NIS2 Art. 21(2)(e)Schwachstellenmanagement

Werden bei der Beschaffung oder Entwicklung von Software Sicherheitsanforderungen explizit definiert und geprüft?

Worum geht es bei dieser Anforderung?

NIS2 Art. 21(2)(e) umfasst die Sicherheit bei Erwerb und Entwicklung von Systemen. Werden Sicherheitsanforderungen erst nachträglich betrachtet, entstehen teure und schwer behebbare Schwachstellen. 'Security by Design' senkt das Risiko von Beginn an.

Was Sie konkret prüfen sollten

  • 1Werden bei Ausschreibung/Beschaffung Sicherheitskriterien (z.B. ISO 27001, sichere Defaults, Update-Fähigkeit) gefordert?
  • 2Gibt es bei Eigenentwicklung Secure-Coding-Vorgaben und Sicherheitstests (z.B. OWASP, Code-Review, SAST)?

Wo der Nachweis liegt

Typische Fundstelle für den Nachweis:

Beschaffungsrichtlinie / Secure-Development-Vorgaben

Weiterführende Quelle

Alle NIS2-Anforderungen auf einen Blick prüfen

Der kostenlose NIS2-Check führt Sie durch den kompletten Katalog und zeigt Reifegrad, Lücken und konkrete Maßnahmen - ohne Anmeldung.