7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

11.2. Management von Zugangs- und Zugriffsrechten

11.2.1. Die betreffenden Einrichtungen gewähren, ändern, löschen und dokumentieren Zugangs- und Zugriffsrechte für die Netz- und Informationssysteme im Einklang mit dem in Nummer 11.1 genannten Konzept für die Zugriffskontrolle.


11.2.2. Die betreffenden Einrichtungen

a) gewähren und entziehen Zugangs- und Zugriffsrechte auf der Grundlage

    • des Grundsatzes „Kenntnis nur, wenn nötig“ (Need-to-know),
    • des Grundsatzes der Nutzungsnotwendigkeit (Need-to-use) und des
    • Grundsatzes der Aufgabentrennung;

b) stellen sicher, dass die Zugangs- und Zugriffsrechte bei Beendigung oder Änderung des Beschäftigungsverhältnisses entsprechend geändert werden;

c) stellen sicher, dass der Zugang zu Netz- und Informationssystemen von den einschlägigen Personen genehmigt wird;

d) stellen sicher, dass die Zugangs- und Zugriffsrechte dem Zugang bzw. Zugriff Dritter, wie Besucher, Anbieter und Diensteanbieter, angemessen Rechnung tragen, insbesondere durch Beschränkung der Zugangs- und Zugriffsrechte in Bezug auf Umfang und Dauer;

e) führen ein Register der gewährten Zugangs- und Zugriffsrechte;

f) protokollieren das Management von Zugangs- und Zugriffsrechten.


11.2.3. Die betreffenden Einrichtungen überprüfen die Zugangs- und Zugriffsrechte in geplanten Zeitabständen und ändern sie bei organisatorischen Änderungen. Die betreffenden Einrichtungen dokumentieren die Ergebnisse der Überprüfung, einschließlich der erforderlichen Änderungen der Zugangs- und Zugriffsrechte.


 

Stand: 17.10.2024

Ein strukturiertes Management von Zugangs- und Zugriffsrechten stellt sicher, dass nur autorisierte Personen den benötigten Zugang zu Netz- und Informationssystemen haben. Mit klaren Grundsätzen, regelmäßigen Überprüfungen und einer lückenlosen Dokumentation erfüllen Organisationen die Anforderungen der NIS2-Richtlinie und schützen ihre Systeme effektiv.

Vereinfachte Erklärung der Anforderungen aus 11.2: Management von Zugangs- und Zugriffsrechten

11.2.1 Verwaltung von Zugangsrechten

Organisationen müssen Zugangs- und Zugriffsrechte für Netz- und Informationssysteme im Einklang mit ihrem Zugriffskontrollkonzept (gemäß 11.1) verwalten.

  • Tätigkeiten: Rechte gewähren, ändern, löschen und dokumentieren.

11.2.2 Anforderungen an das Zugriffsmanagement

a) Grundsätze für Zugangsrechte:

  • Need-to-know: Zugang nur zu Informationen, die für die Aufgabe erforderlich sind.
  • Need-to-use: Zugriff nur auf Systeme und Daten, die für die Arbeit benötigt werden.
  • Aufgabentrennung: Sicherstellen, dass keine unzulässigen Berechtigungen durch die Kombination von Rollen entstehen.

b) Beendigung oder Änderung des Arbeitsverhältnisses:

  • Rechte müssen bei Änderungen oder Beendigung des Beschäftigungsverhältnisses angepasst oder entzogen werden.

c) Genehmigungspflicht:

  • Zugang zu Netz- und Informationssystemen muss von berechtigten Personen genehmigt werden.

d) Rechte für Dritte:

  • Zugriffsrechte für Besucher, Anbieter und Dienstleister müssen beschränkt und zeitlich begrenzt sein.

e) Register der Zugriffsrechte:

  • Alle gewährten Rechte müssen in einem Register dokumentiert werden.

f) Protokollierung:

  • Alle Aktivitäten im Zusammenhang mit dem Management von Zugangs- und Zugriffsrechten müssen protokolliert werden.

11.2.3 Überprüfung der Zugriffsrechte

  • Regelmäßige Überprüfungen: Zugangs- und Zugriffsrechte müssen regelmäßig geprüft werden.
  • Änderungen: Rechte müssen bei organisatorischen Änderungen angepasst werden.
  • Dokumentation: Ergebnisse der Überprüfungen und Anpassungen müssen dokumentiert werden.

Fragenkatalog: Management von Zugangs- und Zugriffsrechten

1. Gewährung, Änderung und Löschung von Zugriffsrechten

  • Werden alle Zugangs- und Zugriffsrechte im Einklang mit dem Konzept für die Zugriffskontrolle (siehe Nummer 11.1) gewährt, geändert und gelöscht? (Bezug zu 11.2.1)
  • Gibt es eine dokumentierte und nachvollziehbare Vorgehensweise für die Gewährung, Änderung und Löschung von Zugriffsrechten? (Bezug zu 11.2.1)

2. Grundsätze der Zugriffsvergabe

  1. Werden Zugriffsrechte ausschließlich auf Grundlage der Grundsätze „Kenntnis nur, wenn nötig“ (Need-to-know), „Nutzungsnotwendigkeit“ (Need-to-use) und „Aufgabentrennung“ gewährt? (Bezug zu 11.2.2a)
  2. Wie wird sichergestellt, dass diese Grundsätze bei der Zugriffsvergabe eingehalten werden? (Bezug zu 11.2.2a)

3. Anpassung von Zugriffsrechten bei Änderungen

  • Werden Zugangs- und Zugriffsrechte bei Beendigung oder Änderung des Beschäftigungsverhältnisses unverzüglich angepasst? (Bezug zu 11.2.2b)
  • Wie wird dokumentiert, dass diese Änderungen erfolgt sind? (Bezug zu 11.2.2b)

4. Genehmigung und Kontrolle von Zugängen

  • Wird der Zugang zu Netz- und Informationssystemen von den zuständigen Personen genehmigt? (Bezug zu 11.2.2c)
  • Wie wird dokumentiert, wer Zugangsrechte genehmigt hat? (Bezug zu 11.2.2c)
  • Werden Zugriffsrechte Dritter (z. B. Besucher, Anbieter, Diensteanbieter) in Bezug auf Umfang und Dauer angemessen eingeschränkt? (Bezug zu 11.2.2d)

5. Dokumentation und Protokollierung

  • Wird ein Register über alle gewährten Zugangs- und Zugriffsrechte geführt? (Bezug zu 11.2.2e)
  • Wie wird das Management von Zugangs- und Zugriffsrechten protokolliert? (Bezug zu 11.2.2f)

6. Überprüfung von Zugangsrechten

  • Werden die Zugangs- und Zugriffsrechte in geplanten Zeitabständen überprüft? (Bezug zu 11.2.3)
  • Wie werden organisatorische Änderungen berücksichtigt, und wie werden Zugangsrechte entsprechend angepasst? (Bezug zu 11.2.3)
  • Werden die Ergebnisse der Überprüfung dokumentiert, einschließlich der erforderlichen Änderungen? (Bezug zu 11.2.3)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!