<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=2171572209666742&amp;ev=PageView&amp;noscript=1">
Blog

Datenschutzbestimmungen einfacher einhalten mit einer IAM-Lösung II

Neben dem DSG, der DSGVO und DORA sind eIDAS und NIS2 zwei wichtige europäische Verordnungen, die digitale Interaktionen und Cybersicherheit steuern. Erfahren Sie, weshalb Unternehmen eIDAS und NIS2 auf dem Radar haben sollten und wie sie deren Bestimmungen erfüllen, einschliesslich praktischer Tipps.

Nach dem DSG, der DSGVO und DORA im ersten Blog zum Thema Datenschutzbestimmungen einhalten mithilfe von Identity and Access Management (IAM) widmen wir uns in diesem Teil zwei weiteren Gesetzen: der Electronic Identification, Authentication and Trust Services Regulation (eIDAS) und der Network and Information Security Directive (NIS2).

Während eIDAS elektronische Interaktionen fördern will, strebt NIS2 EU-weit eine höhere Cybersicherheit an. 

Wie erleichtert IAM die Einhaltung der Bestimmungen von eIDAS und NIS2? Und wie lassen sich Compliance und Cybersicherheit mit nicht-technischen Massnahmen zusätzlich stärken? Die Antworten, einschliesslich konkreter Tipps, erhalten Sie hier. 

eIDAS

Eine allgemeine Übersicht

eIDAS (in Deutschland auch IVT [elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen]) will das Vertrauen in elektronische Interaktionen stärken. Die Verordnung regelt europaweit den Einsatz von Vertrauensdiensten und elektronischer Identifizierung. Sie richtet sich insbesondere an Anbieter von elektronischen Identitäten (E-ID) und Trust Services. Die Vorteile von eIDAS sind vielfältig: mehr Sicherheit, höhere Nutzerfreundlichkeit sowie die Möglichkeit, länderübergreifend Steuererklärungen einzureichen, sich an einer Universität einzuschreiben oder ein Unternehmen zu gründen usw. 

Die zentralen Eckpunkte von eIDAS: 

blog_managed_digital_identitiy_2_de_1

  • Gegenseitige Anerkennung von E-IDs, die von EU-Ländern ausgestellt wurden und bestimmte regulatorische Kriterien erfüllen, um eine sichere Nutzung in allen Mitgliedstaaten zu gewährleisten. 
  • Kompatibilität nationaler E-ID-Systeme auf einer technologieneutralen Basis, um die Zusammenarbeit und den Datenaustausch zu erleichtern. 
  • Standardisierte Trust Services wie Electronic Registered Delivery Services (ERDS), elektronische Signaturen, Siegel und Zeitstempel, um sichere, überprüfbare Transaktionen zu gewährleisten. 
  • Qualifizierte Trust Services, die strenge rechtliche Standards erfüllen und EU-weit tätig sind, um die digitale Wirtschaft bei der Schaffung eines einheitlichen Markts zu unterstützen.
  • Richtlinien und technische Spezifikationen, definiert von der Europäischen Kommission, die gewährleisten, dass die EU-weiten E-ID-Systeme aufeinander abgestimmt und kompatibel sind.  

So hilft IAM, die Bestimmungen von eIDAS zu erfüllen 

Ein IAM-System bietet die notwendigen Tools und Kontrollmechanismen, um elektronische IDs zu verwalten, sichere Transaktionen zu gewährleisten und die Nutzung von Trust Services zu vereinfachen. Dadurch unterstützt es die Einhaltung der eIDAS-Bestimmungen wie folgt: 

