7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

11.1. Konzept für die Zugriffskontrolle

11.1.1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe i der Richtlinie (EU) 2022/2555 legen die betreffenden Einrichtungen auf der Grundlage von geschäftlichen Anforderungen sowie Anforderungen an die Sicherheit von Netz- und Informationssystemen Konzepte für die logische und physische Kontrolle des Zugangs zu ihren Netz- und Informationssystemen fest, dokumentieren sie und setzen sie um.


11.1.2. Die in Nummer 11.1.1. genannten Konzepte müssen

a) für den Zugang von Personen, einschließlich Personal, Besuchern und externen Einrichtungen wie Anbietern und Diensteanbietern, gelten;

b) für den Zugang von Netz- und Informationssystemen gelten;

c) sicherstellen, dass der Zugang nur Nutzern gewährt wird, die angemessen authentifiziert wurden.


11.1.3. Die betreffenden Einrichtungen überprüfen die Konzepte in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren sie – soweit angemessen.


Hinweis:

  • Diese, sowie alle anderen Anforderungen, die eine Geschäftsleitung an die IT stellen sollte, können etwa in einer IT-Administrationsrichtlinie zusammengefasst werden. Ein solches Dokument ist als Musterdokument in unserem NIS2-Coaching-Angebot erhältlich.
Stand: 17.10.2024

Ein gut dokumentiertes und implementiertes Konzept für Zugriffskontrollen gewährleistet, dass nur autorisierte Personen und Systeme Zugang zu sensiblen Netz- und Informationssystemen haben. Durch regelmäßige Überprüfungen und Anpassungen erfüllen Organisationen die Anforderungen der NIS2-Richtlinie und stärken ihre Sicherheitsstrategie nachhaltig.

 

Vereinfachte Erklärung der Anforderungen aus 11.1: Konzept für die Zugriffskontrolle

11.1.1 Einführung eines Zugriffskontrollkonzepts

Organisationen müssen Konzepte für die Kontrolle des Zugangs zu ihren Netz- und Informationssystemen entwickeln, dokumentieren und umsetzen.

  • Grundlage: Die Konzepte basieren auf geschäftlichen Anforderungen und den Anforderungen an die Sicherheit der Netz- und Informationssysteme.
  • Kontrollarten: Sowohl logische (digitale) als auch physische Zugriffskontrollen müssen abgedeckt sein.

11.1.2 Anforderungen an das Zugriffskontrollkonzept

Die Konzepte müssen:

a) Personenbezogener Zugang: Für Mitarbeitende, Besucher und externe Einrichtungen wie Anbieter und Dienstleister gelten.

b) Systembezogener Zugang: Auch für Netz- und Informationssysteme gelten, die auf andere Systeme zugreifen.

c) Authentifizierung: Sicherstellen, dass nur Nutzer mit angemessener Authentifizierung Zugang erhalten.


11.1.3 Überprüfung und Aktualisierung

  • Regelmäßige Prüfungen: Die Konzepte müssen regelmäßig auf ihre Aktualität geprüft werden.
  • Anpassung bei Vorfällen: Nach größeren Sicherheitsvorfällen oder wesentlichen Änderungen in den Betriebsabläufen oder Risiken müssen die Konzepte überarbeitet werden.
4o

Fragenkatalog: Konzept für die Zugriffskontrolle

1. Definition und Umsetzung des Konzepts

  • Gibt es ein formal dokumentiertes Konzept für die logische und physische Zugriffskontrolle? (Bezug zu 11.1.1)
  • Wurden bei der Erstellung des Konzepts sowohl geschäftliche Anforderungen als auch Anforderungen an die Sicherheit der Netz- und Informationssysteme berücksichtigt? (Bezug zu 11.1.1)
  • Wie wird sichergestellt, dass das Konzept für die Zugriffskontrolle effektiv umgesetzt wird? (Bezug zu 11.1.1)

2. Geltungsbereich des Konzepts

  • Deckt das Konzept für die Zugriffskontrolle den Zugang von Personen, einschließlich Mitarbeitenden, Besuchern und externen Einrichtungen wie Anbietern und Diensteanbietern, ab? (Bezug zu 11.1.2a)
  • Regelt das Konzept den Zugang von Netz- und Informationssystemen? (Bezug zu 11.1.2b)
  • Welche Maßnahmen wurden implementiert, um sicherzustellen, dass der Zugang nur authentifizierten Nutzern gewährt wird? (Bezug zu 11.1.2c)

3. Überprüfung und Aktualisierung des Konzepts

  • Wird das Konzept für die Zugriffskontrolle regelmäßig in geplanten Zeitabständen überprüft? (Bezug zu 11.1.3)
  • Wie wird sichergestellt, dass das Konzept nach erheblichen Sicherheitsvorfällen, wesentlichen Änderungen der Betriebsabläufe oder neuen Risiken aktualisiert wird? (Bezug zu 11.1.3)
  • Wer ist für die Überprüfung und Aktualisierung des Konzepts verantwortlich? (Bezug zu 11.1.3)

4. Authentifizierung und Zugangskontrollen

  • Welche Authentifizierungsmechanismen werden genutzt, um den Zugang zu Netz- und Informationssystemen zu steuern? (Bezug zu 11.1.2c)
  • Werden mehrstufige Authentifizierungsmechanismen (z. B. Multifaktor-Authentifizierung) eingesetzt? Wenn ja, für welche Arten von Zugang? (Bezug zu 11.1.2c)
  • Wie wird die Einhaltung der festgelegten Authentifizierungsverfahren überwacht? (Bezug zu 11.1.2c)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!