Datenschutzbestimmungen einfacher einhalten mit einer IAM-Lösung II

Nach dem DSG, der DSGVO und DORA im ersten Blog zum Thema Datenschutzbestimmungen einhalten mithilfe von Identity and Access Management (IAM) widmen wir uns in diesem Teil zwei weiteren Gesetzen: der Electronic Identification, Authentication and Trust Services Regulation (eIDAS) und der Network and Information Security Directive (NIS2).

Während eIDAS elektronische Interaktionen fördern will, strebt NIS2 EU-weit eine höhere Cybersicherheit an. 

Wie erleichtert IAM die Einhaltung der Bestimmungen von eIDAS und NIS2? Und wie lassen sich Compliance und Cybersicherheit mit nicht-technischen Massnahmen zusätzlich stärken? Die Antworten, einschliesslich konkreter Tipps, erhalten Sie hier. 

eIDAS

Eine allgemeine Übersicht

eIDAS (in Deutschland auch IVT [elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen]) will das Vertrauen in elektronische Interaktionen stärken. Die Verordnung regelt europaweit den Einsatz von Vertrauensdiensten und elektronischer Identifizierung. Sie richtet sich insbesondere an Anbieter von elektronischen Identitäten (E-ID) und Trust Services. Die Vorteile von eIDAS sind vielfältig: mehr Sicherheit, höhere Nutzerfreundlichkeit sowie die Möglichkeit, länderübergreifend Steuererklärungen einzureichen, sich an einer Universität einzuschreiben oder ein Unternehmen zu gründen usw. 

Die zentralen Eckpunkte von eIDAS: 

• Gegenseitige Anerkennung von E-IDs, die von EU-Ländern ausgestellt wurden und bestimmte regulatorische Kriterien erfüllen, um eine sichere Nutzung in allen Mitgliedstaaten zu gewährleisten. 
• Kompatibilität nationaler E-ID-Systeme auf einer technologieneutralen Basis, um die Zusammenarbeit und den Datenaustausch zu erleichtern. 
• Standardisierte Trust Services wie Electronic Registered Delivery Services (ERDS), elektronische Signaturen, Siegel und Zeitstempel, um sichere, überprüfbare Transaktionen zu gewährleisten. 
• Qualifizierte Trust Services, die strenge rechtliche Standards erfüllen und EU-weit tätig sind, um die digitale Wirtschaft bei der Schaffung eines einheitlichen Markts zu unterstützen.
• Richtlinien und technische Spezifikationen, definiert von der Europäischen Kommission, die gewährleisten, dass die EU-weiten E-ID-Systeme aufeinander abgestimmt und kompatibel sind.  

So hilft IAM, die Bestimmungen von eIDAS zu erfüllen 

Ein IAM-System bietet die notwendigen Tools und Kontrollmechanismen, um elektronische IDs zu verwalten, sichere Transaktionen zu gewährleisten und die Nutzung von Trust Services zu vereinfachen. Dadurch unterstützt es die Einhaltung der eIDAS-Bestimmungen wie folgt: 

• Elektronische Identifikation und gegenseitige Anerkennung 
  Eine IAM-Lösung authentifiziert und verwaltet elektronische Identitäten. Sie ist in das nationale E-ID-System eingebunden und akzeptiert E-IDs aus der gesamten EU. Zudem gewährleistet sie eine hohe Sicherheit durch Multi-Faktor-Authentifizierung (MFA) sowie sichere länderübergreifende Transaktionen, indem sie es ermöglicht, die Identität bei Signaturen und der elektronischen Archivierung aus der Ferne zu prüfen. 
• Kompatibilität der E-ID-Systeme 
  Indem eine IAM-Lösung diverse E-ID-Protokolle integriert und auf einer technologieneutralen Basis läuft, fördert sie die Kompatibilität nationaler E-ID-Systeme. Dies ermöglicht nicht nur einen nahtlosen Datenaustausch, sondern auch die Konformität mit verschiedenen E-ID- Systemen in der EU. 
• Trust Services 
  IAM verwaltet und prüft qualifizierte elektronische Signaturen, Siegel und Zertifikate. Damit gewährleistet es die Integrität von Dokumenten und die Einhaltung der eIDAS-Standards. Zudem ist eine IAM-Lösung in Systeme von Qualified Trust Service Providers (QTSPs) integrierbar und damit in der Lage, rechtlich anerkannte Dienstleistungen anzubieten wie elektronische Zeitstempel, die den Zeitpunkt und die Authentizität digitaler Transaktionen nachweisen. 
• Prüfbarkeit und Meldewesen 
  Ein IAM-System erstellt Logs von sämtlichen Aktivitäten einer E-ID, einer Signatur oder eines Siegels, was die von eIDAS geforderte Prüfbarkeit unterstützt. Es ermöglicht es einem Unternehmen zudem, auf einen Sicherheitsvorfall zu reagieren. Dies stärkt die betriebliche Resilienz, wie es eIDAS verlangt.  

