Branchen

Kritische Infrastruktur

Betreiber kritischer Infrastrukturen — Energie, Verkehr, Gesundheit, Wasser, Digitale Infrastruktur — stehen unter besonderem regulatorischen Druck. NIS2 (in Kraft seit Oktober 2024) verpflichtet wesentliche und wichtige Einrichtungen zu umfassenden Cybersicherheitsmaßnahmen, einschließlich strikter Zugangskontrolle.

NIS2 für KRITIS

NIS2 und die KRITIS-Anforderungen

Die NIS2-Direktive (EU) 2022/2555 verpflichtet „wesentliche“ und „wichtige“ Einrichtungen in 18 Sektoren zu grundlegenden Cybersicherheitsmaßnahmen. Die Direktive musste bis zum 17. Oktober 2024 in nationales Recht transponiert werden.

Art. 21 NIS2 definiert konkrete technische und organisatorische Maßnahmen: Multi-Faktor-Authentifizierung (obligatorisch), Richtlinien für privilegierten Zugang, Incident-Reporting innerhalb von 24h (Frühwarnung) und 72h (Meldung), sowie Maßnahmen zum Schutz der Lieferkette.

KRITIS-Betreiber in Deutschland unterliegen zusätzlich dem BSI-Gesetz (BSIG) und spezifischen branchenbezogenen Anforderungen, deren technische Umsetzung PAM direkt adressiert.

NIS2-Sektoren (Auswahl): Energie (Strom, Gas, Öl, Wasserstoff), Transport (Luftfahrt, Bahn, Straße, See), Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser und Abwasser, Digitale Infrastruktur (DNS, TLD, Rechenzentren, Cloud), IKT-Dienstverwaltung, Öffentliche Verwaltung.

OT/ICS-Umgebungen

PAM für Operational Technology

01

IT/OT-Konvergenz und privilegierter Zugang

KRITIS-Betreiber verwalten neben klassischer IT auch Operational Technology (OT) — SCADA-Systeme, Industriesteuerungen (ICS), HMI-Systeme. Die Konvergenz von IT und OT eröffnet neue Angriffspfade: ein kompromittierter privilegierter Zugang zur OT-Infrastruktur kann physische Auswirkungen haben. PAM-Architekturen für KRITIS müssen beide Domänen abdecken.

02

Vendor-Zugang zu OT-Systemen

Externe Servicetechniker und Hersteller benötigen regelmäßig Fernzugang zu kritischen OT-Systemen für Wartung und Updates. Dieser Zugang muss über PAM-Lösungen mit Zero-Standing-Privileges kontrolliert werden — ohne VPN-Vollzugang und mit vollständiger Aufzeichnung jeder Fernwartungssitzung.

03

NIS2 Compliance-Nachweise

NIS2 verpflichtet zur Meldung signifikanter Sicherheitsvorfälle an nationale Behörden (in Deutschland: BSI). PAM liefert die forensischen Daten für Vorfallsanalysen und die regulatorischen Nachweise für Audit-Zwecke.

Kritische Infrastruktur

NIS2-konforme PAM-Strategie für KRITIS

PAM Xpert unterstützt KRITIS-Betreiber bei der NIS2-konformen Absicherung privilegierter Zugänge — in IT- und OT-Umgebungen.