6.3. Konfigurationsmanagement
6.3.1. Die betreffenden Einrichtungen ergreifen geeignete Maßnahmen, um Konfigurationen, einschließlich Sicherheitskonfigurationen von Hardware, Software, Diensten und Netzen, festzulegen, zu dokumentieren, umzusetzen und zu überwachen.
6.3.2. Für die Zwecke von Nummer 6.3.1 müssen die betreffenden Einrichtungen
a) Konfigurationen für ihre Hardware, Software, Dienste und Netze festlegen und deren Sicherheit gewährleisten;
b) Verfahren und Instrumente zur Durchsetzung der festgelegten sicheren Konfigurationen für Hardware, Software, Dienste und Netze, für neu installierte Systeme sowie für Systeme, die über ihre gesamte Lebensdauer in Betrieb sind, festlegen und umsetzen.
6.3.3. Die betreffenden Einrichtungen überprüfen die Konfigurationen in geplanten Zeitabständen oder bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren sie – soweit angemessen.
Ein effektives Konfigurationsmanagement gewährleistet, dass Hardware, Software und Netzwerke sicher eingerichtet und betrieben werden. Durch regelmäßige Überprüfung und die Anwendung standardisierter Verfahren erfüllen Organisationen die Anforderungen der NIS2-Richtlinie und minimieren Sicherheitsrisiken.
Vereinfachte Erklärung der Anforderungen aus 6.3: Konfigurationsmanagement
6.3.1 Maßnahmen zum Konfigurationsmanagement
Organisationen müssen geeignete Maßnahmen ergreifen, um die Konfigurationen ihrer Hardware, Software, Dienste und Netzwerke:
- Festzulegen.
- Zu dokumentieren.
- Umzusetzen.
- Zu überwachen.
6.3.2 Anforderungen an die Konfiguration
Organisationen müssen folgende Schritte umsetzen:
a) Sichere Konfigurationen: Definieren und gewährleisten von sicheren Konfigurationen für alle eingesetzten Hardware-, Software- und Netzwerkkomponenten sowie Dienste.
b) Durchsetzungsmechanismen: Verfahren und Tools bereitstellen, um sicherzustellen, dass:
- Neue Systeme: Bereits bei der Installation sicher konfiguriert sind.
- Betriebssysteme: Über ihre gesamte Lebensdauer hinweg sicher betrieben werden.
6.3.3 Überprüfung und Aktualisierung
- Regelmäßige Prüfungen: Konfigurationen müssen in geplanten Zeitabständen überprüft werden.
- Anlassbezogene Prüfungen: Zusätzliche Überprüfungen erfolgen bei größeren Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder Risiken.
- Aktualisierung: Anpassung der Konfigurationen, wenn dies erforderlich ist.
Auditfragenkatalog: Konfigurationsmanagement
1. Maßnahmen zur Festlegung und Überwachung von Konfigurationen
- Wurden geeignete Maßnahmen ergriffen, um Konfigurationen von Hardware, Software, Diensten und Netzen festzulegen, zu dokumentieren, umzusetzen und zu überwachen? (Bezug zu 6.3.1)
- Sind Sicherheitskonfigurationen ausdrücklich in den festgelegten Maßnahmen enthalten? (Bezug zu 6.3.1)
2. Festlegung und Durchsetzung sicherer Konfigurationen
- Sind Konfigurationen für Hardware, Software, Dienste und Netze definiert und dokumentiert? (Bezug zu 6.3.2 a)
- Werden Sicherheitsanforderungen in diesen Konfigurationen berücksichtigt? (Bezug zu 6.3.2 a)
- Wurden Verfahren und Instrumente festgelegt, um die festgelegten sicheren Konfigurationen für Hardware, Software, Dienste und Netze durchzusetzen? (Bezug zu 6.3.2 b)
- Werden die sicheren Konfigurationen auch für neu installierte Systeme und über deren gesamte Lebensdauer angewendet? (Bezug zu 6.3.2 b)
3. Überprüfung und Aktualisierung von Konfigurationen
- Werden die Konfigurationen in geplanten Zeitabständen überprüft? (Bezug zu 6.3.3)
- Werden Konfigurationen bei erheblichen Sicherheitsvorfällen, wesentlichen Änderungen der Betriebsabläufe oder Änderungen der Risiken aktualisiert? (Bezug zu 6.3.3)
- Wird die Angemessenheit und Wirksamkeit der Konfigurationen nach jeder Überprüfung dokumentiert? (Bezug zu 6.3.3)
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!