6. SICHERHEITSMAßNAHMEN BEI ERWERB, ENTWICKLUNG UND WARTUNG VON NETZ- UND INFORMATIONSSYSTEMEN

6.10. Behandlung und Offenlegung von Schwachstellen

6.10.1. Die betreffenden Einrichtungen erlangen Informationen über technische Schwachstellen in ihren Netz- und Informationssystemen, bewerten ihre Exposition gegenüber solchen Schwachstellen und ergreifen geeignete Maßnahmen zum Umgang mit diesen Schwachstellen. 6.10.2. Für die Zwecke von Nummer 6.10.1 müssen die betreffenden Einrichtungen a) Informationen über Schwachstellen über geeignete Kanäle, wie z. B. Ankündigungen von CSIRTs oder zuständigen

Von |2024-11-30T22:49:26+01:00September 11th, 2024|Kommentare deaktiviert für 6.10. Behandlung und Offenlegung von Schwachstellen

6.1. Sicherheitsmaßnahmen beim Erwerb von IKT-Diensten oder IKT-Produkten

6.1.1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe e der Richtlinie (EU) 2022/2555 legen die betreffenden Einrichtungen auf der Grundlage der gemäß Nummer 2.1 durchgeführten Risikobewertung Verfahren für das Management der Risiken fest, die sich aus dem Erwerb von IKT-Diensten oder -Produkten für Komponenten ergeben, die für die Sicherheit der Netz- und Informationssysteme

Von |2024-11-30T22:34:55+01:00September 11th, 2024|Kommentare deaktiviert für 6.1. Sicherheitsmaßnahmen beim Erwerb von IKT-Diensten oder IKT-Produkten

6.2. Sicherer Entwicklungszyklus

6.2.1. Vor der Entwicklung eines Netz- und Informationssystems, einschließlich Software, legen die betreffenden Einrichtungen Vorschriften für die Sicherheit der Entwicklung von Netz- und Informationssystemen fest und wenden diese bei der internen Entwicklung von Netz- und Informationssystemen und bei der Auslagerung der Entwicklung von Netz- und Informationssystemen an. Die Vorschriften gelten für alle Entwicklungsphasen, einschließlich Spezifikation,

Von |2024-11-30T22:27:02+01:00September 11th, 2024|Kommentare deaktiviert für 6.2. Sicherer Entwicklungszyklus

6.3. Konfigurationsmanagement

6.3.1. Die betreffenden Einrichtungen ergreifen geeignete Maßnahmen, um Konfigurationen, einschließlich Sicherheitskonfigurationen von Hardware, Software, Diensten und Netzen, festzulegen, zu dokumentieren, umzusetzen und zu überwachen. 6.3.2. Für die Zwecke von Nummer 6.3.1 müssen die betreffenden Einrichtungen a) Konfigurationen für ihre Hardware, Software, Dienste und Netze festlegen und deren Sicherheit gewährleisten; b) Verfahren und Instrumente zur Durchsetzung

Von |2024-11-30T22:29:22+01:00September 11th, 2024|Kommentare deaktiviert für 6.3. Konfigurationsmanagement

6.4. Änderungsmanagement, Reparatur und Wartung

6.4.1. Die betreffenden Einrichtungen wenden Verfahren für das Änderungsmanagement an, um Änderungen an Netz- und Informationssystemen zu kontrollieren. Die Verfahren müssen – soweit anwendbar – mit den allgemeinen Grundsätzen der betreffenden Einrichtungen in Bezug auf das Änderungsmanagement im Einklang stehen. 6.4.2. Die in Nummer 6.4.1 genannten Verfahren gelten für Freigaben, Änderungen und Notfalländerungen an in

Von |2024-11-30T22:31:06+01:00September 11th, 2024|Kommentare deaktiviert für 6.4. Änderungsmanagement, Reparatur und Wartung

6.5. Sicherheitsprüfung

6.5.1. Die betreffenden Einrichtungen legen ein Konzept und Verfahren für Sicherheitsprüfungen fest, setzen sie um und wenden sie an. 6.5.2. Die betreffenden Einrichtungen a) legen auf der Grundlage der gemäß Nummer 2.1 durchgeführten Risikobewertung die Notwendigkeit, den Umfang, die Häufigkeit und die Art der Sicherheitsprüfungen fest; b) führen Sicherheitsprüfungen nach einer dokumentierten Prüfmethode durch, die

Von |2024-11-30T22:33:03+01:00September 11th, 2024|Kommentare deaktiviert für 6.5. Sicherheitsprüfung

6.6. Sicherheitspatch-Management

6.6.1. Die betreffenden Einrichtungen legen Verfahren, die mit den in Nummer 6.4.1 genannten Änderungsmanagementverfahren im Einklang stehen, und Änderungs-, Schwachstellen- und Risikomanagementverfahren sowie andere einschlägige Verfahren fest und wenden sie an, um sicherzustellen, dass a) Sicherheitspatches innerhalb einer angemessenen Frist nach ihrer Verfügbarmachung angewendet werden; b) Sicherheitspatches getestet werden, bevor sie in Produktionssystemen angewendet werden;

Von |2024-11-30T22:41:49+01:00September 11th, 2024|Kommentare deaktiviert für 6.6. Sicherheitspatch-Management

6.7. Netzsicherheit

6.7.1. Die betreffenden Einrichtungen ergreifen geeignete Maßnahmen, um ihre Netz- und Informationssysteme vor Cyberbedrohungen zu schützen. 6.7.2. Für die Zwecke von Nummer 6.7.1 müssen die betreffenden Einrichtungen a) die Architektur des Netzes verständlich und aktuell dokumentieren; b) Kontrollen festlegen und durchführen, um die internen Netzdomänen der betreffenden Einrichtungen vor unbefugtem Zugriff zu schützen; c) die

Von |2024-11-30T22:43:02+01:00September 11th, 2024|Kommentare deaktiviert für 6.7. Netzsicherheit

6.8. Netzsegmentierung

6.8.1. Die betreffenden Einrichtungen segmentieren ihre Systeme entsprechend den Ergebnissen der Risikobewertung gemäß Nummer 2.1 in Netze oder Zonen. Sie segmentieren ihre eigenen Systeme und Netze von Systemen und Netzen Dritter. 6.8.2. Für diese Zwecke müssen die betreffenden Einrichtungen a) die funktionale, logische und physische Beziehung, einschließlich des Standorts, zwischen vertrauenswürdigen Systemen und Diensten berücksichtigen;

Von |2024-11-30T22:45:41+01:00September 11th, 2024|Kommentare deaktiviert für 6.8. Netzsegmentierung

6.9. Schutz gegen Schadsoftware und nicht genehmigte Software

6.9.1. Die betreffenden Einrichtungen schützen ihre Netz- und Informationssysteme vor Schadsoftware und nicht genehmigter Software. 6.9.2. Zu diesem Zweck führen die betreffenden Einrichtungen insbesondere Maßnahmen durch, um die Verwendung von Schadsoftware oder nicht genehmigter Software aufzudecken oder zu verhindern. Die betreffenden Einrichtungen stellen – soweit angemessen – sicher, dass ihre Netz- und Informationssysteme mit einer

Von |2024-11-30T22:47:13+01:00September 11th, 2024|Kommentare deaktiviert für 6.9. Schutz gegen Schadsoftware und nicht genehmigte Software
Nach oben