EG 23 NIS2UmsVO – Multifaktor-Authentifizierung
Erwägungsgrund 23 der NIS2UmsVO
Die Multifaktor-Authentifizierung kann die Cybersicherheit der Einrichtungen verbessern und sollte von den Einrichtungen insbesondere dann in Betracht gezogen werden,
- wenn Nutzer aus der Ferne auf ihre Netz- und Informationssysteme zugreifen oder
- wenn sie auf sensible Informationen oder privilegierte Konten und Systemverwaltungskonten zugreifen.
Die Multifaktor-Authentifizierung kann mit anderen Techniken kombiniert werden, um unter bestimmten Umständen zusätzliche Faktoren zu verlangen, die auf vorab festgelegten Regeln und Mustern beruhen, z. B.
- beim Zugriff von einem ungewöhnlichen Standort aus,
- mit einem ungewöhnlichen Gerät oder
- zu einer ungewöhnlichen Zeit.
Hinweis:
- Die Soll-Anforderung aus Satz 1 schreibt keine flächendeckende 2FA-Abdeckung vor, sondern nur für bestimmte Szenarien. Der Fernzugriff sollte hier jedoch weit ausgelegt werden und umfasst nicht nur VPN-Zugänge, sondern insbesondere auch Zugang zu Cloud-Applikationen wie z.B. Office365, wo 2FA aber inzwischen eine Standardeinstellung von Microsoft ist.
- Die „Conditional Access“-Anforderung im zweiten Abschnitt ist eine kann-Anforderung, aber insbesondere für priveligierte Accounts sinnvoll, sofern ein Zugang auch unüblichen Ländern nicht prinzipiell unterbunden ist.
Stand: 17.10.2024
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!