Kritische Infrastruktur
Betreiber kritischer Infrastrukturen — Energie, Verkehr, Gesundheit, Wasser, Digitale Infrastruktur — stehen unter besonderem regulatorischen Druck. NIS2 (in Kraft seit Oktober 2024) verpflichtet wesentliche und wichtige Einrichtungen zu umfassenden Cybersicherheitsmaßnahmen, einschließlich strikter Zugangskontrolle.
NIS2 und die KRITIS-Anforderungen
Die NIS2-Direktive (EU) 2022/2555 verpflichtet „wesentliche“ und „wichtige“ Einrichtungen in 18 Sektoren zu grundlegenden Cybersicherheitsmaßnahmen. Die Direktive musste bis zum 17. Oktober 2024 in nationales Recht transponiert werden.
Art. 21 NIS2 definiert konkrete technische und organisatorische Maßnahmen: Multi-Faktor-Authentifizierung (obligatorisch), Richtlinien für privilegierten Zugang, Incident-Reporting innerhalb von 24h (Frühwarnung) und 72h (Meldung), sowie Maßnahmen zum Schutz der Lieferkette.
KRITIS-Betreiber in Deutschland unterliegen zusätzlich dem BSI-Gesetz (BSIG) und spezifischen branchenbezogenen Anforderungen, deren technische Umsetzung PAM direkt adressiert.
NIS2-Sektoren (Auswahl): Energie (Strom, Gas, Öl, Wasserstoff), Transport (Luftfahrt, Bahn, Straße, See), Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser und Abwasser, Digitale Infrastruktur (DNS, TLD, Rechenzentren, Cloud), IKT-Dienstverwaltung, Öffentliche Verwaltung.
PAM für Operational Technology
IT/OT-Konvergenz und privilegierter Zugang
KRITIS-Betreiber verwalten neben klassischer IT auch Operational Technology (OT) — SCADA-Systeme, Industriesteuerungen (ICS), HMI-Systeme. Die Konvergenz von IT und OT eröffnet neue Angriffspfade: ein kompromittierter privilegierter Zugang zur OT-Infrastruktur kann physische Auswirkungen haben. PAM-Architekturen für KRITIS müssen beide Domänen abdecken.
Vendor-Zugang zu OT-Systemen
Externe Servicetechniker und Hersteller benötigen regelmäßig Fernzugang zu kritischen OT-Systemen für Wartung und Updates. Dieser Zugang muss über PAM-Lösungen mit Zero-Standing-Privileges kontrolliert werden — ohne VPN-Vollzugang und mit vollständiger Aufzeichnung jeder Fernwartungssitzung.
NIS2 Compliance-Nachweise
NIS2 verpflichtet zur Meldung signifikanter Sicherheitsvorfälle an nationale Behörden (in Deutschland: BSI). PAM liefert die forensischen Daten für Vorfallsanalysen und die regulatorischen Nachweise für Audit-Zwecke.
NIS2-konforme PAM-Strategie für KRITIS
PAM Xpert unterstützt KRITIS-Betreiber bei der NIS2-konformen Absicherung privilegierter Zugänge — in IT- und OT-Umgebungen.
