7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

6.2. Sicherer Entwicklungszyklus

6.2.1. Vor der Entwicklung eines Netz- und Informationssystems, einschließlich Software, legen die betreffenden Einrichtungen Vorschriften für die Sicherheit der Entwicklung von Netz- und Informationssystemen fest und wenden diese

  • bei der internen Entwicklung von Netz- und Informationssystemen und
  • bei der Auslagerung der Entwicklung von Netz- und Informationssystemen

an.

Die Vorschriften gelten für alle Entwicklungsphasen, einschließlich

  • Spezifikation,
  • Konzeption,
  • Entwicklung,
  • Umsetzung und
  • Tests.

6.2.2. Für die Zwecke von Nummer 6.2.1 müssen die betreffenden Einrichtungen

a) eine Analyse der Sicherheitsanforderungen in der Spezifikations- und Entwurfsphase jedes Entwicklungs- oder Beschaffungsvorhabens vornehmen, das von den betreffenden Einrichtungen oder im Namen dieser Einrichtungen durchgeführt wird;

b) bei allen Tätigkeiten zur Entwicklung von Informationssystemen bestimmte Grundsätze für den Aufbau sicherer Systeme und für ein sicheres Programmieren wie etwa die Förderung von konzeptintegrierter Cybersicherheit und Null-Vertrauen-Architekturen anwenden;

c) Sicherheitsanforderungen in Bezug auf Entwicklungsumgebungen festlegen;

d) Sicherheitstestverfahren im Entwicklungszyklus einführen und umsetzen;

e) Daten über Sicherheitstests angemessen auswählen, schützen und verwalten;

f) die Testdaten entsprechend der Risikobewertung gemäß Nummer 2.1 bereinigen und anonymisieren.


6.2.3. Bei einer ausgelagerten Entwicklung von Netz- und Informationssystemen wenden die betreffenden Einrichtungen darüber hinaus die in den Nummern 5 und 6.1 genannten Grundsätze und Verfahren an.


6.2.4. Die betreffenden Einrichtungen überprüfen ihre Vorschriften für die Sicherheit der Entwicklung in geplanten Zeitabständen und aktualisieren sie erforderlichenfalls.


 

Stand: 17.10.2024

Ein sicherer Entwicklungszyklus gewährleistet, dass Netz- und Informationssysteme von Anfang an robust gegen Sicherheitsrisiken sind. Durch klare Vorschriften, integrierte Sicherheitstests und die Anwendung bewährter Grundsätze können Organisationen sowohl interne als auch ausgelagerte Entwicklungsprojekte sicher gestalten und die NIS2-Anforderungen erfüllen.

Vereinfachte Erklärung der Anforderungen aus 6.2: Sicherer Entwicklungszyklus

6.2.1 Sicherheitsvorschriften für die Entwicklung

Organisationen müssen vor der Entwicklung eines Netz- und Informationssystems (inkl. Software) Sicherheitsvorschriften festlegen. Diese gelten sowohl für:

  • Interne Entwicklung: Entwicklung innerhalb der Organisation.
  • Ausgelagerte Entwicklung: Entwicklung durch externe Dienstleister.

Die Vorschriften decken alle Phasen des Entwicklungszyklus ab:

  • Spezifikation
  • Konzeption
  • Entwicklung
  • Umsetzung
  • Tests

6.2.2 Anforderungen an die Sicherheitsvorschriften

Organisationen müssen folgende Maßnahmen umsetzen:
a) Analyse der Sicherheitsanforderungen: Sicherheitsanforderungen werden in der Spezifikations- und Entwurfsphase definiert, sowohl für eigene als auch für ausgelagerte Projekte.
b) Grundsätze sicherer Entwicklung: Anwendung von Konzepten wie integrierter Cybersicherheit und Null-Vertrauen-Architekturen (Zero Trust).
c) Sicherheitsanforderungen für Entwicklungsumgebungen: Definieren spezifischer Anforderungen an die Entwicklungsumgebungen.
d) Sicherheitstests im Entwicklungszyklus: Einführung und Umsetzung von Testverfahren, um Sicherheitslücken zu identifizieren.
e) Verwaltung der Testdaten: Schutz und Management der Daten aus Sicherheitstests.
f) Bereinigung und Anonymisierung: Testdaten werden entsprechend der Risikobewertung bereinigt und anonymisiert.


6.2.3 Anforderungen bei ausgelagerter Entwicklung

Zusätzlich zu den Sicherheitsvorschriften müssen bei ausgelagerter Entwicklung die Grundsätze und Verfahren aus den Abschnitten 5 und 6.1 angewendet werden.


6.2.4 Regelmäßige Überprüfung

Die Sicherheitsvorschriften für die Entwicklung müssen regelmäßig überprüft und bei Bedarf aktualisiert werden, um neue Risiken oder Anforderungen zu berücksichtigen.

Fragenkatalog: Sicherer Entwicklungszyklus

1. Vorschriften für die Entwicklung

  • Wurden Vorschriften für die Sicherheit der Entwicklung von Netz- und Informationssystemen vor der Entwicklungsphase festgelegt? (Bezug zu 6.2.1)
  • Werden diese Vorschriften sowohl bei der internen Entwicklung als auch bei der Auslagerung der Entwicklung angewendet? (Bezug zu 6.2.1)
  • Decken die Vorschriften alle Entwicklungsphasen ab, einschließlich Spezifikation, Konzeption, Entwicklung, Umsetzung und Tests? (Bezug zu 6.2.1)

2. Sicherheitsanforderungen und Grundsätze

  • Wird eine Analyse der Sicherheitsanforderungen in der Spezifikations- und Entwurfsphase durchgeführt? (Bezug zu 6.2.2 a)
  • Werden Grundsätze für den Aufbau sicherer Systeme und für sicheres Programmieren, wie konzeptintegrierte Cybersicherheit und Zero-Trust-Architekturen, angewendet? (Bezug zu 6.2.2 b)
  • Sind Sicherheitsanforderungen für die Entwicklungsumgebungen definiert und dokumentiert? (Bezug zu 6.2.2 c)

3. Sicherheitsprüfungen und Testdaten

  • Werden Sicherheitstestverfahren in den Entwicklungszyklus integriert und umgesetzt? (Bezug zu 6.2.2 d)
  • Werden die Testdaten gemäß den Anforderungen der Risikobewertung bereinigt und anonymisiert? (Bezug zu 6.2.2 f)
  • Werden Daten aus Sicherheitstests sicher ausgewählt, geschützt und verwaltet? (Bezug zu 6.2.2 e)

4. Ausgelagerte Entwicklung

  • Werden bei ausgelagerter Entwicklung die Grundsätze und Verfahren aus den Nummern 5 und 6.1 angewendet? (Bezug zu 6.2.3)

5. Überprüfung und Aktualisierung

  • Werden die Vorschriften für die Sicherheit der Entwicklung regelmäßig überprüft? (Bezug zu 6.2.4)
  • Werden die Vorschriften nach Bedarf aktualisiert, insbesondere bei Änderungen der Risikobewertung oder nach Sicherheitsvorfällen? (Bezug zu 6.2.4)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!