Ein weiterer Weg zur Erfüllung der NIS2-Richtlinie ist das vielversprechende Zero-Trust-Prinzip mit dem elementaren „Least Privileges“-Konzept. Das bedeutet, dass Nutzenden, Geräten und Systemen grundsätzlich nur vertraut wird, wenn sie ausdrücklich mit den notwendigen (minimalen) Rechten ausgestattet sind. Nur so erhalten die Nutzenden Zugriff auf die Systeme, Prozesse und Daten.
Ein solches Vorgehen reduziert die potenzielle Angriffsfläche und verhindert, dass Angreifer sich in der Infrastruktur ausbreiten können. Starke Authentifizierungsmechanismen sorgen zudem dafür, dass nur verifizierte Entitäten Zugang erhalten.
Auf der Basis des Zero-Trust-Prinzips kann damit beispielsweise in der Bundesverwaltung mit einer resilienten Sicherheitsebene ausgestattet werden, sodass Zugriffe auf spezifische Anwendungen steuerbar und durch bedarfsgerechte Richtlinien, die auf Basis einer transparenten Informationsgrundlage erstellt werden, auch effektiv evaluierbar werden. Eine stufenweise Umsetzung ermöglicht es, vorhandene Sicherheitsmaßnahmen beizubehalten und flexibel auf neue Anforderungen zu reagieren. Dies erfordert zwar einen kontinuierlichen Ressourceneinsatz. Langfristig können jedoch die Sicherheitsrisiken für Vertraulichkeit und Integrität minimiert werden und beispielsweise Cloud-Lösungen werden dadurch erst sinnvoll einsetzbar.