So hilft IAM, die eIDAS-Bestimmungen zu erfüllen  
Thema eIDAS-Bestimmung   Nutzen von IAM  
Elektronische Identifikation und gegenseitige Anerkennung  
Erfüllen bestimmter Kriterien für eine EU-weit sichere und anerkannte Nutzung nationaler E-IDs 
Ist in das nationale E-ID-System integriert und gewährleistet hohe Sicherheit dank MFA sowie geschützte länderübergreifende Transaktionen 
Kompatibilität der E-ID-Systeme 
Gewährleisten der Kompatibilität nationaler E-ID-Systeme mittels technologieneutraler Basis 
Fördert die Kompatibilität durch Integration verschiedener E-ID-Protokolle und Technologie-Unabhängigkeit 
Trust Services  
Bereitstellen standardisierter Trust Services wie Signaturen und Siegel, um sichere, überprüfbare Transaktionen zu gewährleisten 
Verwaltet und prüft qualifizierte elektronische Signaturen, Siegel sowie Zertifikate und gewährleistet Integrität von Dokumenten  
Prüfbarkeit und Meldewesen 
Nachweisen der Einhaltung von Datenschutzbestimmungen 
Ermöglicht dank detaillierten Log-Dateien, nachzuverfolgen und zu prüfen, wer wann auf Personendaten zugegriffen hat  
  • Elektronische Identifikation und gegenseitige Anerkennung 
    Eine IAM-Lösung authentifiziert und verwaltet elektronische Identitäten. Sie ist in das nationale E-ID-System eingebunden und akzeptiert E-IDs aus der gesamten EU. Zudem gewährleistet sie eine hohe Sicherheit durch Multi-Faktor-Authentifizierung (MFA) sowie sichere länderübergreifende Transaktionen, indem sie es ermöglicht, die Identität bei Signaturen und der elektronischen Archivierung aus der Ferne zu prüfen. 
  • Kompatibilität der E-ID-Systeme 
    Indem eine IAM-Lösung diverse E-ID-Protokolle integriert und auf einer technologieneutralen Basis läuft, fördert sie die Kompatibilität nationaler E-ID-Systeme. Dies ermöglicht nicht nur einen nahtlosen Datenaustausch, sondern auch die Konformität mit verschiedenen E-ID- Systemen in der EU. 
  • Trust Services 
    IAM verwaltet und prüft qualifizierte elektronische Signaturen, Siegel und Zertifikate. Damit gewährleistet es die Integrität von Dokumenten und die Einhaltung der eIDAS-Standards. Zudem ist eine IAM-Lösung in Systeme von Qualified Trust Service Providers (QTSPs) integrierbar und damit in der Lage, rechtlich anerkannte Dienstleistungen anzubieten wie elektronische Zeitstempel, die den Zeitpunkt und die Authentizität digitaler Transaktionen nachweisen. 
  • Prüfbarkeit und Meldewesen 
    Ein IAM-System erstellt Logs von sämtlichen Aktivitäten einer E-ID, einer Signatur oder eines Siegels, was die von eIDAS geforderte Prüfbarkeit unterstützt. Es ermöglicht es einem Unternehmen zudem, auf einen Sicherheitsvorfall zu reagieren. Dies stärkt die betriebliche Resilienz, wie es eIDAS verlangt.  

NIS2

Eine allgemeine Übersicht

NIS2, die neue Fassung der «Network and Information Security»-Richtlinie, will Cybersecurity-Standards und auch Bussen erhöhen, um ein hohes gemeinsames Cybersicherheitsniveau der EU-Mitgliedstaaten zu erreichen. Von NIS2 betroffen sind sämtliche Unternehmen, die als sogenannt «kritische Einrichtungen» für die Aufrechterhaltung der europäischen Wirtschaft gelten.

«Wesentliche» und «wichtige» Einrichtungen 

NIS2 geht über die traditionellen kritischen Infrastrukturen hinaus und sieht die Einhaltung der Vorschriften in 18 Sektoren der EU-Wirtschaft vor. Elf davon sind als «wesentliche Einrichtungen» definiert und unterstehen strengeren regulatorischen Vorgaben – z.B. betreffend Übersicht, Bussen und Sicherheitsmassnahmen – als die sieben «wichtigen Einrichtungen». Welche Vorschriften einzuhalten sind, hängt von der Grösse ab. Dabei wird unterschieden zwischen mittleren Unternehmen (50+ Mitarbeitende oder 10+ Mio. EUR Umsatz) und grossen Unternehmen (250+ Mitarbeitende oder 50+ Mio. EUR Umsatz). Auch Kleinfirmen können im Rahmen von länderspezifischen Gesetzen NIS2 unterstellt werden, wenn sie von bedeutendem öffentlichen Interesse sind. 

Inwiefern sind Schweizer Unternehmen von NIS2 betroffen? 

Die Richtlinie ist auch für Schweizer Unternehmen relevant, weil sie explizit Lieferketten und Partnerfirmen einbezieht. Das bedeutet, dass Schweizer Unternehmen, die in der europäischen Wirtschaft tätig sind, NIS2 ebenfalls beachten müssen. 

Welche Massnahmen sollten Unternehmen ergreifen? 

blog_managed_digital_identitiy_2_de_2

Das Hauptziel von NIS2 ist es, das Cybersicherheitsniveau innerhalb der EU zu erhöhen. Unternehmen müssen nun eine angemessene Sicherheitsrichtlinie erarbeiten, die beschreibt, wie sie ihr Netzwerk und ihre Systeme schützen. Die Richtlinie muss sich an den Unternehmenszielen orientieren, Rollen und Verantwortlichkeiten definieren und regelmässig überprüft werden. So lässt sich gewährleisten, dass sie dem aktuellen Stand der Technik entspricht. 

