NIS2 ab September 2024: PKI und Zertifikatsmanagement

NIS2 ab September 2024: PKI und Zertifikatsmanagement - Bild von Gerd Altmann auf Pixabay

Beitrag teilen

Cybersicherheit und die EU-Richtlinie über Netz- und Informationssysteme NIS2 bietet einen entscheidenden Rahmen für die Stärkung der Widerstandsfähigkeit kritischer Infrastrukturen und anderer essentieller Organisationen und Dienste. Ab September 2024 gelten die Gesetze.

Während sich Organisationen auf die Umsetzung von NIS2 bis zum September 2024 vorbereiten, ist klar, dass die Richtlinien eine Weiterentwicklung der Herausforderungen und Erfahrungen von NIS1 darstellen. Die Zusammenarbeit zwischen den Mitgliedstaaten, die Ausweitung des Geltungsbereichs auf ein breiteres Spektrum von Organisationen und der Fokus auf eine ausgewogene Durchsetzungsstrategie – ähnlich der DSGVO – zeigen das Engagement innerhalb Europas für eine umfassende Verbesserung der Cybersicherheit.

Anzeige

Die Auswirkungen von NIS2 erstrecken sich dabei auf eine erweiterte Anzahl von Sektoren, wobei Organisationen in „wesentliche“ und „wichtige“ eingeteilt werden. Die NIS2 Directive erklärt, welche Sektoren und somit Unternehmen von NIS2 betroffen sind.

Ein weiterer Faktor ist, dass nun auch die Lieferkette innerhalb der kritischen Infrastruktur eine Rolle spielt. Konkret bedeutet das: Unternehmen, die Komponenten liefern, welche in kritischer Infrastruktur eingesetzt werden, sind genauso von der Richtline und den damit verbundenen Maßnahmen betroffen wie KRITIS-Betreiber. Viele Unternehmen müssen von der Notwendigkeit einer Erhöhung ihres Cybersicherheitsbudgets ausgehen, daher ist Proaktivität beim Planen und Budgetieren essentiell.

Grundlagen NIS2: PKI und Zertifikatsmanagement

NIS2 konzentriert sich unter anderem auf die beiden Säulen Compliance und Auditing, in deren Rahmen Organisationen robuste Richtlinien und Verfahren einführen müssen. Sowohl Public Key Infrastructure (PKI) als auch Zertifikatsmanagement sind dabei wichtige Faktoren, die es zur Erfüllung der Anforderungen zu beachten gilt. Diese Technologien spielen eine zentrale Rolle bei der Umsetzung des Zero-Trust-Prinzips und der Sicherstellung der Integrität digitaler Zertifikate über deren gesamten Lebenszyklus hinweg.

Ein essentieller Punkt der Richtline ist die Vorgabe, Daten durch ausreichende Verschlüsselung zu schützen und sich dabei an entsprechende kryptographische Standards zu halten. Hier kommen Ende-zu-Ende-Verschlüsselungen für Daten im Transit (zum Beispiel HTTPS, SSL, TLS, FTPS) durch digitale Zertifikate ins Spiel. Unternehmen können nur mit ausreichend geschützter moderner PKI diesen nötigen Schutz erreichen. Neben den sowohl symmetrischen als auch asymmetrischen Verschlüsselungsmechanismen, muss auf hohe kryptographische Standards mit ausreichendem Schutz geachtet werden. Bei der asymmetrischen Verschlüsselung ist der Schutz der privaten Schlüssel eine wichtige Maßnahme, die von Organisationen nicht unterschätzt werden sollte, genauso wie die Verwendung starker Verschlüsselungs-Algorithmen.

NIS2 fordert Verschlüsselung

Schwerpunkte im Bereich Zertifikatsmanagement sind unter anderem die Themen Inventarisierung, die Verifizierung von Diensten und – nicht zuletzt – die Einführung von Automatisierung. Während diese Aspekte natürlich in Bezug auf die Einhaltung der Vorschriften relevant sind, ergeben sich durch ihren Einsatz auch darüber hinaus diverse Vorteile für Organisationen. Ein solides Zertifikatsmanagement stellt einen wichtigen strategischen Ansatz zur Stärkung und Sicherung der Geschäftskontinuität dar und kann Unternehmen dadurch einen enormen Mehrwert bieten.

Bei NIS2 spielen auch regelmäßige Audits durch unabhängige Prüfer eine große Rolle. Diese Kontrollen tragen zur kontinuierlichen Verbesserung der Cybersicherheitspraktiken bei. Die Folgen der Nichteinhaltung können durchaus schwerwiegend sein und reichen von Geldstrafen bis hin zur möglichen Schließung von Unternehmen. Das strenge Vorgehen unterstreicht die Absicht, sicherzustellen, dass Organisationen die Cybersicherheitsstandards von NIS2 einhalten.