NIS2

Eine allgemeine Übersicht

NIS2, die neue Fassung der «Network and Information Security»-Richtlinie, will Cybersecurity-Standards und auch Bussen erhöhen, um ein hohes gemeinsames Cybersicherheitsniveau der EU-Mitgliedstaaten zu erreichen. Von NIS2 betroffen sind sämtliche Unternehmen, die als sogenannt «kritische Einrichtungen» für die Aufrechterhaltung der europäischen Wirtschaft gelten.

«Wesentliche» und «wichtige» Einrichtungen 

NIS2 geht über die traditionellen kritischen Infrastrukturen hinaus und sieht die Einhaltung der Vorschriften in 18 Sektoren der EU-Wirtschaft vor. Elf davon sind als «wesentliche Einrichtungen» definiert und unterstehen strengeren regulatorischen Vorgaben – z.B. betreffend Übersicht, Bussen und Sicherheitsmassnahmen – als die sieben «wichtigen Einrichtungen». Welche Vorschriften einzuhalten sind, hängt von der Grösse ab. Dabei wird unterschieden zwischen mittleren Unternehmen (50+ Mitarbeitende oder 10+ Mio. EUR Umsatz) und grossen Unternehmen (250+ Mitarbeitende oder 50+ Mio. EUR Umsatz). Auch Kleinfirmen können im Rahmen von länderspezifischen Gesetzen NIS2 unterstellt werden, wenn sie von bedeutendem öffentlichen Interesse sind. 

Inwiefern sind Schweizer Unternehmen von NIS2 betroffen? 

Die Richtlinie ist auch für Schweizer Unternehmen relevant, weil sie explizit Lieferketten und Partnerfirmen einbezieht. Das bedeutet, dass Schweizer Unternehmen, die in der europäischen Wirtschaft tätig sind, NIS2 ebenfalls beachten müssen. 

Welche Massnahmen sollten Unternehmen ergreifen? 

Das Hauptziel von NIS2 ist es, das Cybersicherheitsniveau innerhalb der EU zu erhöhen. Unternehmen müssen nun eine angemessene Sicherheitsrichtlinie erarbeiten, die beschreibt, wie sie ihr Netzwerk und ihre Systeme schützen. Die Richtlinie muss sich an den Unternehmenszielen orientieren, Rollen und Verantwortlichkeiten definieren und regelmässig überprüft werden. So lässt sich gewährleisten, dass sie dem aktuellen Stand der Technik entspricht. 

NIS2 fordert überdies die Einrichtung eines Risikomanagements, das Unternehmen befähigt, ihre Risiken zu beurteilen und Sicherheitsrisiken den Anspruchsgruppen zu melden. Das Risikomanagement muss auf einem risikoübergreifenden Ansatz sowie auf relevanten Kriterien beruhen und gängigen Branchenstandards entsprechen.

NIS2 verlangt des Weiteren, dass Unternehmen und Mitgliedstaaten angemessen auf den Umgang mit einem Cybersicherheits-Vorfall vorbereitet sind. Dies beispielsweise mit einem sogenannten Computer Security Incident Response Team (CSIRT) und einer zuständigen nationalen Behörde für Netzwerke und Informationssysteme. Sämtliche Sicherheitsvorfälle sind zu melden, zu protokollieren und zu kommunizieren.

Neben einer höheren EU-weiten Cybersicherheit will NIS2 die Geschäftskontinuität («business continuity») und die Notfallwiederherstellung («disaster recovery») gewährleisten. Deshalb richtet sich NIS2 insbesondere an Unternehmen, die in der europäischen Wirtschaft eine «kritische Rolle» spielen.

So hilft IAM, die Bestimmungen von NIS2 zu erfüllen

Ein IAM-System kann ein integraler Bestandteil des Risikomanagements sein: Zahlreiche seiner Funktionen, z.B. die Zugangsverwaltung, helfen ganz direkt, die Sicherheitsrisiken von Unternehmen reduzieren.

Konkret unterstützt eine IAM-Lösung die Einhaltung der NIS2-Bestimmungen wie folgt: 

• Sicherheitsrichtlinie 
  Eine IAM-Lösung hilft, die Sicherheitsrichtlinie durchzusetzen, indem sie strenge Zugangskontrollen (auch für privilegierte Accounts) zu Unternehmensnetzwerk und -IT-Systemen anwendet. 
• Risikomanagement 
  Eine Kernkomponente sollte hier das IKT-Risikomanagement sein, d.h. der Schutz der Informations- und Kommunikationstechnologie. Ein IAM-System setzt die Zugangskontrolle, MFA und Privileged Access Management (PAM) durch und schützt so vor Cyberangriffen und Störungsfällen. 
• Reaktion auf einen Cybersicherheits-Vorfall 
  Neben einem dedizierten internen Team und einer nationalen Behörde hilft auch ein IAM-System beim Umgang mit einem Cybersicherheits-Vorfall: Es bietet Überwachung in Echtzeit, Prüfprotokolle und die Möglichkeit, den Vorfall zu verfolgen. Damit befähigt es ein Unternehmen, einen Vorfall rasch zu erkennen, zu melden, darauf zu reagieren und ihn zu steuern.
• Geschäftskontinuität 
  Im Fall einer Sicherheitsverletzung kann eine IAM-Lösung Backup- und Wiederherstellungsaufgaben automatisieren und koordinieren, zum Beispiel den schnellen Widerruf einer Zugangsberechtigung. 