NIS2 fordert überdies die Einrichtung eines Risikomanagements, das Unternehmen befähigt, ihre Risiken zu beurteilen und Sicherheitsrisiken den Anspruchsgruppen zu melden. Das Risikomanagement muss auf einem risikoübergreifenden Ansatz sowie auf relevanten Kriterien beruhen und gängigen Branchenstandards entsprechen.

NIS2 verlangt des Weiteren, dass Unternehmen und Mitgliedstaaten angemessen auf den Umgang mit einem Cybersicherheits-Vorfall vorbereitet sind. Dies beispielsweise mit einem sogenannten Computer Security Incident Response Team (CSIRT) und einer zuständigen nationalen Behörde für Netzwerke und Informationssysteme. Sämtliche Sicherheitsvorfälle sind zu melden, zu protokollieren und zu kommunizieren.

Neben einer höheren EU-weiten Cybersicherheit will NIS2 die Geschäftskontinuität («business continuity») und die Notfallwiederherstellung («disaster recovery») gewährleisten. Deshalb richtet sich NIS2 insbesondere an Unternehmen, die in der europäischen Wirtschaft eine «kritische Rolle» spielen.

So hilft IAM, die Bestimmungen von NIS2 zu erfüllen

Ein IAM-System kann ein integraler Bestandteil des Risikomanagements sein: Zahlreiche seiner Funktionen, z.B. die Zugangsverwaltung, helfen ganz direkt, die Sicherheitsrisiken von Unternehmen reduzieren.

So hilft IAM, die NIS2-Bestimmungen zu erfüllen 
Thema NIS2-Bestimmung  Nutzen von IAM 
Sicherheitsrichtlinie   
Beschreiben der Strategie, wie Netzwerk und IT-Systeme geschützt werden, abgestimmt auf Unternehmensziele und inkl. Rollen 
Setzt Richtlinie durch, indem es strenge Kontrollen anwendet für Zugang zu Netzwerk und IT-Systemen 
Risikomanagement 
Durchführen von Risikobeurteilungen und Informieren der Anspruchsgruppen über Risiken 
Schützt Netzwerk und IT-Systeme durch Zugangskontrollen, MFA und PAM  
Reaktion auf Cybersicherheits-Vorfall 
Angemessener Umgang mit einem Vorfall, inkl. Melden, Protokollieren und Kommunizieren 
Ermöglicht, einen Vorfall rasch zu erkennen, zu melden und darauf zu reagieren dank Echtzeit-Überwachung, Prüfprotokollen und Tracking 
Geschäftskontinuität 
Gewährleisten der Geschäftskontinuität und Wiederherstellung von Systemen bei einem Sicherheits-Vorfall 
Automatisiert und koordiniert Backup und Wiederherstellung, z.B. durch raschen Widerruf von Zugangsberechtigungen 

Konkret unterstützt eine IAM-Lösung die Einhaltung der NIS2-Bestimmungen wie folgt: 

  • Sicherheitsrichtlinie 
    Eine IAM-Lösung hilft, die Sicherheitsrichtlinie durchzusetzen, indem sie strenge Zugangskontrollen (auch für privilegierte Accounts) zu Unternehmensnetzwerk und -IT-Systemen anwendet. 
  • Risikomanagement 
    Eine Kernkomponente sollte hier das IKT-Risikomanagement sein, d.h. der Schutz der Informations- und Kommunikationstechnologie. Ein IAM-System setzt die Zugangskontrolle, MFA und Privileged Access Management (PAM) durch und schützt so vor Cyberangriffen und Störungsfällen. 
  • Reaktion auf einen Cybersicherheits-Vorfall 
    Neben einem dedizierten internen Team und einer nationalen Behörde hilft auch ein IAM-System beim Umgang mit einem Cybersicherheits-Vorfall: Es bietet Überwachung in Echtzeit, Prüfprotokolle und die Möglichkeit, den Vorfall zu verfolgen. Damit befähigt es ein Unternehmen, einen Vorfall rasch zu erkennen, zu melden, darauf zu reagieren und ihn zu steuern.
  • Geschäftskontinuität 
    Im Fall einer Sicherheitsverletzung kann eine IAM-Lösung Backup- und Wiederherstellungsaufgaben automatisieren und koordinieren, zum Beispiel den schnellen Widerruf einer Zugangsberechtigung. 

Nicht-technische Compliance-Massnahmen

Die oben sowie die in unserem ersten Blog beschriebenen gesetzlichen Bestimmungen sind nur einige der Anforderungen, die Unternehmen erfüllen müssen. Je nach ihrem Angebot unterliegen sie anderen, spezifischeren Bestimmungen. 

