Salta al contenuto
News

NIS2: Die Business Impact Analyse für transversale und gemeinsam genutzte Assets

NIS2: Die Business Impact Analyse für transversale und gemeinsam genutzte Assets

Auf einen Blick

In der italienischen NIS2 werden gemeinsam genutzte IT-Systeme wie ERP, IAM, SOC und Cloud, wenn sie hochwirksame Dienste ermöglichen, selbst kritisch. Organisationen müssen operative Abhängigkeiten abbilden und das Kriterium des größten Impacts anwenden, um proportionale ACN-Sicherheitskontrollen zu definieren. Es reicht nicht aus, Dienste zu kategorisieren; es ist entscheidend, den Impact der Kompromittierung der zugrunde liegenden Assets zu bewerten.

Hintergrund

Die erste Umsetzungsphase der italienischen NIS2 hat von Organisationen die Auflistung und Kategorisierung relevanter Aktivitäten und Dienste gefordert. Die Erfüllung dieser Anforderung birgt jedoch eine tiefgreifendere Aufgabe: das Verständnis der operativen, technologischen, informativen und vertraglichen Abhängigkeiten zwischen Diensten und Assets. Die Herausforderung entsteht bei 'transversalen Assets', d.h. gemeinsam genutzten Systemen (z.B. ERP, IAM, SOC, Cloud-Plattformen), die mehrere Dienste mit unterschiedlichen Impact-Kategorien ermöglichen. Die NIS2, im Einklang mit den Bestimmungen der ACN interpretiert, verlangt, die regulatorische Relevanz dieser Assets auf der Grundlage des kritischsten Dienstes zu bewerten, den sie unterstützen, und nicht basierend auf der gewöhnlichsten Funktion. Beispiele hierfür sind ERP-Systeme, die sowohl gewöhnliche als auch kritische Prozesse verwalten, und IAM-Systeme, die den Zugriff auf Dienste unterschiedlicher Bedeutung ermöglichen.

Warum es wichtig ist

Dieser Ansatz ist entscheidend für die Einhaltung der NIS2-Richtlinie, da Organisationen risikoproportionale Sicherheitsmaßnahmen definieren müssen. Die Unterschätzung der Kritikalität eines gemeinsam genutzten Assets, indem es als 'allgemein' oder 'unterstützend' betrachtet wird, kann zu einem unzureichenden Schutz der kritischsten Dienste und einer Verletzung der ACN-Anforderungen führen. Wenn ein unterstütztes System Dienste ermöglicht, die personenbezogene Daten verarbeiten, wirkt sich eine Kompromittierung direkt auf die Vertraulichkeit, Integrität und Verfügbarkeit der Daten aus, mit potenziellen Auswirkungen auf die DSGVO, auch wenn diese nicht explizit genannt wird. Die Fähigkeit, Risikobewertungen nachweisbar, dokumentierbar und einem glaubwürdigen Rahmen zuzuordnen, ist zudem für jedes Sicherheitsmanagementsystem unerlässlich.

Was zu tun ist

  • Die operativen, technologischen, informativen und vertraglichen Abhängigkeiten der Dienste in Bezug auf die zugrunde liegenden Assets verstehen.
  • Das Kriterium des größten Impacts anwenden, um die regulatorische Kritikalität gemeinsam genutzter Informationssysteme zu bestimmen.
  • ACN-Sicherheitsmaßnahmen definieren, die proportional zum Dienst mit dem höchsten Impact sind, der von einem Asset ermöglicht wird.
  • Eventuelle technische Segregationen, separate Domänen, getrennte Tenants und differenzierte Zugriffssteuerungen, die auf gemeinsamen Systemen implementiert sind, dokumentieren und nachweisen.
  • Nicht nur die IT, sondern auch die Business-Funktionen in die Abgrenzung relevanter Informations- und Netzwerksysteme einbeziehen.

