NIS2 in der Praxis – Teil 6: NIS2 Sicherheit bei Beschaffung, Entwicklung & Wartung (Secure SDLC & Patch-Management)

• 6.1 Sicherheitsmaßnahmen beim Erwerb von IKT-Diensten oder IKT-Produkten
• 6.2 Sicherer Entwicklungszyklus
• 6.3 Konfigurationsmanagement
• 6.4 Änderungsmanagement, Reparatur und Wartung
• 6.5 Sicherheitsprüfung
• 6.6 Sicherheitspatch-Management

Auf nis2-umsetzung.com gibt es dazu eine eigene Kategorie-Seite mit allen Unterpunkten:

👉 Kategorie „6. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung“

https://nis2-umsetzung.com/nis2umsvoannex-category/6-security-in-network-and-information-systems-acquisition-development-and-maintenance/

In diesem Teil unserer Reihe „NIS2 in der Praxis“ verbinden wir diese Anforderungen zu einem durchgängigen Ansatz:
Sicherheit wird von Anfang an mitgedacht – beim Einkauf, im Code, in der Konfiguration und bei jedem Patch.

ENISA unterstützt diesen Ansatz mit der NIS2 Technical Implementation Guidance, die u. a. konkrete Hinweise zu sicherer Entwicklung,
Change- und Patch-Management enthält und damit direkt auf die NIS2 Sicherheit bei Beschaffung, Entwicklung und Wartung einzahlt.

2. Sichere IKT-Beschaffung nach 6.1

Die NIS2UmsVO verlangt, dass Unternehmen für den Erwerb von IKT-Diensten und -Produkten strukturierte Sicherheitsverfahren
definieren, anwenden und regelmäßig überprüfen.

Kernpunkte aus 6.1:

• Dokumentierte Sicherheitsanforderungen an IKT-Produkte und -Dienste (z. B. Verschlüsselung, Logging, Schnittstellen).
• Anforderungen an Sicherheitsaktualisierungen über die gesamte Lebensdauer des Produkts – inklusive klarer Regeln für das Ende des Supports.
• Beschreibung der verwendeten Komponenten und Sicherheitsfunktionen sowie der sicheren Konfiguration.
• Validierung, dass die gelieferten Produkte/Dienste die definierten Sicherheitsanforderungen tatsächlich erfüllen (z. B. durch Nachweise, Tests, Zertifikate).

Auf eurer Seite ist das im Beitrag „NIS2-Anforderungen: Sicherheitsmaßnahmen beim Erwerb von IKT-Diensten oder IKT-Produkten“
bereits praxisnah aufbereitet – inklusive vereinfachter Erklärung und Auditfragen:

👉

Praxisempfehlung für die Beschaffung

Verknüpfen Sie diese Anforderungen mit Ihrem Einkauf, um NIS2-Sicherheit bei Beschaffung, Entwicklung und Wartung wirklich zu leben:

• Standard-Anforderungskatalog für NIS2-relevante Produkte/Dienste
• Muss-/Kann-Kriterien für Sicherheit in Ausschreibungen
• Pflicht-Nachweise (z. B. ISO 27001, SOC2, Security-Whitepaper)

3. Secure Development Lifecycle (6.2) – Sicherheit im Entwicklungsprozess

6.2 „Sicherer Entwicklungszyklus“ verlangt, dass vor Beginn von Entwicklungs- oder Beschaffungsvorhaben Sicherheitsvorschriften
für alle Entwicklungsphasen festgelegt werden – von der Spezifikation bis zum Test.

Wesentliche Anforderungen:

• Analyse der Sicherheitsanforderungen bereits in der Spezifikations- und Entwurfsphase.
• Anwendung von Grundsätzen sicherer Entwicklung wie integrierter Cybersicherheit und Zero-Trust-Architekturen.
• Festlegung von Sicherheitsanforderungen an Entwicklungsumgebungen (z. B. Zugriffsschutz, Trennung von Test/Prod).
• Integration von Sicherheitstestverfahren in den Entwicklungszyklus.
• Sicherer Umgang mit Testdaten, inkl. Bereinigung/Anonymisierung nach Risikobewertung.

Mehr dazu in eurem Artikel:

👉

ENISA hebt in ihren Reports zu Software-Sicherheit und im NIS2 Technical Implementation Guide hervor,
dass ein strukturierter Secure SDLC ein zentrales Mittel ist, um Schwachstellen frühzeitig zu vermeiden – nicht erst am Ende zu „testen und zu hoffen“.

Praxisfragen für Ihr Projektportfolio

• Haben wir verbindliche Security-Gates in unseren Entwicklungsprozessen (z. B. Threat Modeling, Secure Code Review)?
• Werden auch ausgelagerte Entwicklungen (Dienstleister) entlang dieser Regeln gesteuert?

4. Konfigurations- und Änderungsmanagement (6.3 & 6.4)

Ohne sauberes Konfigurations- und Änderungsmanagement ist jede NIS2 Sicherheit bei Beschaffung, Entwicklung und Wartung nur halb so wirksam.

4.1 Konfigurationsmanagement (6.3)

Unternehmen müssen:

• sichere Konfigurationen für Hardware, Software, Dienste und Netze definieren und dokumentieren,
• Verfahren und Tools zur Durchsetzung dieser Konfigurationen über den gesamten Lebenszyklus bereitstellen,
• Konfigurationen regelmäßig und anlassbezogen (z. B. nach Vorfällen) überprüfen und aktualisieren.

