NIS2 ab September 2024: PKI und Zertifikatsmanagement

NIS2 ab September 2024: PKI und Zertifikatsmanagement - Bild von Gerd Altmann auf Pixabay

Beitrag teilen

Cybersicherheit und die EU-Richtlinie über Netz- und Informationssysteme NIS2 bietet einen entscheidenden Rahmen für die Stärkung der Widerstandsfähigkeit kritischer Infrastrukturen und anderer essentieller Organisationen und Dienste. Ab September 2024 gelten die Gesetze.

Während sich Organisationen auf die Umsetzung von NIS2 bis zum September 2024 vorbereiten, ist klar, dass die Richtlinien eine Weiterentwicklung der Herausforderungen und Erfahrungen von NIS1 darstellen. Die Zusammenarbeit zwischen den Mitgliedstaaten, die Ausweitung des Geltungsbereichs auf ein breiteres Spektrum von Organisationen und der Fokus auf eine ausgewogene Durchsetzungsstrategie – ähnlich der DSGVO – zeigen das Engagement innerhalb Europas für eine umfassende Verbesserung der Cybersicherheit.

Anzeige

Die Auswirkungen von NIS2 erstrecken sich dabei auf eine erweiterte Anzahl von Sektoren, wobei Organisationen in „wesentliche“ und „wichtige“ eingeteilt werden. Die NIS2 Directive erklärt, welche Sektoren und somit Unternehmen von NIS2 betroffen sind.

Ein weiterer Faktor ist, dass nun auch die Lieferkette innerhalb der kritischen Infrastruktur eine Rolle spielt. Konkret bedeutet das: Unternehmen, die Komponenten liefern, welche in kritischer Infrastruktur eingesetzt werden, sind genauso von der Richtline und den damit verbundenen Maßnahmen betroffen wie KRITIS-Betreiber. Viele Unternehmen müssen von der Notwendigkeit einer Erhöhung ihres Cybersicherheitsbudgets ausgehen, daher ist Proaktivität beim Planen und Budgetieren essentiell.

Grundlagen NIS2: PKI und Zertifikatsmanagement

NIS2 konzentriert sich unter anderem auf die beiden Säulen Compliance und Auditing, in deren Rahmen Organisationen robuste Richtlinien und Verfahren einführen müssen. Sowohl Public Key Infrastructure (PKI) als auch Zertifikatsmanagement sind dabei wichtige Faktoren, die es zur Erfüllung der Anforderungen zu beachten gilt. Diese Technologien spielen eine zentrale Rolle bei der Umsetzung des Zero-Trust-Prinzips und der Sicherstellung der Integrität digitaler Zertifikate über deren gesamten Lebenszyklus hinweg.

Ein essentieller Punkt der Richtline ist die Vorgabe, Daten durch ausreichende Verschlüsselung zu schützen und sich dabei an entsprechende kryptographische Standards zu halten. Hier kommen Ende-zu-Ende-Verschlüsselungen für Daten im Transit (zum Beispiel HTTPS, SSL, TLS, FTPS) durch digitale Zertifikate ins Spiel. Unternehmen können nur mit ausreichend geschützter moderner PKI diesen nötigen Schutz erreichen. Neben den sowohl symmetrischen als auch asymmetrischen Verschlüsselungsmechanismen, muss auf hohe kryptographische Standards mit ausreichendem Schutz geachtet werden. Bei der asymmetrischen Verschlüsselung ist der Schutz der privaten Schlüssel eine wichtige Maßnahme, die von Organisationen nicht unterschätzt werden sollte, genauso wie die Verwendung starker Verschlüsselungs-Algorithmen.

NIS2 fordert Verschlüsselung

Schwerpunkte im Bereich Zertifikatsmanagement sind unter anderem die Themen Inventarisierung, die Verifizierung von Diensten und – nicht zuletzt – die Einführung von Automatisierung. Während diese Aspekte natürlich in Bezug auf die Einhaltung der Vorschriften relevant sind, ergeben sich durch ihren Einsatz auch darüber hinaus diverse Vorteile für Organisationen. Ein solides Zertifikatsmanagement stellt einen wichtigen strategischen Ansatz zur Stärkung und Sicherung der Geschäftskontinuität dar und kann Unternehmen dadurch einen enormen Mehrwert bieten.