Was zu vermeiden ist

  • Das regulatorische Gewicht gemeinsam genutzter Systeme unterschätzen, indem sie als 'allgemein' oder 'unterstützend' eingestuft werden.
  • Die Kritikalität eines gemeinsam genutzten Systems nur auf der Grundlage der gewöhnlichsten Funktion bestimmen, die es ausführt.
  • Die auf gemeinsam genutzten Systemen implementierten Minderungsmaßnahmen nicht ausreichend nachweisen oder dokumentieren.
  • Die Abgrenzung relevanter Systeme ausschließlich auf Basis des technischen IT-Inventars entscheiden, ohne eine Analyse der Beziehung zu NIS-Diensten und Geschäfts-Impacts.

Praktische Auswirkungen

Organisationen müssen eine umfassende Business Impact Analyse durchführen, die über die bloße Kategorisierung von Diensten hinausgeht, um die tatsächliche regulatorische Relevanz gemeinsam genutzter technologischer Assets zu identifizieren. Eine fehlerhafte oder oberflächliche Bewertung kann zu unzureichenden Sicherheitsmaßnahmen führen und die Organisation operativen Risiken sowie Sanktionen wegen Nichteinhaltung der NIS2-Richtlinie aussetzen, falls sie das angewandte Schutzniveau nicht rechtfertigen und nachweisen kann.

Empfohlene Maßnahmen

  • Eine Business Impact Analyse (BIA) durchführen, um alle von transversalen Assets (z.B. ERP, IAM, SOC, Cloud) ermöglichten Dienste und Funktionen detailliert abzubilden.
  • Jedem gemeinsam genutzten Asset die höchste Impact-Kategorie unter allen von ihm ermöglichten Diensten zuordnen.
  • Sicherheitskontrollen (z.B. MFA, Verwaltung privilegierter Benutzerkonten, Logging, Monitoring) an die maximale Kritikalität der IAM-, ERP-, SOC- und Cloud-Assets anpassen und implementieren.
  • Die Dokumentation vorbereiten, die Risikobewertungen, technische Segregationen und auf gemeinsam genutzten Systemen ergriffene Minderungsmaßnahmen nachweist.
  • Sicherstellen, dass die Sicherheits-Governance einen Entscheidungsprozess umfasst, der sowohl technische IT-Kompetenzen als auch Business-Funktionen für die korrekte Abgrenzung kritischer Assets einbezieht.

Zu vermeidende Fehler

  • Das Risiko unzureichender Sicherheitsmaßnahmen für kritische Dienste durch die Unterschätzung gemeinsam genutzter Assets eingehen.
  • Die Organisation NIS2-Nichteinhaltung aussetzen aufgrund einer fehlerhaften oder nicht nachweisbaren Abgrenzung relevanter Systeme.
  • Die Fähigkeit verlieren, zu erklären, auf welche Systeme die von ACN geforderten Sicherheitskontrollen während eines Audits angewendet werden.

Fragen zur Selbsteinschätzung

  • Welche NIS-Dienste und -Prozesse ermöglichen unsere ERP-, IAM-, SOC-Systeme und Cloud-Plattformen, und welche Abhängigkeiten bestehen?
  • Haben wir das Kriterium des größten Impacts angewendet, um die Kritikalität all unserer gemeinsam genutzten Assets zu bestimmen?
  • Können wir die technischen Segregationen, die differenzierten Zugriffssteuerungen und die auf unseren gemeinsamen Systemen angewendeten Resilienzmaßnahmen nachweisen und dokumentieren?
  • Bezieht unser Prozess zur Abgrenzung relevanter Systeme aktiv die Business-Funktionen neben der IT ein?
  • Sind die auf Assets wie IAM und ERP implementierten Sicherheitskontrollen proportional zum Dienst mit dem höchsten Impact, den sie ermöglichen?

Verweise

Nationales Recht: Direttiva NIS2 · ACN (Agenzia per la Cybersicurezza Nazionale) - determinazioni sulle misure di sicurezza e sulla categorizzazione

Zum Originalartikel auf Agenda Digitale ↗

Lesen Sie auch