11.2. Management von Zugangs- und Zugriffsrechten
11.2.1. Die betreffenden Einrichtungen gewähren, ändern, löschen und dokumentieren Zugangs- und Zugriffsrechte für die Netz- und Informationssysteme im Einklang mit dem in Nummer 11.1 genannten Konzept für die Zugriffskontrolle.
11.2.2. Die betreffenden Einrichtungen
a) gewähren und entziehen Zugangs- und Zugriffsrechte auf der Grundlage
-
- des Grundsatzes „Kenntnis nur, wenn nötig“ (Need-to-know),
- des Grundsatzes der Nutzungsnotwendigkeit (Need-to-use) und des
- Grundsatzes der Aufgabentrennung;
b) stellen sicher, dass die Zugangs- und Zugriffsrechte bei Beendigung oder Änderung des Beschäftigungsverhältnisses entsprechend geändert werden;
c) stellen sicher, dass der Zugang zu Netz- und Informationssystemen von den einschlägigen Personen genehmigt wird;
d) stellen sicher, dass die Zugangs- und Zugriffsrechte dem Zugang bzw. Zugriff Dritter, wie Besucher, Anbieter und Diensteanbieter, angemessen Rechnung tragen, insbesondere durch Beschränkung der Zugangs- und Zugriffsrechte in Bezug auf Umfang und Dauer;
e) führen ein Register der gewährten Zugangs- und Zugriffsrechte;
f) protokollieren das Management von Zugangs- und Zugriffsrechten.
11.2.3. Die betreffenden Einrichtungen überprüfen die Zugangs- und Zugriffsrechte in geplanten Zeitabständen und ändern sie bei organisatorischen Änderungen. Die betreffenden Einrichtungen dokumentieren die Ergebnisse der Überprüfung, einschließlich der erforderlichen Änderungen der Zugangs- und Zugriffsrechte.
Ein strukturiertes Management von Zugangs- und Zugriffsrechten stellt sicher, dass nur autorisierte Personen den benötigten Zugang zu Netz- und Informationssystemen haben. Mit klaren Grundsätzen, regelmäßigen Überprüfungen und einer lückenlosen Dokumentation erfüllen Organisationen die Anforderungen der NIS2-Richtlinie und schützen ihre Systeme effektiv.
Vereinfachte Erklärung der Anforderungen aus 11.2: Management von Zugangs- und Zugriffsrechten
11.2.1 Verwaltung von Zugangsrechten
Organisationen müssen Zugangs- und Zugriffsrechte für Netz- und Informationssysteme im Einklang mit ihrem Zugriffskontrollkonzept (gemäß 11.1) verwalten.
- Tätigkeiten: Rechte gewähren, ändern, löschen und dokumentieren.
11.2.2 Anforderungen an das Zugriffsmanagement
a) Grundsätze für Zugangsrechte:
- Need-to-know: Zugang nur zu Informationen, die für die Aufgabe erforderlich sind.
- Need-to-use: Zugriff nur auf Systeme und Daten, die für die Arbeit benötigt werden.
- Aufgabentrennung: Sicherstellen, dass keine unzulässigen Berechtigungen durch die Kombination von Rollen entstehen.
b) Beendigung oder Änderung des Arbeitsverhältnisses:
- Rechte müssen bei Änderungen oder Beendigung des Beschäftigungsverhältnisses angepasst oder entzogen werden.
c) Genehmigungspflicht:
- Zugang zu Netz- und Informationssystemen muss von berechtigten Personen genehmigt werden.
d) Rechte für Dritte:
- Zugriffsrechte für Besucher, Anbieter und Dienstleister müssen beschränkt und zeitlich begrenzt sein.
e) Register der Zugriffsrechte:
- Alle gewährten Rechte müssen in einem Register dokumentiert werden.
f) Protokollierung:
- Alle Aktivitäten im Zusammenhang mit dem Management von Zugangs- und Zugriffsrechten müssen protokolliert werden.
11.2.3 Überprüfung der Zugriffsrechte
- Regelmäßige Überprüfungen: Zugangs- und Zugriffsrechte müssen regelmäßig geprüft werden.
- Änderungen: Rechte müssen bei organisatorischen Änderungen angepasst werden.
- Dokumentation: Ergebnisse der Überprüfungen und Anpassungen müssen dokumentiert werden.
Fragenkatalog: Management von Zugangs- und Zugriffsrechten
1. Gewährung, Änderung und Löschung von Zugriffsrechten
- Werden alle Zugangs- und Zugriffsrechte im Einklang mit dem Konzept für die Zugriffskontrolle (siehe Nummer 11.1) gewährt, geändert und gelöscht? (Bezug zu 11.2.1)
- Gibt es eine dokumentierte und nachvollziehbare Vorgehensweise für die Gewährung, Änderung und Löschung von Zugriffsrechten? (Bezug zu 11.2.1)
2. Grundsätze der Zugriffsvergabe
- Werden Zugriffsrechte ausschließlich auf Grundlage der Grundsätze „Kenntnis nur, wenn nötig“ (Need-to-know), „Nutzungsnotwendigkeit“ (Need-to-use) und „Aufgabentrennung“ gewährt? (Bezug zu 11.2.2a)
- Wie wird sichergestellt, dass diese Grundsätze bei der Zugriffsvergabe eingehalten werden? (Bezug zu 11.2.2a)
3. Anpassung von Zugriffsrechten bei Änderungen
- Werden Zugangs- und Zugriffsrechte bei Beendigung oder Änderung des Beschäftigungsverhältnisses unverzüglich angepasst? (Bezug zu 11.2.2b)
- Wie wird dokumentiert, dass diese Änderungen erfolgt sind? (Bezug zu 11.2.2b)
4. Genehmigung und Kontrolle von Zugängen
- Wird der Zugang zu Netz- und Informationssystemen von den zuständigen Personen genehmigt? (Bezug zu 11.2.2c)
- Wie wird dokumentiert, wer Zugangsrechte genehmigt hat? (Bezug zu 11.2.2c)
- Werden Zugriffsrechte Dritter (z. B. Besucher, Anbieter, Diensteanbieter) in Bezug auf Umfang und Dauer angemessen eingeschränkt? (Bezug zu 11.2.2d)
5. Dokumentation und Protokollierung
- Wird ein Register über alle gewährten Zugangs- und Zugriffsrechte geführt? (Bezug zu 11.2.2e)
- Wie wird das Management von Zugangs- und Zugriffsrechten protokolliert? (Bezug zu 11.2.2f)
6. Überprüfung von Zugangsrechten
- Werden die Zugangs- und Zugriffsrechte in geplanten Zeitabständen überprüft? (Bezug zu 11.2.3)
- Wie werden organisatorische Änderungen berücksichtigt, und wie werden Zugangsrechte entsprechend angepasst? (Bezug zu 11.2.3)
- Werden die Ergebnisse der Überprüfung dokumentiert, einschließlich der erforderlichen Änderungen? (Bezug zu 11.2.3)
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!