ISO 27001 / NIS2 Word (.docx)Kostenlos

Patch-Management-Richtlinie: Muster mit Fristen (ISO 27001 / NIS2)

Ungepatchte Systeme sind das häufigste Einfallstor für Angreifer. Diese kostenlose Muster-Richtlinie legt fest, wie Sicherheitsupdates zeitnah und kontrolliert eingespielt werden, inklusive risikobasierter Fristen nach Kritikalität.

Patch-Management-Richtlinie

Word (.docx) · sofort einsatzbereit

Kostenlos herunterladen

Keine Anmeldung nötig

Worum geht es?

Eine Patch-Management-Richtlinie regelt, wie Sicherheitsupdates identifiziert, getestet und eingespielt werden. Sie setzt ISO 27001 A.8.8 (technische Schwachstellen) um und gehört zur NIS2-Pflicht zu Beschaffung, Entwicklung und Wartung.

Kern der Vorlage sind risikobasierte Zielfristen: kritische Updates binnen Stunden, hohe binnen Tagen, der Rest im regulären Wartungsfenster. Ein aktuelles Asset-Inventar ist die Grundlage, damit kein System vergessen wird.

Enthalten sind Verantwortlichkeiten, Fristen nach Kritikalität, Test und Einspielung, der Umgang mit nicht patchbaren Altsystemen sowie Dokumentation und Überprüfung.

Was die Vorlage enthält

Zweck & Geltungsbereich

Server, Endgeräte, Anwendungen, Netzwerkkomponenten

Verantwortlichkeiten

Patch-Prozess und Asset-Inventar als Grundlage

Fristen nach Kritikalität

Kritisch, hoch, mittel/niedrig mit Zielterminen

Test & Einspielung

Test vor Produktivfreigabe, Wartungsfenster, Notfall-Patches

Nicht patchbare Systeme

Kompensierende Maßnahmen und Restrisiko

Dokumentation & Überprüfung

Nachweis eingespielter Updates, jährliche Überprüfung

Die Vorlage eignet sich für IT-Leitung und Dienstleister, die den Update-Prozess nachweisbar regeln müssen. Passen Sie die Fristen an Ihre Umgebung an.

Häufige Fehler beim Ausfüllen

Keine definierten Fristen

Ohne Zielfristen nach Kritikalität bleiben kritische Lücken zu lange offen.

Systeme nicht erfasst

Was nicht im Asset-Inventar steht, wird beim Patchen vergessen, oft gerade Altsysteme und Netzwerkgeräte.

Altsysteme ohne Kompensation

Nicht patchbare Systeme brauchen kompensierende Maßnahmen, sonst bleibt ein unkontrolliertes Risiko.

Vorlage pflegen kostet Zeit. Es geht auch automatisch.

Dies ist eine gekürzte Muster-Fassung. In CompliantDesk verankern Sie Patch-Vorgaben als Control, verknüpfen sie mit Assets und Nachweisen und lassen Reviews automatisch terminieren.

Häufig gestellte Fragen

Wie schnell muss ich kritische Updates einspielen?

Risikobasiert. Für kritische, aktiv ausgenutzte Schwachstellen sind wenige Tage oder schneller üblich. Die Vorlage schlägt Zielfristen nach Kritikalität vor, die Sie anpassen.

Muss ich Updates vorher testen?

Wo möglich ja, um Betriebsstörungen zu vermeiden. Bei akuter Bedrohung kann ein Notfall-Patch beschleunigt eingespielt werden.

Was mache ich mit nicht mehr patchbaren Systemen?

Kompensierende Maßnahmen ergreifen (Isolierung, Segmentierung, verschärfte Überwachung) und das Restrisiko dokumentieren.

Compliance ohne Excel-Chaos

CompliantDesk führt VVT, Risiken, Richtlinien und Nachweise in einem System, mit gemeinsamem Kern-Modell für ISO 27001, NIS2 und DSGVO. Sehen Sie es in einer kurzen Demo.