NIS2 Art. 21(2)(e)Schwachstellenmanagement
Werden regelmäßige Vulnerability Scans (mind. quartalsweise) durchgeführt?
Worum geht es bei dieser Anforderung?
Ohne Scans bleiben Schwachstellen unentdeckt. Automatische Scans sind Standard, Pentests ergänzen jährlich.
Was Sie konkret prüfen sollten
- 1Ist ein Vulnerability Scanner aktiv?
- 2Wie oft wird gescannt?
- 3Werden Findings priorisiert und abgearbeitet?
Wo der Nachweis liegt
Typische Fundstelle für den Nachweis:
Vulnerability-Scan-Reports / Remediation-Tracker
Weiterführende QuelleAlle NIS2-Anforderungen auf einen Blick prüfen
Der kostenlose NIS2-Check führt Sie durch den kompletten Katalog und zeigt Reifegrad, Lücken und konkrete Maßnahmen - ohne Anmeldung.
Weitere Fragen aus Schwachstellenmanagement
Gibt es einen Patch-Management-Prozess mit definierten Fristen (kritisch ≤ 72h)?Ist ein Asset-Inventar aller IT-Systeme aktuell und vollständig?Gibt es einen Prozess für den Umgang mit Zero-Day-Schwachstellen?Werden Systeme nach Best Practices gehärtet (CIS Benchmarks / BSI-Grundschutz)?Gibt es einen dokumentierten Change-Management-Prozess für IT-Systemänderungen (inkl. Test, Freigabe, Rollback)?Werden bei der Beschaffung oder Entwicklung von Software Sicherheitsanforderungen explizit definiert und geprüft?
