7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

6.1. Sicherheitsmaßnahmen beim Erwerb von IKT-Diensten oder IKT-Produkten

6.1.1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe e der Richtlinie (EU) 2022/2555 legen die betreffenden Einrichtungen auf der Grundlage der gemäß Nummer 2.1 durchgeführten Risikobewertung Verfahren für das Management der Risiken fest, die sich aus dem Erwerb von IKT-Diensten oder -Produkten für Komponenten ergeben, die für die Sicherheit der Netz- und Informationssysteme der betreffenden Einrichtungen unverzichtbar sind, und setzen sie um.


6.1.2. Für die Zwecke von Nummer 6.1.1 umfassen die in Nummer 6.1.1 genannten Verfahren Folgendes:

a) Sicherheitsanforderungen, die für die zu erwerbenden IKT-Dienste oder -Produkte gelten;

b) Anforderungen an Sicherheitsaktualisierungen während der gesamten Lebensdauer der IKT-Dienste oder -Produkte oder deren Ersatz nach Ablauf des Unterstützungszeitraums;

c) Informationen zur Beschreibung der Hardware- und Softwarekomponenten, die in den IKT-Diensten oder -Produkten verwendet werden;

d) Informationen zur Beschreibung der umgesetzten Cybersicherheitsfunktionen der IKT-Dienste oder -Produkte und der Konfiguration, die für ihren sicheren Betrieb erforderlich ist;

e) die Zusicherung, dass die IKT-Dienste oder -Produkte die Sicherheitsanforderungen gemäß Buchstabe a erfüllen;

f) Methoden zur Validierung, dass die bereitgestellten IKT-Dienste oder -Produkte die angegebenen Sicherheitsanforderungen erfüllen, sowie die Dokumentation der Ergebnisse der Validierung.


6.1.3. Die betreffenden Einrichtungen überprüfen die Verfahren in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen und aktualisieren sie – soweit angemessen.


 

Stand: 17.10.2024

Diese Maßnahmen stellen sicher, dass Organisationen beim Erwerb von IKT-Diensten oder -Produkten die Sicherheit ihrer Netz- und Informationssysteme gewährleisten. Durch klare Anforderungen, Validierung und regelmäßige Überprüfungen erfüllen Organisationen die NIS2-Anforderungen und minimieren Risiken aus externen Komponenten.

Vereinfachte Erklärung der Anforderungen aus 6.1: Sicherheitsmaßnahmen beim Erwerb von IKT-Diensten oder -Produkten

6.1.1 Verfahren für das Risikomanagement

Organisationen müssen basierend auf ihrer Risikobewertung Verfahren einführen, um Risiken beim Erwerb von IKT-Diensten oder -Produkten zu managen, insbesondere für sicherheitskritische Komponenten ihrer Netz- und Informationssysteme.


6.1.2 Inhalte der Verfahren

Die Verfahren müssen folgende Punkte abdecken:
a) Sicherheitsanforderungen: Definition der Sicherheitsanforderungen für die zu erwerbenden IKT-Dienste oder -Produkte.
b) Sicherheitsaktualisierungen: Sicherstellung von Updates während der gesamten Lebensdauer oder Ersatz nach Ablauf der Unterstützung.
c) Komponentendetails: Bereitstellung von Informationen zu verwendeten Hardware- und Softwarekomponenten.
d) Cybersicherheitsfunktionen: Beschreibung der implementierten Sicherheitsfunktionen und erforderlichen Konfigurationen für einen sicheren Betrieb.
e) Erfüllung der Anforderungen: Zusicherung, dass die IKT-Dienste oder -Produkte die festgelegten Sicherheitsanforderungen erfüllen.
f) Validierung: Methoden und Prozesse zur Überprüfung, ob die gelieferten Produkte/Dienste die Sicherheitsanforderungen erfüllen, einschließlich der Dokumentation der Ergebnisse.


6.1.3 Regelmäßige Überprüfung

Die Verfahren müssen regelmäßig überprüft und bei größeren Sicherheitsvorfällen oder relevanten Änderungen aktualisiert werden.

Fragenkatalog: Sicherheitsmaßnahmen beim Erwerb von IKT-Diensten oder IKT-Produkten

1. Risikomanagementverfahren für den Erwerb

  • Wurden auf der Grundlage der Risikobewertung gemäß Nummer 2.1 Verfahren für das Management von Risiken im Zusammenhang mit dem Erwerb von IKT-Diensten oder -Produkten festgelegt? (Bezug zu 6.1.1)
  • Werden diese Verfahren für Komponenten umgesetzt, die für die Sicherheit der Netz- und Informationssysteme unverzichtbar sind? (Bezug zu 6.1.1)

2. Inhalte der Verfahren

  • Gibt es definierte Sicherheitsanforderungen, die für die zu erwerbenden IKT-Dienste oder -Produkte gelten? (Bezug zu 6.1.2 a)
  • Wurden Anforderungen an Sicherheitsaktualisierungen während der gesamten Lebensdauer der IKT-Dienste oder -Produkte oder deren Ersatz nach Ablauf des Unterstützungszeitraums festgelegt? (Bezug zu 6.1.2 b)
  • Liegen vollständige Informationen zur Beschreibung der Hardware- und Softwarekomponenten vor, die in den IKT-Diensten oder -Produkten verwendet werden? (Bezug zu 6.1.2 c)
  • Sind Informationen über die umgesetzten Cybersicherheitsfunktionen und die für den sicheren Betrieb erforderliche Konfiguration vorhanden? (Bezug zu 6.1.2 d)
  • Wird sichergestellt, dass die IKT-Dienste oder -Produkte die festgelegten Sicherheitsanforderungen erfüllen? (Bezug zu 6.1.2 e)
  • Existieren Methoden zur Validierung der Sicherheitsanforderungen und zur Dokumentation der Ergebnisse? (Bezug zu 6.1.2 f)

3. Überprüfung und Aktualisierung der Verfahren

  • Werden die Verfahren für den Erwerb von IKT-Diensten oder -Produkten regelmäßig überprüft? (Bezug zu 6.1.3)
  • Werden die Verfahren nach erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder Risiken aktualisiert? (Bezug zu 6.1.3)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!