6.1. Sicherheitsmaßnahmen beim Erwerb von IKT-Diensten oder IKT-Produkten
6.1.1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe e der Richtlinie (EU) 2022/2555 legen die betreffenden Einrichtungen auf der Grundlage der gemäß Nummer 2.1 durchgeführten Risikobewertung Verfahren für das Management der Risiken fest, die sich aus dem Erwerb von IKT-Diensten oder -Produkten für Komponenten ergeben, die für die Sicherheit der Netz- und Informationssysteme der betreffenden Einrichtungen unverzichtbar sind, und setzen sie um.
6.1.2. Für die Zwecke von Nummer 6.1.1 umfassen die in Nummer 6.1.1 genannten Verfahren Folgendes:
a) Sicherheitsanforderungen, die für die zu erwerbenden IKT-Dienste oder -Produkte gelten;
b) Anforderungen an Sicherheitsaktualisierungen während der gesamten Lebensdauer der IKT-Dienste oder -Produkte oder deren Ersatz nach Ablauf des Unterstützungszeitraums;
c) Informationen zur Beschreibung der Hardware- und Softwarekomponenten, die in den IKT-Diensten oder -Produkten verwendet werden;
d) Informationen zur Beschreibung der umgesetzten Cybersicherheitsfunktionen der IKT-Dienste oder -Produkte und der Konfiguration, die für ihren sicheren Betrieb erforderlich ist;
e) die Zusicherung, dass die IKT-Dienste oder -Produkte die Sicherheitsanforderungen gemäß Buchstabe a erfüllen;
f) Methoden zur Validierung, dass die bereitgestellten IKT-Dienste oder -Produkte die angegebenen Sicherheitsanforderungen erfüllen, sowie die Dokumentation der Ergebnisse der Validierung.
6.1.3. Die betreffenden Einrichtungen überprüfen die Verfahren in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen und aktualisieren sie – soweit angemessen.
Diese Maßnahmen stellen sicher, dass Organisationen beim Erwerb von IKT-Diensten oder -Produkten die Sicherheit ihrer Netz- und Informationssysteme gewährleisten. Durch klare Anforderungen, Validierung und regelmäßige Überprüfungen erfüllen Organisationen die NIS2-Anforderungen und minimieren Risiken aus externen Komponenten.
Vereinfachte Erklärung der Anforderungen aus 6.1: Sicherheitsmaßnahmen beim Erwerb von IKT-Diensten oder -Produkten
6.1.1 Verfahren für das Risikomanagement
Organisationen müssen basierend auf ihrer Risikobewertung Verfahren einführen, um Risiken beim Erwerb von IKT-Diensten oder -Produkten zu managen, insbesondere für sicherheitskritische Komponenten ihrer Netz- und Informationssysteme.
6.1.2 Inhalte der Verfahren
Die Verfahren müssen folgende Punkte abdecken:
a) Sicherheitsanforderungen: Definition der Sicherheitsanforderungen für die zu erwerbenden IKT-Dienste oder -Produkte.
b) Sicherheitsaktualisierungen: Sicherstellung von Updates während der gesamten Lebensdauer oder Ersatz nach Ablauf der Unterstützung.
c) Komponentendetails: Bereitstellung von Informationen zu verwendeten Hardware- und Softwarekomponenten.
d) Cybersicherheitsfunktionen: Beschreibung der implementierten Sicherheitsfunktionen und erforderlichen Konfigurationen für einen sicheren Betrieb.
e) Erfüllung der Anforderungen: Zusicherung, dass die IKT-Dienste oder -Produkte die festgelegten Sicherheitsanforderungen erfüllen.
f) Validierung: Methoden und Prozesse zur Überprüfung, ob die gelieferten Produkte/Dienste die Sicherheitsanforderungen erfüllen, einschließlich der Dokumentation der Ergebnisse.
6.1.3 Regelmäßige Überprüfung
Die Verfahren müssen regelmäßig überprüft und bei größeren Sicherheitsvorfällen oder relevanten Änderungen aktualisiert werden.
Fragenkatalog: Sicherheitsmaßnahmen beim Erwerb von IKT-Diensten oder IKT-Produkten
1. Risikomanagementverfahren für den Erwerb
- Wurden auf der Grundlage der Risikobewertung gemäß Nummer 2.1 Verfahren für das Management von Risiken im Zusammenhang mit dem Erwerb von IKT-Diensten oder -Produkten festgelegt? (Bezug zu 6.1.1)
- Werden diese Verfahren für Komponenten umgesetzt, die für die Sicherheit der Netz- und Informationssysteme unverzichtbar sind? (Bezug zu 6.1.1)
2. Inhalte der Verfahren
- Gibt es definierte Sicherheitsanforderungen, die für die zu erwerbenden IKT-Dienste oder -Produkte gelten? (Bezug zu 6.1.2 a)
- Wurden Anforderungen an Sicherheitsaktualisierungen während der gesamten Lebensdauer der IKT-Dienste oder -Produkte oder deren Ersatz nach Ablauf des Unterstützungszeitraums festgelegt? (Bezug zu 6.1.2 b)
- Liegen vollständige Informationen zur Beschreibung der Hardware- und Softwarekomponenten vor, die in den IKT-Diensten oder -Produkten verwendet werden? (Bezug zu 6.1.2 c)
- Sind Informationen über die umgesetzten Cybersicherheitsfunktionen und die für den sicheren Betrieb erforderliche Konfiguration vorhanden? (Bezug zu 6.1.2 d)
- Wird sichergestellt, dass die IKT-Dienste oder -Produkte die festgelegten Sicherheitsanforderungen erfüllen? (Bezug zu 6.1.2 e)
- Existieren Methoden zur Validierung der Sicherheitsanforderungen und zur Dokumentation der Ergebnisse? (Bezug zu 6.1.2 f)
3. Überprüfung und Aktualisierung der Verfahren
- Werden die Verfahren für den Erwerb von IKT-Diensten oder -Produkten regelmäßig überprüft? (Bezug zu 6.1.3)
- Werden die Verfahren nach erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder Risiken aktualisiert? (Bezug zu 6.1.3)
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!