6.5. Sicherheitsprüfung
6.5.1. Die betreffenden Einrichtungen legen ein Konzept und Verfahren für Sicherheitsprüfungen fest, setzen sie um und wenden sie an.
6.5.2. Die betreffenden Einrichtungen
a) legen auf der Grundlage der gemäß Nummer 2.1 durchgeführten Risikobewertung die Notwendigkeit, den Umfang, die Häufigkeit und die Art der Sicherheitsprüfungen fest;
b) führen Sicherheitsprüfungen nach einer dokumentierten Prüfmethode durch, die sich auf die Komponenten erstrecken, die im Rahmen einer Risikoanalyse als für den sicheren Betrieb relevant eingestuft wurden;
c) dokumentieren die Art, den Umfang, den Zeitraum und die Ergebnisse der Prüfungen, einschließlich der Bewertung der Kritikalität und der Risikominderungsmaßnahmen für jede Feststellung;
d) wenden im Falle kritischer Feststellungen Risikominderungsmaßnahmen an.
6.5.3. Die betreffenden Einrichtungen überprüfen ihre Konzepte für die Sicherheitsprüfung in geplanten Zeitabständen und aktualisieren sie – soweit angemessen.
Ein strukturiertes Konzept für Sicherheitsprüfungen ermöglicht es Organisationen, sicherheitskritische Schwachstellen systematisch zu identifizieren und zu beheben. Regelmäßige Prüfungen, eine klare Dokumentation und die Umsetzung von Maßnahmen bei kritischen Feststellungen erfüllen die Anforderungen der NIS2-Richtlinie und stärken die Sicherheit der Systeme nachhaltig.
Vereinfachte Erklärung der Anforderungen aus 6.5: Sicherheitsprüfung
6.5.1 Konzept und Verfahren für Sicherheitsprüfungen
Organisationen müssen ein Konzept und Verfahren für die Durchführung von Sicherheitsprüfungen entwickeln, umsetzen und anwenden.
6.5.2 Anforderungen an Sicherheitsprüfungen
Die Verfahren für Sicherheitsprüfungen umfassen folgende Punkte:
a) Planung: Basierend auf der Risikobewertung werden Notwendigkeit, Umfang, Häufigkeit und Art der Prüfungen festgelegt.
b) Durchführung: Sicherheitsprüfungen werden nach einer dokumentierten Methode durchgeführt, die sich auf sicherheitskritische Komponenten konzentriert.
c) Dokumentation: Art, Umfang, Zeitraum und Ergebnisse der Prüfungen müssen dokumentiert werden, einschließlich:
- Bewertung der Kritikalität.
- Beschreibung der Risikominderungsmaßnahmen für festgestellte Schwachstellen.
d) Kritische Maßnahmen: Bei kritischen Feststellungen müssen Risikominderungsmaßnahmen umgesetzt werden.
6.5.3 Überprüfung und Aktualisierung
Die Konzepte und Verfahren für Sicherheitsprüfungen müssen regelmäßig überprüft und bei Bedarf aktualisiert werden, um neue Risiken und Anforderungen zu berücksichtigen.
Fragenkatalog: Sicherheitsprüfung
1. Konzept und Verfahren für Sicherheitsprüfungen
- Wurde ein Konzept für Sicherheitsprüfungen entwickelt, dokumentiert und umgesetzt? (Bezug zu 6.5.1)
- Werden die festgelegten Verfahren für Sicherheitsprüfungen aktiv angewendet? (Bezug zu 6.5.1)
2. Festlegung von Prüfparametern
- Wurden die Notwendigkeit, der Umfang, die Häufigkeit und die Art der Sicherheitsprüfungen auf Basis der Risikobewertung gemäß Nummer 2.1 definiert? (Bezug zu 6.5.2 a)
- Werden die Komponenten, die im Rahmen der Risikoanalyse als relevant für den sicheren Betrieb eingestuft wurden, in den Sicherheitsprüfungen berücksichtigt? (Bezug zu 6.5.2 b)
3. Durchführung und Dokumentation der Prüfungen
- Werden Sicherheitsprüfungen nach einer dokumentierten Prüfmethode durchgeführt? (Bezug zu 6.5.2 b)
- Sind Art, Umfang, Zeitraum und Ergebnisse der Prüfungen vollständig dokumentiert? (Bezug zu 6.5.2 c)
- Wird die Kritikalität jeder Feststellung bewertet und dokumentiert? (Bezug zu 6.5.2 c)
- Werden für jede Feststellung angemessene Risikominderungsmaßnahmen dokumentiert und umgesetzt? (Bezug zu 6.5.2 c)
4. Umgang mit kritischen Feststellungen
- Werden bei kritischen Feststellungen unverzüglich Risikominderungsmaßnahmen ergriffen? (Bezug zu 6.5.2 d)
5. Überprüfung und Aktualisierung des Sicherheitsprüfungskonzepts
- Wird das Konzept für Sicherheitsprüfungen in regelmäßigen Abständen überprüft? (Bezug zu 6.5.3)
- Wird das Konzept bei Änderungen der Betriebsabläufe, Sicherheitsvorfällen oder Risiken aktualisiert? (Bezug zu 6.5.3)
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!