskontinuität zu gewährleisten. Die Automatisierung des Lebenszyklus von Zertifikaten ermöglicht es Teams, den Überblick über die ausgestellten Zertifikate zu behalten und sie bei Bedarf einfach zu ersetzen, sei es, weil sie ablaufen oder nicht mehr vertrauenswürdig sind.

NIS2 steht vor der Tür: Ist Ihr Team vorbereitet?

Die Durchsetzung von NIS2 steht vor der Tür, und jetzt ist es an der Zeit, Maßnahmen zu ergreifen. Die neue Richtlinie verbessert und erweitert die NIS1, so dass selbst Organisationen, die die ursprüngliche Richtlinie bereits einhalten, Aktualisierungen vornehmen müssen.

Die Einhaltung von NIS2 sollte nicht auf die leichte Schulter genommen werden, und die Suche nach den richtigen Partnern kann den entscheidenden Unterschied ausmachen, wenn es darum geht, Risiken zu verringern und Strafen zu vermeiden.

Für einen tieferen Einblick in die Materie, sehen Sie sich hier unser vollständiges Webinar mit den Cybersecurity-Experten von Keyfactoran.