Nicht-technische Compliance-Massnahmen

Die oben sowie die in unserem ersten Blog beschriebenen gesetzlichen Bestimmungen sind nur einige der Anforderungen, die Unternehmen erfüllen müssen. Je nach ihrem Angebot unterliegen sie anderen, spezifischeren Bestimmungen. 

Wie gerade gesehen, kann sich die Einhaltung der gesetzlichen Bestimmungen zur Cybersicherheit als komplex erweisen – umso mehr, als dass sich die Situation laufend verändert. Der Schlüssel zum Erfolg ist hier ein strukturierter Ansatz, der die Sicherheit, die Genauigkeit und die Ausrichtung auf rechtliche Standards gewährleistet. Dieses Ziel erreicht ein Unternehmen, indem es einige erprobte Strategien umsetzt. Zum Beispiel: 

• Halten Sie sich auf dem Laufenden über die Bestimmungen, die für Ihr Unternehmen gelten 
  
  Zunächst müssen Sie herausfinden, welchen Bestimmungen Ihr Unternehmen unterliegt. Ermitteln Sie alle regulatorischen Anforderungen, die für Ihre Branche, Ihren Standort und Ihr Geschäftsmodell relevant sind. Erstellen Sie eine Liste davon, die Sie regelmässig aktualisieren, und weisen Sie firmenintern die Verantwortlichkeiten zu. So stellen Sie sicher, dass Sie keine Änderung verpassen.
  
  → Tipp: Abonnieren Sie Newsletters zum Thema Compliance aus Ihrer Branche, um über Änderungen von Gesetzen und Richtlinien auf dem Laufenden zu bleiben. 
• Verstehen Sie die internen Prozesse und führen Sie Audits durch 
  
  Stellen Sie sicher, dass Sie die Prozesse in Ihrem Unternehmen von Grund auf verstehen. Decken Sie allfällige Prozess-Schwachstellen mithilfe von Audits auf. Beheben Sie sie, indem Sie Richtlinien und Verfahren erarbeiten, dokumentieren und klar allen Anspruchsgruppen gegenüber kommunizieren. 
  
  → Tipp: Um ein vollständiges Bild zu erhalten, empfiehlt es sich, ein funktionsübergreifendes Audit-Team zusammenzustellen mit IT-, HR-, Rechts- und Compliance-Spezialisten. 
• Stärken Sie die interne Zusammenarbeit und Kommunikation 
  
  Um die geschäftlichen mit den rechtlichen Anforderungen abzugleichen, ist die Zusammenarbeit zwischen IT, HR, Legal und Operations entscheidend. Regelmässige Schulungen helfen, die Mitarbeitenden über Compliance-Richtlinien auf dem Laufenden zu halten, minimieren Fehler und fördern eine Bewusstseinskultur. 
  
  → Tipp: Gestalten Sie die Compliance-Schulungen rollenspezifisch und spannend. Interaktive Lektionen, reale Szenarien und regelmässige Auffrischungen sorgen dafür, dass Mitarbeitende das Gelernte besser verstehen und abspeichern.
• Führen Sie ein aktiv verwaltetes IAM-System ein 
  
  Ein IAM-System ersetzt solide interne Prozesse nicht. Es ermöglicht aber die Automatisierung zahlreicher Routineaufgaben, wodurch es menschliche Fehler reduziert und die interne Governance unterstützt. Eine Partnerschaft mit einem Anbieter von IAM-Lösungen eröffnet zudem den Zugang zu Spezialistenwissen und -beratung.  
  
  → Tipp: Wählen Sie eine IAM-Lösung, bei der sich die Compliance-Einstellungen individuell anpassen lassen. Ebenso wichtig: Sie muss in die anderen Systeme integrierbar sein und eine nahtlose Datennutzung und Berichterstattung erlauben. 

In dem Fall alles klar? Fast.  

Ein Unternehmen kann das Einhalten regulatorischer Vorgaben als abzuhakende Aufgabe betrachten, die Revisoren zufriedenstellt und nach einem Vorfall als Schutz dient. Der wahre Wert der Compliance liegt jedoch darin, dass sie den Weg zu tragfähigen Sicherheitsmassnahmen weist. Unternehmen, die über die Mindeststandards hinausgehen und ihre Abwehr gezielt stärken, halten Cyberangriffen besser stand. 

Eine IAM-Lösung spielt dabei eine entscheidende Rolle, da sie die Sicherheit über die schiere Einhaltung von Vorschriften hinaus erhöht. Nur so ist es möglich, echte Sicherheit zu schaffen, Risiken zu minimieren, die Resilienz des Unternehmens zu stärken und zugleich die rechtlichen Pflichten zu erfüllen – sei es im Zusammenhang mit dem DSG, der DSGVO, DORA, eIDAS oder NIS2.