CompliantDesk

NIS2-Risikomanagementpflicht · Buchstabe e)

Sicherheit bei Beschaffung, Entwicklung & Wartung

NIS2Art. 21 Abs. 2 Buchst. e) NIS2-Richtlinie (in Deutschland §30 BSIG)

Sicherheit muss über den gesamten Lebenszyklus Ihrer Systeme gewährleistet sein: bei Beschaffung, Entwicklung und Wartung. Dazu gehören Schwachstellen- und Patchmanagement sowie eine sichere Konfiguration (Härtung) Ihrer IT.

Warum diese Pflicht wichtig ist

Ungepatchte Schwachstellen und unsichere Standardkonfigurationen sind das häufigste Einfallstor für Angriffe. Ein systematischer Patch- und Härtungsprozess schließt diese Lücken zeitnah.

So setzen Sie die Pflicht um

  1. 1Sicherheitsanforderungen bei Beschaffung und Entwicklung festlegen
  2. 2Schwachstellen systematisch erkennen (Scans, CERT-Warnungen, Hersteller-Advisories)
  3. 3Patches risikobasiert und fristgerecht einspielen
  4. 4Systeme nach Härtungs-Baselines sicher konfigurieren
  5. 5Änderungen über ein Change-Management steuern

Diese Nachweise erwartet die Aufsicht

  • Schwachstellen- und Patchmanagement-Prozess mit Fristen
  • Scan-Ergebnisse und dokumentierter Patchstand
  • Härtungs-Baselines und Konfigurationsnachweise

Häufige Fehler

Patches verschleppt

Bekannte kritische Lücken bleiben wochenlang offen.

Standardkonfiguration

Systeme laufen mit unsicheren Werkseinstellungen ohne Härtung.

Passende ISO-27001-Controls

Wer ISO 27001 umsetzt, erfüllt diese NIS2-Pflicht weitgehend mit. Diese Annex-A-Controls decken den Bereich ab:

A.8.8

Handhabung technischer Schwachstellen

A.8.9

Konfigurationsmanagement

A.8.25

Sicherer Entwicklungslebenszyklus

Häufig gestellte Fragen

Wie schnell muss ich patchen?

Risikobasiert: kritische und aktiv ausgenutzte Schwachstellen so schnell wie möglich, idealerweise binnen weniger Tage.

Was ist eine Härtungs-Baseline?

Ein definierter, sicherer Soll-Zustand für Systeme, oft auf Basis anerkannter Standards wie CIS Benchmarks.

Brauche ich einen Schwachstellenscanner?

Für eine systematische Erkennung ja, ergänzt um die Auswertung von Hersteller- und CERT-Meldungen.

Beschaffung, Entwicklung & Schwachstellen mit CompliantDesk umsetzen

CompliantDesk deckt diesen Bereich mit folgenden Modulen ab: Schwachstellenmanagement · Assets · Kontrollen. Starten Sie mit dem kostenlosen NIS2-Check.

NIS2-Check gratis Demo buchen

Verwandte NIS2-Pflichten

Buchstabe d)

Lieferkettensicherheit

Buchstabe f)

Wirksamkeitsbewertung