7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

6.6. Sicherheitspatch-Management

6.6.1. Die betreffenden Einrichtungen legen Verfahren, die mit den in Nummer 6.4.1 genannten Änderungsmanagementverfahren im Einklang stehen, und Änderungs-, Schwachstellen- und Risikomanagementverfahren sowie andere einschlägige Verfahren fest und wenden sie an, um sicherzustellen, dass

a) Sicherheitspatches innerhalb einer angemessenen Frist nach ihrer Verfügbarmachung angewendet werden;

b) Sicherheitspatches getestet werden, bevor sie in Produktionssystemen angewendet werden;

c) Sicherheitspatches aus vertrauenswürdigen Quellen stammen und auf ihre Integrität geprüft werden;

d) zusätzliche Maßnahmen umgesetzt und Restrisiken akzeptiert werden, wenn ein Patch nicht verfügbar ist oder nicht gemäß Nummer 6.6.2 angewendet wird.


6.6.2. Abweichend von Nummer 6.6.1 Buchstabe a können die betreffenden Einrichtungen verzichten, Sicherheitspatches anzuwenden, wenn die Nachteile der Anwendung der Sicherheitspatches die Vorteile für die Cybersicherheit überwiegen.

Die betreffenden Einrichtungen dokumentieren und begründen dies ordnungsgemäß.


 

Stand: 17.10.2024

Ein effektives Sicherheitspatch-Management gewährleistet, dass Systeme zeitnah und zuverlässig gegen bekannte Schwachstellen geschützt werden. Durch klar definierte Verfahren, Tests und die Möglichkeit fundierter Ausnahmen können Organisationen die NIS2-Anforderungen erfüllen und gleichzeitig den stabilen Betrieb sicherstellen.

Vereinfachte Erklärung der Anforderungen aus 6.6: Sicherheitspatch-Management

6.6.1 Verfahren für das Patch-Management

Organisationen müssen Verfahren für das Sicherheitspatch-Management entwickeln, die mit den Änderungsmanagement-, Schwachstellen- und Risikomanagementverfahren abgestimmt sind. Diese Verfahren gewährleisten:
a) Zeitgerechte Anwendung: Sicherheitspatches werden innerhalb einer angemessenen Frist nach Verfügbarkeit angewendet.
b) Tests vor Anwendung: Patches werden getestet, bevor sie auf Produktionssystemen angewendet werden, um unerwünschte Nebenwirkungen zu vermeiden.
c) Vertrauenswürdige Quellen: Patches stammen aus vertrauenswürdigen Quellen und werden auf ihre Integrität überprüft.
d) Zusätzliche Maßnahmen bei fehlenden Patches: Falls ein Patch nicht verfügbar oder anwendbar ist, müssen alternative Sicherheitsmaßnahmen ergriffen werden, und Restrisiken müssen bewusst akzeptiert werden.


6.6.2 Ausnahmen von der Patch-Anwendung

Organisationen können von der Anwendung eines Sicherheitspatches absehen, wenn:

  • Nachteil vs. Vorteil: Die Nachteile der Patch-Anwendung (z. B. Betriebsstörungen) die Vorteile für die Cybersicherheit überwiegen.

In solchen Fällen müssen Organisationen:

  • Dokumentation: Die Entscheidung klar dokumentieren.
  • Begründung: Die Entscheidung ordnungsgemäß begründen.

Fragenkatalog: Sicherheitspatch-Management

1. Verfahren für das Sicherheitspatch-Management

  • Wurden Verfahren für das Sicherheitspatch-Management entwickelt und dokumentiert? (Bezug zu 6.6.1)
  • Stehen diese Verfahren im Einklang mit den Änderungs-, Schwachstellen- und Risikomanagementverfahren? (Bezug zu 6.6.1)

2. Anwendung und Test von Sicherheitspatches

  • Werden Sicherheitspatches innerhalb einer angemessenen Frist nach ihrer Verfügbarmachung angewendet? (Bezug zu 6.6.1 a)
  • Werden Sicherheitspatches vor ihrer Anwendung in Produktionssystemen getestet? (Bezug zu 6.6.1 b)
  • Stammen alle angewendeten Sicherheitspatches aus vertrauenswürdigen Quellen? (Bezug zu 6.6.1 c)
  • Wird die Integrität der Sicherheitspatches vor ihrer Anwendung überprüft? (Bezug zu 6.6.1 c)

3. Umgang mit nicht verfügbaren oder nicht anwendbaren Patches

  • Werden zusätzliche Maßnahmen umgesetzt, wenn ein Sicherheitspatch nicht verfügbar ist? (Bezug zu 6.6.1 d)
  • Werden Restrisiken, die durch fehlende Patches entstehen, dokumentiert und akzeptiert? (Bezug zu 6.6.1 d)

4. Abweichung von der Anwendung von Sicherheitspatches

  • Wurden Fälle dokumentiert, in denen auf die Anwendung eines Sicherheitspatches verzichtet wurde? (Bezug zu 6.6.2)
  • Wird in diesen Fällen ordnungsgemäß begründet, warum die Nachteile der Anwendung die Vorteile überwiegen? (Bezug zu 6.6.2)

5. Dokumentation und Nachverfolgung

  • Werden alle Schritte des Sicherheitspatch-Managements (Anwendung, Test, Dokumentation von Abweichungen) protokolliert? (Bezug zu 6.6.1 und 6.6.2)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!