Bei NIS2 spielen auch regelmäßige Audits durch unabhängige Prüfer eine große Rolle. Diese Kontrollen tragen zur kontinuierlichen Verbesserung der Cybersicherheitspraktiken bei. Die Folgen der Nichteinhaltung können durchaus schwerwiegend sein und reichen von Geldstrafen bis hin zur möglichen Schließung von Unternehmen. Das strenge Vorgehen unterstreicht die Absicht, sicherzustellen, dass Organisationen die Cybersicherheitsstandards von NIS2 einhalten.

NIS2 als Innovationstreiber und transformative Chance

Johannes Goldbach, Sales Director bei Keyfactor

Ein Kommentar von Johannes Goldbach, Sales Director bei Keyfactor (Bild: Keyfactor).

Die NIS2-Richtlinie stellt ein transformatives Rahmenwerk dar, das einen umfassenden Ansatz zur Cybersicherheit erfordert. Der Übergang ist nicht nur ein verfahrenstechnischer Schritt, sondern ein entscheidender Paradigmenwechsel bei der Anpassung von Sicherheitspraktiken an neue Cyberbedrohungen. Mit Blick auf die Anforderungen wird deutlich, dass Vorbereitung, Zusammenarbeit und die strategische Integration von Security-Technologien der Dreh- und Angelpunkt für den Erfolg von Unternehmen im dynamischen digitalen Umfeld der Gegenwart und Zukunft sein werden.

Das Einbeziehen von PKI und Zertifikatsmanagement stellt dabei nicht nur die Einhaltung der Vorschriften sicher, sondern stärkt Unternehmen auch im Kampf gegen eine sich stetig wandelnde Cyberbedrohungslandschaft. Organisationen sehen sich erhöhten Anforderungen gegenüber, die fortschrittliche Sicherheitsmaßnahmen und eine schnelle Meldung von Vorfällen an die Behörden erfordern. Unternehmen sollten die NIS2-Konformität aber nicht nur als gesetzlich einzuhaltende Pflicht betrachten, sondern auch als Chance, ihre digitale Infrastruktur durch Automatisierung zu stärken, kritische Informationen und Dienste zu schützen und Vertrauen in einer vernetzten Welt zu schaffen.

Mehr bei Keyfactor.com

 


Über Keyfactor

Keyfactor bringt digitales Vertrauen in die hypervernetzte Welt mit identitätsbasierter Sicherheit für Mensch und Maschine. Durch Vereinfachung von PKI, die Automatisierung des Certificate-Lifecylce-Managements und die Absicherung jedes Geräts, jedes Workloads und jedes Objekts hilft Keyfactor Organisationen dabei, schnell skalierbares digitales Vertrauen zu schaffen – und es aufrechtzuerhalten. In einer Zero-Trust-Welt braucht jede Maschine eine Identität und jede Identität muss verwaltet werden.


 

Passende Artikel zum Thema

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen

Gemeinsamkeiten und Unterschiede von PIM und PAM

Nicht selten werden die Aufgaben und Ziele der beiden Prinzipien PIM und PAM für die sichere Identifikationen und deren Verwaltung ➡ Weiterlesen

Cybertrends 2025 – womit man rechnen muss

Was bedeutet 2025 für die Cybersicherheit in Unternehmen? Welche Cyberattacken werden häufiger, welche Branchen stehen besonders im Visier und welche ➡ Weiterlesen

Zero-Trust-Segmentation gegen Ransomware

Ein Anbieter kündigt mit Zero-Trust-Segmentation die erste Lösung für Zero-Trust-Segmentierung an, die eine sichere, agile und kostengünstige Möglichkeit bietet, User, ➡ Weiterlesen

EMA: Cloud Connector für Microsoft 365

Für die einfachere Anbindung der Datenmanagement- und Archivierungslösung EMA an Microsoft 365 Exchange Online sowie an lokale Exchange-Infrastrukturen ist jetzt ➡ Weiterlesen