6.8. Netzsegmentierung
6.8.1. Die betreffenden Einrichtungen segmentieren ihre Systeme entsprechend den Ergebnissen der Risikobewertung gemäß Nummer 2.1 in Netze oder Zonen. Sie segmentieren ihre eigenen Systeme und Netze von Systemen und Netzen Dritter.
6.8.2. Für diese Zwecke müssen die betreffenden Einrichtungen
a) die funktionale, logische und physische Beziehung, einschließlich des Standorts, zwischen vertrauenswürdigen Systemen und Diensten berücksichtigen;
b) den Zugang zu einem Netz oder einer Zone auf der Grundlage einer Bewertung seiner/ihrer Sicherheitsanforderungen gewähren;
c) Systeme, die für den Betrieb der betreffenden Einrichtungen oder für die Sicherheit unverzichtbar sind, in gesicherten Zonen unterbringen;
d) eine demilitarisierte Zone innerhalb ihrer Kommunikationsnetze aufbauen, um die Sicherheit der Kommunikation, die aus ihren Netzen stammt oder für ihr Netz bestimmt ist, zu gewährleisten;
e) den Zugang zu und die Kommunikation zwischen und innerhalb von Zonen auf diejenigen beschränken, die für den Betrieb der betreffenden Einrichtungen oder für die Sicherheit erforderlich sind;
f) das spezielle Netz für die Verwaltung von Netz- und Informationssystemen vom operativen Netz der betreffenden Einrichtungen trennen;
g) Netzverwaltungskanäle von anderem Netzverkehr trennen;
h) die Produktionssysteme für die Dienste der betreffenden Einrichtungen von den Systemen trennen, die bei der Entwicklung und beim Testen, einschließlich der Sicherung, verwendet werden.
6.8.3. Die betreffenden Einrichtungen überprüfen die Netzsegmentierung in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren sie – soweit angemessen.
Eine effektive Netzsegmentierung reduziert die Angriffsfläche und verbessert die Sicherheit durch klare Trennung von kritischen, operativen und externen Systemen. Regelmäßige Überprüfungen und Anpassungen gewährleisten, dass die Segmentierung den aktuellen Bedrohungen und Betriebsanforderungen entspricht und die NIS2-Anforderungen erfüllt.
Vereinfachte Erklärung der Anforderungen aus 6.8: Netzsegmentierung
6.8.1 Segmentierung basierend auf Risikobewertung
Organisationen müssen ihre Systeme und Netzwerke segmentieren, um Risiken zu minimieren. Diese Segmentierung erfolgt basierend auf einer Risikobewertung und umfasst:
- Interne Segmentierung: Aufteilung in Netze oder Zonen innerhalb der eigenen Systeme.
- Trennung von Dritten: Klare Abgrenzung der eigenen Systeme und Netzwerke von denen Dritter.
6.8.2 Anforderungen an die Netzsegmentierung
Die Segmentierung muss folgende Punkte berücksichtigen:
a) Beziehungen zwischen Systemen: Funktionale, logische und physische Beziehungen, einschließlich Standorte, zwischen vertrauenswürdigen Systemen und Diensten analysieren.
b) Zugriffsgewährung: Zugang zu einem Netz oder einer Zone nur auf Basis einer Bewertung der Sicherheitsanforderungen.
c) Sichere Zonen: Kritische Systeme, die für den Betrieb oder die Sicherheit unverzichtbar sind, in gesicherten Zonen unterbringen.
d) Demilitarisierte Zone (DMZ): Aufbau einer DMZ, um die Sicherheit des ein- und ausgehenden Netzverkehrs zu gewährleisten.
e) Zugriffsbeschränkungen: Zugriff und Kommunikation zwischen und innerhalb von Zonen auf das Notwendige beschränken.
f) Trennung von Verwaltungsnetzen: Netzwerke für die Verwaltung von Netz- und Informationssystemen vom operativen Netz trennen.
g) Netzwerkkanäle trennen: Verwaltungskanäle von anderem Netzverkehr isolieren.
h) Trennung von Produktions- und Entwicklungssystemen: Produktionssysteme von Entwicklungs-, Test- und Sicherungssystemen abgrenzen.
6.8.3 Regelmäßige Überprüfung
Die Segmentierungsmaßnahmen müssen regelmäßig überprüft und bei Bedarf angepasst werden:
- Zeitplan: Nach festen Intervallen.
- Ereignisbasierte Anpassung: Nach Sicherheitsvorfällen oder wesentlichen Änderungen im Betrieb oder bei Risiken.
Fragenkatalog: Netzsegmentierung
1. Allgemeine Segmentierung der Systeme
- Werden die Systeme gemäß den Ergebnissen der Risikobewertung in Netze oder Zonen segmentiert? (Bezug zu 6.8.1)
- Sind die Systeme und Netze der betreffenden Einrichtungen klar von den Systemen und Netzen Dritter getrennt? (Bezug zu 6.8.1)
2. Beziehungen zwischen vertrauenswürdigen Systemen
- Wurden die funktionalen, logischen und physischen Beziehungen, einschließlich des Standorts, zwischen vertrauenswürdigen Systemen und Diensten berücksichtigt? (Bezug zu 6.8.2 a)
3. Zugangssteuerung zu Netzen und Zonen
- Wird der Zugang zu einem Netz oder einer Zone auf der Grundlage einer Bewertung der Sicherheitsanforderungen gewährt? (Bezug zu 6.8.2 b)
4. Sicherung kritischer Systeme
- Sind Systeme, die für den Betrieb oder die Sicherheit der Einrichtungen unverzichtbar sind, in gesicherten Zonen untergebracht? (Bezug zu 6.8.2 c)
5. Einrichtung einer demilitarisierten Zone (DMZ)
- Wurde eine demilitarisierte Zone (DMZ) eingerichtet, um die Sicherheit der Kommunikation zu gewährleisten, die aus den Netzen stammt oder für die Netze bestimmt ist? (Bezug zu 6.8.2 d)
6. Beschränkung der Kommunikation zwischen Zonen
- Ist der Zugang zu und die Kommunikation zwischen sowie innerhalb von Zonen auf die für den Betrieb oder die Sicherheit erforderlichen Zwecke beschränkt? (Bezug zu 6.8.2 e)
7. Trennung von Verwaltungs- und Betriebsnetzwerken
- Ist das spezielle Netz für die Verwaltung von Netz- und Informationssystemen vom operativen Netz getrennt? (Bezug zu 6.8.2 f)
- Sind Netzverwaltungskanäle von anderem Netzverkehr getrennt? (Bezug zu 6.8.2 g)
8. Trennung von Produktions- und Entwicklungsumgebungen
- Sind die Produktionssysteme für die Dienste von den Systemen getrennt, die für Entwicklung, Testen und Sicherung verwendet werden? (Bezug zu 6.8.2 h)
9. Überprüfung und Aktualisierung der Netzsegmentierung
- Wird die Netzsegmentierung regelmäßig in geplanten Zeitabständen überprüft? (Bezug zu 6.8.3)
- Wird die Netzsegmentierung bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder Risiken aktualisiert? (Bezug zu 6.8.3)
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!