11.7. Multifaktor-Authentifizierung
11.7.1. Die betreffenden Einrichtungen stellen sicher, dass die Nutzer – soweit angemessen – durch mehrere Authentifizierungsfaktoren oder kontinuierliche Authentifizierungsmechanismen für den Zugang zu den Netz- und Informationssystemen der betreffenden Einrichtungen im Einklang mit der Klassifizierung der Anlage bzw. des Werts, auf die zugegriffen werden soll, authentifiziert werden.
11.7.2. Die betreffenden Einrichtungen stellen sicher, dass die Stärke der Authentifizierung für die Klassifizierung der Anlage bzw. des Werts, auf die zugegriffen werden soll, angemessen ist.
Die Einführung von Multifaktor-Authentifizierung oder vergleichbaren Mechanismen erhöht die Zugangssicherheit zu kritischen Netz- und Informationssystemen. Durch eine risikobasierte Anpassung der Authentifizierungsstärke stellen Organisationen sicher, dass sie den Anforderungen der NIS2-Richtlinie gerecht werden und ihre Systeme angemessen schützen.
Vereinfachte Erklärung der Anforderungen aus 11.7: Multifaktor-Authentifizierung
11.7.1 Nutzung mehrerer Authentifizierungsfaktoren
Organisationen müssen sicherstellen, dass Nutzer – soweit angemessen – durch Multifaktor-Authentifizierung (MFA) oder ähnliche kontinuierliche Authentifizierungsmechanismen Zugang zu Netz- und Informationssystemen erhalten.
- Grundlage: Die Anforderung richtet sich nach der Klassifizierung der Anlage oder des Werts, auf die zugegriffen wird.
- Ziel: Höhere Sicherheit bei sensiblen Daten und kritischen Systemen.
11.7.2 Stärke der Authentifizierung
- Angepasste Sicherheitsstufen: Die Stärke der Authentifizierung muss zur Klassifizierung der Anlage oder des Werts passen.
- Beispiel: Hochsensible Systeme benötigen stärkere Authentifizierungsverfahren wie MFA mit biometrischen Faktoren oder physischen Token.
Auditfragenkatalog: Multifaktor-Authentifizierung
1. Verwendung von Multifaktor-Authentifizierung
- Wird für den Zugang zu Netz- und Informationssystemen eine Multifaktor-Authentifizierung (MFA) oder ein kontinuierlicher Authentifizierungsmechanismus verwendet? (Bezug zu 11.7.1)
- Welche Authentifizierungsfaktoren (z. B. Wissen, Besitz, Biometrie) werden eingesetzt, und wie werden diese kombiniert? (Bezug zu 11.7.1)
- Gibt es Ausnahmen von der Nutzung der MFA, und wie werden diese dokumentiert und genehmigt? (Bezug zu 11.7.1)
2. Angemessenheit der Authentifizierungsstärke
- Wie wird sichergestellt, dass die Stärke der verwendeten Authentifizierungsmechanismen der Klassifizierung der Anlage bzw. des Werts entspricht? (Bezug zu 11.7.2)
- Wer überprüft die Angemessenheit der Authentifizierungsstärke und genehmigt deren Einsatz? (Bezug zu 11.7.2)
3. Anpassung an die Klassifizierung der Anlage bzw. des Werts
- Werden Authentifizierungsmechanismen entsprechend der Sensibilität und Kritikalität der Werte und Systeme angepasst? (Bezug zu 11.7.2)
- Gibt es Richtlinien zur Zuordnung von Authentifizierungsmechanismen basierend auf der Risikobewertung der jeweiligen Anlagen und Werte? (Bezug zu 11.7.2)
4. Kontinuierliche Authentifizierung
- Werden kontinuierliche Authentifizierungsmechanismen eingesetzt, und falls ja, wie wird deren Effektivität sichergestellt? (Bezug zu 11.7.1)
- Wie wird der Übergang zu kontinuierlicher Authentifizierung bei unterstützten Anwendungen und Systemen geplant und umgesetzt? (Bezug zu 11.7.1)
5. Überprüfung und Aktualisierung
- Wie oft wird die Implementierung der MFA und deren Angemessenheit überprüft? (Bezug zu 11.7.1, 11.7.2)
- Wer ist für die regelmäßige Bewertung und Aktualisierung der MFA-Richtlinien verantwortlich? (Bezug zu 11.7.1, 11.7.2)
- Werden Nutzer regelmäßig geschult oder informiert über die Bedeutung und Handhabung der MFA? (Bezug zu 11.7.1)
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!