Wie gerade gesehen, kann sich die Einhaltung der gesetzlichen Bestimmungen zur Cybersicherheit als komplex erweisen – umso mehr, als dass sich die Situation laufend verändert. Der Schlüssel zum Erfolg ist hier ein strukturierter Ansatz, der die Sicherheit, die Genauigkeit und die Ausrichtung auf rechtliche Standards gewährleistet. Dieses Ziel erreicht ein Unternehmen, indem es einige erprobte Strategien umsetzt. Zum Beispiel: 

blog_managed_digital_identitiy_2_de_3

  • Halten Sie sich auf dem Laufenden über die Bestimmungen, die für Ihr Unternehmen gelten 

    Zunächst müssen Sie herausfinden, welchen Bestimmungen Ihr Unternehmen unterliegt. Ermitteln Sie alle regulatorischen Anforderungen, die für Ihre Branche, Ihren Standort und Ihr Geschäftsmodell relevant sind. Erstellen Sie eine Liste davon, die Sie regelmässig aktualisieren, und weisen Sie firmenintern die Verantwortlichkeiten zu. So stellen Sie sicher, dass Sie keine Änderung verpassen.

    → Tipp: Abonnieren Sie Newsletters zum Thema Compliance aus Ihrer Branche, um über Änderungen von Gesetzen und Richtlinien auf dem Laufenden zu bleiben. 
  • Verstehen Sie die internen Prozesse und führen Sie Audits durch 

    Stellen Sie sicher, dass Sie die Prozesse in Ihrem Unternehmen von Grund auf verstehen. Decken Sie allfällige Prozess-Schwachstellen mithilfe von Audits auf. Beheben Sie sie, indem Sie Richtlinien und Verfahren erarbeiten, dokumentieren und klar allen Anspruchsgruppen gegenüber kommunizieren. 

    → Tipp: Um ein vollständiges Bild zu erhalten, empfiehlt es sich, ein funktionsübergreifendes Audit-Team zusammenzustellen mit IT-, HR-, Rechts- und Compliance-Spezialisten. 
  • Stärken Sie die interne Zusammenarbeit und Kommunikation 

    Um die geschäftlichen mit den rechtlichen Anforderungen abzugleichen, ist die Zusammenarbeit zwischen IT, HR, Legal und Operations entscheidend. Regelmässige Schulungen helfen, die Mitarbeitenden über Compliance-Richtlinien auf dem Laufenden zu halten, minimieren Fehler und fördern eine Bewusstseinskultur. 

    → Tipp: Gestalten Sie die Compliance-Schulungen rollenspezifisch und spannend. Interaktive Lektionen, reale Szenarien und regelmässige Auffrischungen sorgen dafür, dass Mitarbeitende das Gelernte besser verstehen und abspeichern.
  • Führen Sie ein aktiv verwaltetes IAM-System ein 

    Ein IAM-System ersetzt solide interne Prozesse nicht. Es ermöglicht aber die Automatisierung zahlreicher Routineaufgaben, wodurch es menschliche Fehler reduziert und die interne Governance unterstützt. Eine Partnerschaft mit einem Anbieter von IAM-Lösungen eröffnet zudem den Zugang zu Spezialistenwissen und -beratung.  

    → Tipp: Wählen Sie eine IAM-Lösung, bei der sich die Compliance-Einstellungen individuell anpassen lassen. Ebenso wichtig: Sie muss in die anderen Systeme integrierbar sein und eine nahtlose Datennutzung und Berichterstattung erlauben. 

 

In dem Fall alles klar? Fast.  

Ein Unternehmen kann das Einhalten regulatorischer Vorgaben als abzuhakende Aufgabe betrachten, die Revisoren zufriedenstellt und nach einem Vorfall als Schutz dient. Der wahre Wert der Compliance liegt jedoch darin, dass sie den Weg zu tragfähigen Sicherheitsmassnahmen weist. Unternehmen, die über die Mindeststandards hinausgehen und ihre Abwehr gezielt stärken, halten Cyberangriffen besser stand. 

Eine IAM-Lösung spielt dabei eine entscheidende Rolle, da sie die Sicherheit über die schiere Einhaltung von Vorschriften hinaus erhöht. Nur so ist es möglich, echte Sicherheit zu schaffen, Risiken zu minimieren, die Resilienz des Unternehmens zu stärken und zugleich die rechtlichen Pflichten zu erfüllen – sei es im Zusammenhang mit dem DSG, der DSGVO, DORA, eIDAS oder NIS2.

Ich möchte mehr darüber erfahren, wie IAM die Compliance unterstützt und die Cybersicherheit stärkt

Spezialisten kontaktieren

Publiziert am 29 Jan 2025

Autor

Picture of Carmen Kirchdorfer
Carmen Kirchdorfer

Marketing Manager

Placeholder