NIS2 Art. 21(2)(e)Schwachstellenmanagement
Gibt es einen dokumentierten Change-Management-Prozess für IT-Systemänderungen (inkl. Test, Freigabe, Rollback)?
Worum geht es bei dieser Anforderung?
NIS2 Art. 21(2)(e) verlangt Sicherheit bei Wartung und Änderung von Systemen. Unkontrollierte Änderungen sind eine häufige Ursache für Ausfälle und Sicherheitslücken. Ein Change-Management-Prozess stellt sicher, dass Änderungen getestet, freigegeben und im Fehlerfall zurückgerollt werden können.
Was Sie konkret prüfen sollten
- 1Existiert ein dokumentierter Change-Prozess?
- 2Werden Änderungen vor dem Produktiveinsatz getestet?
- 3Gibt es eine formale Freigabe und einen Rollback-Plan?
- 4Werden Changes protokolliert (wer, was, wann)?
Wo der Nachweis liegt
Typische Fundstelle für den Nachweis:
IT-Betriebsdokumentation → Change-Management-Prozess
Weiterführende QuelleAlle NIS2-Anforderungen auf einen Blick prüfen
Der kostenlose NIS2-Check führt Sie durch den kompletten Katalog und zeigt Reifegrad, Lücken und konkrete Maßnahmen - ohne Anmeldung.
Weitere Fragen aus Schwachstellenmanagement
Gibt es einen Patch-Management-Prozess mit definierten Fristen (kritisch ≤ 72h)?Werden regelmäßige Vulnerability Scans (mind. quartalsweise) durchgeführt?Ist ein Asset-Inventar aller IT-Systeme aktuell und vollständig?Gibt es einen Prozess für den Umgang mit Zero-Day-Schwachstellen?Werden Systeme nach Best Practices gehärtet (CIS Benchmarks / BSI-Grundschutz)?Werden bei der Beschaffung oder Entwicklung von Software Sicherheitsanforderungen explizit definiert und geprüft?
