7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

6.10. Behandlung und Offenlegung von Schwachstellen

6.10.1. Die betreffenden Einrichtungen erlangen Informationen über technische Schwachstellen in ihren Netz- und Informationssystemen, bewerten ihre Exposition gegenüber solchen Schwachstellen und ergreifen geeignete Maßnahmen zum Umgang mit diesen Schwachstellen.


6.10.2. Für die Zwecke von Nummer 6.10.1 müssen die betreffenden Einrichtungen

a) Informationen über Schwachstellen über geeignete Kanäle, wie z. B. Ankündigungen von CSIRTs oder zuständigen Behörden oder von Anbietern oder Diensteanbietern bereitgestellte Informationen, verfolgen;

b) – soweit angemessen – Schwachstellen-Scans durchführen und die Ergebnisse der Scans in geplanten Zeitabständen aufzeichnen;

c) Schwachstellen, die von den betreffenden Einrichtungen als für ihren Betrieb kritisch eingestuft wurden, unverzüglich beheben;

d) sicherstellen, dass die Behandlung von Schwachstellen mit den Verfahren für das Änderungsmanagement, das Sicherheitspatch-Management, das Risikomanagement und das Management von Sicherheitsvorfällen vereinbar ist;

e) ein Verfahren für die Offenlegung von Schwachstellen im Einklang mit den geltenden nationalen Konzepten für die koordinierte Offenlegung von Schwachstellen festlegen.


6.10.3. Wenn dies wegen der möglichen Auswirkungen der Schwachstelle gerechtfertigt ist, erstellen die betreffenden Einrichtungen einen Plan zur Minderung der Schwachstelle und setzen ihn um.

Ansonsten dokumentieren und begründen die betreffenden Einrichtungen, warum die Schwachstelle keine Abhilfemaßnahmen erfordert.


6.10.4. Die betreffenden Einrichtungen überprüfen in geplanten Abständen die Kanäle, die sie für die Überwachung von Informationen über Schwachstellen nutzen, und aktualisieren sie – soweit angemessen.


 

Stand: 17.10.2024

Ein effektiver Umgang mit Schwachstellen erfordert kontinuierliche Überwachung, Bewertung und Behebung von Risiken. Durch klare Verfahren zur Schwachstellenbehandlung und Offenlegung können Organisationen Schwachstellen gezielt minimieren, ihre Sicherheit stärken und die NIS2-Anforderungen erfüllen. Regelmäßige Überprüfungen und Updates stellen sicher, dass die Prozesse aktuell bleiben.

Vereinfachte Erklärung der Anforderungen aus 6.10: Behandlung und Offenlegung von Schwachstellen

6.10.1 Umgang mit Schwachstellen

Organisationen müssen Informationen über technische Schwachstellen in ihren Netz- und Informationssystemen sammeln, ihre Anfälligkeit gegenüber diesen bewerten und geeignete Maßnahmen ergreifen, um die Schwachstellen zu behandeln.


6.10.2 Anforderungen an die Schwachstellenbehandlung

Zur Erfüllung dieser Anforderungen müssen folgende Maßnahmen umgesetzt werden:

a) Verfolgung von Schwachstelleninformationen: Informationen über Schwachstellen aus geeigneten Quellen wie CSIRTs, zuständigen Behörden oder Anbietern regelmäßig einholen.

b) Schwachstellenscans: Regelmäßige Schwachstellenscans durchführen und die Ergebnisse dokumentieren, soweit erforderlich.

c) Behebung kritischer Schwachstellen: Schwachstellen, die als kritisch für den Betrieb eingestuft wurden, unverzüglich beheben.

d) Kohärenz der Verfahren: Die Schwachstellenbehandlung muss mit anderen Verfahren, wie Änderungsmanagement, Patch-Management, Risikomanagement und Sicherheitsvorfallmanagement, kompatibel sein.

e) Verfahren zur Offenlegung: Ein Verfahren zur Offenlegung von Schwachstellen entwickeln, das mit nationalen Konzepten zur koordinierten Offenlegung im Einklang steht.


6.10.3 Maßnahmenplan oder Begründung

  • Schwachstellenminderung: Für Schwachstellen mit erheblichen Auswirkungen einen Plan zur Risikominderung erstellen und umsetzen.
  • Dokumentation von Ausnahmen: Wenn keine Maßnahmen erforderlich sind, diese Entscheidung dokumentieren und begründen.

6.10.4 Überprüfung der Überwachungskanäle

Die Kanäle zur Überwachung von Schwachstelleninformationen müssen regelmäßig überprüft und bei Bedarf aktualisiert werden.

Auditfragenkatalog: Behandlung und Offenlegung von Schwachstellen

1. Informationsbeschaffung über Schwachstellen

  • Welche Kanäle werden genutzt, um Informationen über technische Schwachstellen in den Netz- und Informationssystemen zu erhalten? (Bezug zu 6.10.1 und 6.10.2a)
  • Werden Informationen über Schwachstellen von vertrauenswürdigen Quellen wie CSIRTs, zuständigen Behörden oder Anbietern regelmäßig verfolgt? (Bezug zu 6.10.2a)

2. Schwachstellen-Scans und Bewertung

  • Werden regelmäßige Schwachstellen-Scans durchgeführt? (Bezug zu 6.10.2b)
  • Werden die Ergebnisse der Schwachstellen-Scans dokumentiert und in geplanten Zeitabständen überprüft? (Bezug zu 6.10.2b)
  • Wie werden die Schwachstellen priorisiert, die als kritisch für den Betrieb eingestuft wurden? (Bezug zu 6.10.2c)

3. Maßnahmen zur Behebung von Schwachstellen

  • Werden kritische Schwachstellen unverzüglich behoben? (Bezug zu 6.10.2c)
  • Wie wird sichergestellt, dass die Behandlung von Schwachstellen mit den Verfahren für Änderungsmanagement, Sicherheitspatch-Management, Risikomanagement und Sicherheitsvorfall-Management abgestimmt ist? (Bezug zu 6.10.2d)
  • Ist ein Verfahren für die koordinierte Offenlegung von Schwachstellen gemäß nationalen Konzepten implementiert? (Bezug zu 6.10.2e)

4. Schwachstellen-Minderungsplan

  • Wird bei Schwachstellen mit erheblichen Auswirkungen ein Minderungsplan erstellt und umgesetzt? (Bezug zu 6.10.3)
  • Wie wird dokumentiert und begründet, warum eine Schwachstelle keine Abhilfemaßnahmen erfordert? (Bezug zu 6.10.3)

5. Überwachung und Aktualisierung

  • Werden die genutzten Kanäle für die Überwachung von Informationen über Schwachstellen regelmäßig überprüft und aktualisiert? (Bezug zu 6.10.4)
  • Gibt es Prozesse, um sicherzustellen, dass Schwachstelleninformationen stets aktuell sind?

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!