11.5. Identifizierung
11.5.1. Die betreffenden Einrichtungen verwalten den gesamten Lebenszyklus der Identitäten (Kennungen) der Netz- und Informationssysteme und ihrer Nutzer.
11.5.2. Für diese Zwecke müssen die betreffenden Einrichtungen
a) eindeutige Kennungen für die Netz- und Informationssysteme und deren Nutzer einrichten;
b) die Nutzerkennung mit einer einzigen Person verknüpfen;
c) die Überwachung der Kennungen der Netz- und Informationssysteme sicherstellen;
d) das Management von Identitäten (Kennungen) protokollieren.
11.5.3. Die betreffenden Einrichtungen genehmigen Kennungen, die mehreren Personen zugewiesen wurden, wie z. B. gemeinsame Kennungen, nur dann, wenn sie aus geschäftlichen oder operativen Gründen erforderlich sind, einem ausdrücklichen Genehmigungsverfahren unterliegen und dokumentiert werden.
Die betreffenden Einrichtungen berücksichtigen Kennungen, die mehreren Personen im Rahmen des in Nummer 2.1 genannten Rahmens für das Risikomanagement im Bereich der Cybersicherheit zugewiesen wurden.
11.5.4. Die betreffenden Einrichtungen überprüfen regelmäßig die Kennungen der Netz- und Informationssysteme und ihrer Nutzer und deaktivieren sie unverzüglich, falls sie nicht mehr benötigt werden.
Ein klar definiertes Identitätsmanagement gewährleistet, dass Nutzer und Systeme eindeutig identifiziert und sicher verwaltet werden. Gemeinsame Kennungen dürfen nur bei Bedarf eingesetzt werden und unterliegen strikten Kontrollen. Regelmäßige Überprüfungen und sofortige Deaktivierungen erhöhen die Sicherheit und erfüllen die Anforderungen der NIS2-Richtlinie.
Vereinfachte Erklärung der Anforderungen aus 11.5: Identifizierung
11.5.1 Verwaltung des Identitätslebenszyklus
Organisationen müssen den gesamten Lebenszyklus von Identitäten (Kennungen) für ihre Netz- und Informationssysteme und deren Nutzer verwalten.
11.5.2 Anforderungen an die Identifizierung
a) Eindeutige Kennungen:
- Für jedes Netz- und Informationssystem sowie für jeden Nutzer müssen eindeutige Identitäten erstellt werden.
b) Personalisierung:
- Nutzerkennungen müssen eindeutig einer Person zugeordnet sein.
c) Überwachung:
- Alle Kennungen müssen kontinuierlich überwacht werden, um Missbrauch zu verhindern.
d) Protokollierung:
- Die Verwaltung und Änderungen von Kennungen müssen dokumentiert werden.
11.5.3 Gemeinsame Kennungen
- Genehmigung erforderlich: Gemeinsame Kennungen (z. B. für Teams) sind nur bei geschäftlicher oder operativer Notwendigkeit zulässig.
- Genehmigungsverfahren: Solche Kennungen müssen ausdrücklich genehmigt und dokumentiert werden.
- Berücksichtigung im Risikomanagement: Die Verwendung gemeinsamer Kennungen muss im Rahmen des Risikomanagements (gemäß 2.1) bewertet werden.
11.5.4 Regelmäßige Überprüfung
- Überprüfung: Kennungen der Netz- und Informationssysteme sowie deren Nutzer müssen regelmäßig geprüft werden.
- Deaktivierung: Nicht mehr benötigte Kennungen sind unverzüglich zu deaktivieren.
Fragenkatalog: Identifizierung
1. Lebenszyklusmanagement von Identitäten
- Wie wird der gesamte Lebenszyklus der Identitäten (Kennungen) der Netz- und Informationssysteme und ihrer Nutzer verwaltet? (Bezug zu 11.5.1)
- Gibt es dokumentierte Prozesse für die Erstellung, Verwaltung, Überwachung und Löschung von Kennungen? (Bezug zu 11.5.1)
2. Einrichtung von Kennungen
- Werden für alle Nutzer und Systeme eindeutige Kennungen eingerichtet? (Bezug zu 11.5.2a)
- Wie wird sichergestellt, dass jede Nutzerkennung eindeutig einer einzelnen Person zugeordnet ist? (Bezug zu 11.5.2b)
3. Überwachung und Protokollierung
- Wie wird die Überwachung der Kennungen der Netz- und Informationssysteme gewährleistet? (Bezug zu 11.5.2c)
- Werden Identitätsmanagementaktivitäten, einschließlich Änderungen und Löschungen, protokolliert? (Bezug zu 11.5.2d)
4. Gemeinsame Kennungen
- Gibt es Verfahren zur Genehmigung gemeinsamer Kennungen, wenn diese aus geschäftlichen oder operativen Gründen erforderlich sind? (Bezug zu 11.5.3)
- Werden diese Genehmigungen dokumentiert und regelmäßig überprüft? (Bezug zu 11.5.3)
- Wie wird sichergestellt, dass der Einsatz gemeinsamer Kennungen den Risikomanagementkriterien gemäß Nummer 2.1 entspricht? (Bezug zu 11.5.3)
5. Überprüfung und Deaktivierung von Kennungen
- Wie häufig werden die Kennungen der Netz- und Informationssysteme und ihrer Nutzer überprüft? (Bezug zu 11.5.4)
- Wie wird sichergestellt, dass nicht mehr benötigte Kennungen unverzüglich deaktiviert werden? (Bezug zu 11.5.4)
- Wer ist für die Überprüfung und Deaktivierung von Kennungen verantwortlich? (Bezug zu 11.5.4)
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!