NIS2 Art. 21(2)(e)Schwachstellenmanagement
Werden bei der Beschaffung oder Entwicklung von Software Sicherheitsanforderungen explizit definiert und geprüft?
Worum geht es bei dieser Anforderung?
NIS2 Art. 21(2)(e) umfasst die Sicherheit bei Erwerb und Entwicklung von Systemen. Werden Sicherheitsanforderungen erst nachträglich betrachtet, entstehen teure und schwer behebbare Schwachstellen. 'Security by Design' senkt das Risiko von Beginn an.
Was Sie konkret prüfen sollten
- 1Werden bei Ausschreibung/Beschaffung Sicherheitskriterien (z.B. ISO 27001, sichere Defaults, Update-Fähigkeit) gefordert?
- 2Gibt es bei Eigenentwicklung Secure-Coding-Vorgaben und Sicherheitstests (z.B. OWASP, Code-Review, SAST)?
Wo der Nachweis liegt
Typische Fundstelle für den Nachweis:
Beschaffungsrichtlinie / Secure-Development-Vorgaben
Weiterführende QuelleAlle NIS2-Anforderungen auf einen Blick prüfen
Der kostenlose NIS2-Check führt Sie durch den kompletten Katalog und zeigt Reifegrad, Lücken und konkrete Maßnahmen - ohne Anmeldung.
Weitere Fragen aus Schwachstellenmanagement
Gibt es einen Patch-Management-Prozess mit definierten Fristen (kritisch ≤ 72h)?Werden regelmäßige Vulnerability Scans (mind. quartalsweise) durchgeführt?Ist ein Asset-Inventar aller IT-Systeme aktuell und vollständig?Gibt es einen Prozess für den Umgang mit Zero-Day-Schwachstellen?Werden Systeme nach Best Practices gehärtet (CIS Benchmarks / BSI-Grundschutz)?Gibt es einen dokumentierten Change-Management-Prozess für IT-Systemänderungen (inkl. Test, Freigabe, Rollback)?