Euer Artikel dazu:

👉

4.2 Änderungsmanagement, Reparatur und Wartung (6.4)

6.4 fordert kontrollierte, dokumentierte Verfahren für Änderungen – inklusive Notfalländerungen:

• Alle Änderungen an produktiven Systemen werden formal beantragt, bewertet, getestet und freigegeben.
• Die Risikobewertung nach 2.1 Risikomanagementrahmen ist einzubeziehen.
• Notfalländerungen sind möglich, müssen aber nachbearbeitet und dokumentiert werden.
• Die Verfahren werden regelmäßig überprüft und bei Bedarf angepasst.

Euer Beitrag dazu:

👉

5. Sicherheitsprüfungen & Patch-Management (6.5 & 6.6)

5.1 Sicherheitsprüfung (6.5)

NIS2 fordert ein Konzept und Verfahren für Sicherheitsprüfungen, das u. a. regelt:

• auf Basis der Risikobewertung: Notwendigkeit, Umfang, Häufigkeit und Art der Prüfungen,
• Einsatz einer dokumentierten Prüfmethode (z. B. Pen-Tests, Schwachstellenscans),
• Fokussierung auf sicherheitsrelevante Komponenten,
• vollständige Dokumentation der Ergebnisse inkl. Kritikalität und Risikominderungsmaßnahmen,
• Pflicht zur Umsetzung von Maßnahmen bei kritischen Feststellungen.

Details & Auditfragen:

👉

5.2 Sicherheitspatch-Management (6.6)

6.6 Sicherheitspatch-Management verknüpft Patchen eng mit Änderungs-, Schwachstellen- und Risikomanagementverfahren.

Kernanforderungen:

• Patches werden innerhalb angemessener Frist nach Verfügbarkeit eingespielt.
• Patches werden zuvor getestet (z. B. in Testumgebungen).
• Es werden nur vertrauenswürdige Quellen genutzt, Integrität wird geprüft.
• Wenn ein Patch nicht verfügbar oder nicht anwendbar ist, müssen Ersatzmaßnahmen definiert und Restrisiken dokumentiert werden.
• Unter definierten Bedingungen erlaubt NIS2, auf einen Patch zu verzichten – allerdings nur bei nachvollziehbarer Abwägung von Betriebs- und Sicherheitsrisiken.

Mehr dazu:

👉

ENISA unterstreicht in ihrer Info Note zu „Effective Patch Management“, dass gerade unter Zeitdruck strukturierte Verfahren wichtig sind,
um zwischen Sicherheitsgewinn und Betriebsrisiko abzuwägen – ein zentraler Teil der NIS2 Sicherheit bei Beschaffung, Entwicklung und Wartung.

6. Praxisfahrplan: So bringen Sie Abschnitt 6 in Ihre NIS2-Umsetzung

Ein möglicher Vorgehensplan:

Übersicht schaffen

• Nutzen Sie die Kategorie-Seite zu Abschnitt 6 als inhaltliche Landkarte:
  
  https://nis2-umsetzung.com/nis2umsvoannex-category/6-security-in-network-and-information-systems-acquisition-development-and-maintenance/
  
• Ordnen Sie Ihre bestehenden Prozesse (Einkauf, IT, Entwicklung, Betrieb) den Unterpunkten 6.1–6.6 zu.

Ist-Analyse mit § 30 BSIG & Annex-Mapping

• Mit eurem Mapping § 30 BSIG → NIS2UmsVO lässt sich prüfen, welche Maßnahmen in Abschnitt 6 bereits durch vorhandene Kontrollen abgedeckt sind.

Richtlinien & Prozessbeschreibungen ergänzen

• Einkauf: Anforderungskatalog & Validierungsverfahren nach 6.1.
• Entwicklung: Secure-SDLC-Richtlinie nach 6.2 (inkl. ENISA-Empfehlungen).
• IT-Betrieb: Konfigurations-, Änderungs-, Prüf- und Patch-Prozesse (6.3–6.6).

Verantwortlichkeiten festziehen

• Rollen & Verantwortlichkeiten aus 1.2 Rollen, Verantwortlichkeiten und Weisungsbefugnisse
  mit Abschnitt 6 verzahnen: Wer trägt fachliche Verantwortung für Beschaffung, SDLC,
  Konfig/Changes und Patches?

Kennzahlen & Nachweise definieren

• z. B. Patch-Zeiten, Anteil getesteter Änderungen, Abdeckung von Sicherheitsprüfungen, SDLC-Compliance-Quoten.
• Das zahlt direkt auf die Anforderungen aus Abschnitt 7 „Bewertung der Wirksamkeit von Risikomanagementmaßnahmen“ ein.

Check mit NIS2-Checkliste und Umsetzungsfahrplan

• Nutzen Sie eure NIS2-Checkliste sowie den NIS2-Umsetzungsfahrplan als Meta-Steuerung, damit Abschnitt 6 sauber in das Gesamtprojekt NIS2-Umsetzung eingebettet ist:
  👉 https://nis2-umsetzung.com/nis2-checkliste/

7. Weiterführende Inhalte auf nis2-umsetzung.com

👉 Überblick NIS2UmsVO-Annex – der „Goldstandard“

👉 NIS2-Anforderungen – Gesamtüberblick & Betroffenheit

👉 Blog-Übersicht zur NIS2-Umsetzung

8. Frage an Sie

Wie gut sind heute Einkauf, Entwicklung und IT-Betrieb in Ihrem Unternehmen bereits auf NIS2 ausgerichtet –
arbeiten alle entlang eines gemeinsamen Sicherheitsmodells oder existieren noch Silos?

Im nächsten Teil unserer Reihe „NIS2 in der Praxis“ geht es darum, wie Sie die Wirksamkeit Ihrer Maßnahmen (Abschnitt 7)
messen und gegenüber der Aufsicht belegen können – ein weiterer wichtiger Baustein der
NIS2 Sicherheit bei Beschaffung, Entwicklung und Wartung.