EG 23 NIS2UmsVO – Multifaktor-Authentifizierung

Erwägungsgrund 23 der NIS2UmsVO

Die Multifaktor-Authentifizierung kann die Cybersicherheit der Einrichtungen verbessern und sollte von den Einrichtungen insbesondere dann in Betracht gezogen werden,

  • wenn Nutzer aus der Ferne auf ihre Netz- und Informationssysteme zugreifen oder
  • wenn sie auf sensible Informationen oder privilegierte Konten und Systemverwaltungskonten zugreifen.

Die Multifaktor-Authentifizierung kann mit anderen Techniken kombiniert werden, um unter bestimmten Umständen zusätzliche Faktoren zu verlangen, die auf vorab festgelegten Regeln und Mustern beruhen, z. B.

  • beim Zugriff von einem ungewöhnlichen Standort aus,
  • mit einem ungewöhnlichen Gerät oder
  • zu einer ungewöhnlichen Zeit.

 


Hinweis:

  • Die Soll-Anforderung aus Satz 1 schreibt keine flächendeckende 2FA-Abdeckung vor, sondern nur für bestimmte Szenarien. Der Fernzugriff sollte hier jedoch weit ausgelegt werden und umfasst nicht nur VPN-Zugänge, sondern insbesondere auch Zugang zu Cloud-Applikationen wie z.B. Office365, wo 2FA aber inzwischen eine Standardeinstellung von Microsoft ist.
  • Die „Conditional Access“-Anforderung im zweiten Abschnitt ist eine kann-Anforderung, aber insbesondere für priveligierte Accounts sinnvoll, sofern ein Zugang auch unüblichen Ländern nicht prinzipiell unterbunden ist.

 

Stand: 17.10.2024

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!