NIS2 als Innovationstreiber und transformative Chance

Johannes Goldbach, Sales Director bei Keyfactor

Ein Kommentar von Johannes Goldbach, Sales Director bei Keyfactor (Bild: Keyfactor).

Die NIS2-Richtlinie stellt ein transformatives Rahmenwerk dar, das einen umfassenden Ansatz zur Cybersicherheit erfordert. Der Übergang ist nicht nur ein verfahrenstechnischer Schritt, sondern ein entscheidender Paradigmenwechsel bei der Anpassung von Sicherheitspraktiken an neue Cyberbedrohungen. Mit Blick auf die Anforderungen wird deutlich, dass Vorbereitung, Zusammenarbeit und die strategische Integration von Security-Technologien der Dreh- und Angelpunkt für den Erfolg von Unternehmen im dynamischen digitalen Umfeld der Gegenwart und Zukunft sein werden.

Das Einbeziehen von PKI und Zertifikatsmanagement stellt dabei nicht nur die Einhaltung der Vorschriften sicher, sondern stärkt Unternehmen auch im Kampf gegen eine sich stetig wandelnde Cyberbedrohungslandschaft. Organisationen sehen sich erhöhten Anforderungen gegenüber, die fortschrittliche Sicherheitsmaßnahmen und eine schnelle Meldung von Vorfällen an die Behörden erfordern. Unternehmen sollten die NIS2-Konformität aber nicht nur als gesetzlich einzuhaltende Pflicht betrachten, sondern auch als Chance, ihre digitale Infrastruktur durch Automatisierung zu stärken, kritische Informationen und Dienste zu schützen und Vertrauen in einer vernetzten Welt zu schaffen.

Mehr bei Keyfactor.com

 


Über Keyfactor

Keyfactor bringt digitales Vertrauen in die hypervernetzte Welt mit identitätsbasierter Sicherheit für Mensch und Maschine. Durch Vereinfachung von PKI, die Automatisierung des Certificate-Lifecylce-Managements und die Absicherung jedes Geräts, jedes Workloads und jedes Objekts hilft Keyfactor Organisationen dabei, schnell skalierbares digitales Vertrauen zu schaffen – und es aufrechtzuerhalten. In einer Zero-Trust-Welt braucht jede Maschine eine Identität und jede Identität muss verwaltet werden.


 

Passende Artikel zum Thema

Open-Source-Tool zur Analyse von Linux-Malware

Mit dem neuen Open-Source-Tool können SOC-Teams und Entwickler die Sicherheit überwachen und Bedrohungen untersuchen. Traceeshark kombiniert die dynamische Analyse von ➡ Weiterlesen

Cyberkriminalität: Aktuelle Bedrohungen und Taktiken

Ein Anbieter im Bereich Connectivity Cloud stellt seine Forschungsdaten zur weltweiten Cyberkriminalität der Allgemeinheit zur Verfügung. Sie haben Angreifer aufgespürt, ➡ Weiterlesen

NIS2: Veraltete Software ist ein Risiko

NIS2 betrifft Unternehmen, die zur kritischen Infrastruktur gehören. Sie alle müssen prüfen, ob die Software ihrer Geräte auf dem neuesten ➡ Weiterlesen

Quishing: Phishing mit QR-Codes

In Anlehnung an Albert Einstein ließe sich wohl sagen, dass der kriminelle Einfallsreichtum der Menschen unendlich ist. Der neueste Trend ➡ Weiterlesen

Authentifizierungs-Codes geknackt

Forscher in China haben einen Ansatz demonstriert, der erfolgreich auf kürzere Authentifizierungs- und Verschlüsselungscodes abzielt - allerdings noch nicht auf ➡ Weiterlesen

Drei Schritte zur quantensicheren Verschlüsselung (PQC)

Vor wenigen Wochen hat das US-amerikanische National Institute of Standards and Technology (NIST) die ersten drei – von insgesamt vier ➡ Weiterlesen

Eine aktuelle Software Bill of Materials ist die Ausnahme

Eine Software Bill of Materials (SBOM), also eine Stückliste aller Software-Komponenten in einem vernetzten Gerät, stellt in der deutschen Industrie ➡ Weiterlesen

IT-Sicherheit für alle – kostenlose Sicherheitstools

Ein führender Anbieter im Bereich Connectivity Cloud stellt mehrere wichtige Sicherheitstools, die oft teuer sind, Unternehmen kostenlos zur Verfügung. Dies ➡ Weiterlesen