6.4. Änderungsmanagement, Reparatur und Wartung
6.4.1. Die betreffenden Einrichtungen wenden Verfahren für das Änderungsmanagement an, um Änderungen an Netz- und Informationssystemen zu kontrollieren.
Die Verfahren müssen – soweit anwendbar – mit den allgemeinen Grundsätzen der betreffenden Einrichtungen in Bezug auf das Änderungsmanagement im Einklang stehen.
6.4.2. Die in Nummer 6.4.1 genannten Verfahren gelten für Freigaben, Änderungen und Notfalländerungen an in Betrieb befindlicher Software und Hardware sowie für Änderungen der Konfiguration.
Durch die Verfahren wird sichergestellt, dass diese Änderungen dokumentiert und auf der Grundlage der gemäß Nummer 2.1 durchgeführten Risikobewertung im Hinblick auf die möglichen Auswirkungen getestet und bewertet werden, bevor sie umgesetzt werden.
6.4.3. Konnten die regulären Änderungsmanagementverfahren aufgrund eines Notfalls nicht befolgt werden, dokumentieren die betreffenden Einrichtungen das Ergebnis der Änderung und die Begründung für die Nichteinhaltung der Verfahren.
6.4.4. Die betreffenden Einrichtungen überprüfen die Verfahren in geplanten Zeitabständen sowie bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken und aktualisieren sie – soweit angemessen.
Effektives Änderungsmanagement gewährleistet, dass alle Änderungen an Netz- und Informationssystemen kontrolliert und dokumentiert werden. Durch systematische Tests und Bewertungen minimieren Organisationen Risiken und stellen die Sicherheit ihrer Systeme sicher. Notfalländerungen erfordern eine klare Nachbearbeitung und Dokumentation, um den Anforderungen der NIS2-Richtlinie gerecht zu werden.
Vereinfachte Erklärung der Anforderungen aus 6.4: Änderungsmanagement, Reparatur und Wartung
6.4.1 Verfahren für das Änderungsmanagement
Organisationen müssen Verfahren einführen, um Änderungen an Netz- und Informationssystemen zu kontrollieren.
- Diese Verfahren sollten mit den allgemeinen Änderungsmanagementrichtlinien der Organisation übereinstimmen.
6.4.2 Anwendungsbereich der Verfahren
Die Änderungsmanagementverfahren gelten für:
- Freigaben, Änderungen und Notfalländerungen: An in Betrieb befindlicher Software und Hardware.
- Änderungen der Konfiguration.
Die Verfahren stellen sicher, dass:
- Dokumentation: Alle Änderungen dokumentiert werden.
- Risikobewertung: Änderungen vor der Umsetzung basierend auf einer Risikobewertung getestet und bewertet werden.
6.4.3 Notfalländerungen
Wenn reguläre Änderungsmanagementverfahren in einem Notfall nicht eingehalten werden konnten:
- Dokumentation: Die Änderungen und die Gründe für die Abweichung müssen dokumentiert werden.
6.4.4 Überprüfung und Aktualisierung
Die Verfahren für das Änderungsmanagement müssen regelmäßig überprüft und bei Bedarf angepasst werden:
- Regelmäßige Prüfungen: Nach festgelegten Zeitplänen.
- Ereignisbasierte Anpassungen: Bei größeren Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder Risiken.
Fragenkatalog: Änderungsmanagement, Reparatur und Wartung
1. Allgemeine Verfahren für das Änderungsmanagement
- Sind Verfahren für das Änderungsmanagement vorhanden, um Änderungen an Netz- und Informationssystemen zu kontrollieren? (Bezug zu 6.4.1)
- Sind die Verfahren mit den allgemeinen Grundsätzen der Einrichtung für das Änderungsmanagement im Einklang? (Bezug zu 6.4.1)
2. Anwendungsbereich der Verfahren
- Werden die Verfahren für Freigaben, Änderungen und Notfalländerungen an in Betrieb befindlicher Software und Hardware angewendet? (Bezug zu 6.4.2)
- Decken die Verfahren Änderungen der Konfigurationen ab? (Bezug zu 6.4.2)
3. Dokumentation und Bewertung von Änderungen
- Werden alle Änderungen dokumentiert? (Bezug zu 6.4.2)
- Werden Änderungen vor ihrer Umsetzung getestet und bewertet, basierend auf der Risikobewertung gemäß Nummer 2.1? (Bezug zu 6.4.2)
- Gibt es klare Nachweise, dass Änderungen auf mögliche Auswirkungen geprüft wurden? (Bezug zu 6.4.2)
4. Notfalländerungen
- Werden bei Notfalländerungen, die die regulären Änderungsmanagementverfahren nicht einhalten, die Ergebnisse und die Begründung für die Abweichung dokumentiert? (Bezug zu 6.4.3)
5. Überprüfung und Aktualisierung der Verfahren
- Werden die Änderungsmanagementverfahren regelmäßig überprüft? (Bezug zu 6.4.4)
- Werden die Verfahren bei erheblichen Sicherheitsvorfällen oder wesentlichen Änderungen der Betriebsabläufe oder der Risiken angepasst und aktualisiert? (Bezug zu 6.4.4)
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!