6.6. Sicherheitspatch-Management
6.6.1. Die betreffenden Einrichtungen legen Verfahren, die mit den in Nummer 6.4.1 genannten Änderungsmanagementverfahren im Einklang stehen, und Änderungs-, Schwachstellen- und Risikomanagementverfahren sowie andere einschlägige Verfahren fest und wenden sie an, um sicherzustellen, dass
a) Sicherheitspatches innerhalb einer angemessenen Frist nach ihrer Verfügbarmachung angewendet werden;
b) Sicherheitspatches getestet werden, bevor sie in Produktionssystemen angewendet werden;
c) Sicherheitspatches aus vertrauenswürdigen Quellen stammen und auf ihre Integrität geprüft werden;
d) zusätzliche Maßnahmen umgesetzt und Restrisiken akzeptiert werden, wenn ein Patch nicht verfügbar ist oder nicht gemäß Nummer 6.6.2 angewendet wird.
6.6.2. Abweichend von Nummer 6.6.1 Buchstabe a können die betreffenden Einrichtungen verzichten, Sicherheitspatches anzuwenden, wenn die Nachteile der Anwendung der Sicherheitspatches die Vorteile für die Cybersicherheit überwiegen.
Die betreffenden Einrichtungen dokumentieren und begründen dies ordnungsgemäß.
Ein effektives Sicherheitspatch-Management gewährleistet, dass Systeme zeitnah und zuverlässig gegen bekannte Schwachstellen geschützt werden. Durch klar definierte Verfahren, Tests und die Möglichkeit fundierter Ausnahmen können Organisationen die NIS2-Anforderungen erfüllen und gleichzeitig den stabilen Betrieb sicherstellen.
Vereinfachte Erklärung der Anforderungen aus 6.6: Sicherheitspatch-Management
6.6.1 Verfahren für das Patch-Management
Organisationen müssen Verfahren für das Sicherheitspatch-Management entwickeln, die mit den Änderungsmanagement-, Schwachstellen- und Risikomanagementverfahren abgestimmt sind. Diese Verfahren gewährleisten:
a) Zeitgerechte Anwendung: Sicherheitspatches werden innerhalb einer angemessenen Frist nach Verfügbarkeit angewendet.
b) Tests vor Anwendung: Patches werden getestet, bevor sie auf Produktionssystemen angewendet werden, um unerwünschte Nebenwirkungen zu vermeiden.
c) Vertrauenswürdige Quellen: Patches stammen aus vertrauenswürdigen Quellen und werden auf ihre Integrität überprüft.
d) Zusätzliche Maßnahmen bei fehlenden Patches: Falls ein Patch nicht verfügbar oder anwendbar ist, müssen alternative Sicherheitsmaßnahmen ergriffen werden, und Restrisiken müssen bewusst akzeptiert werden.
6.6.2 Ausnahmen von der Patch-Anwendung
Organisationen können von der Anwendung eines Sicherheitspatches absehen, wenn:
- Nachteil vs. Vorteil: Die Nachteile der Patch-Anwendung (z. B. Betriebsstörungen) die Vorteile für die Cybersicherheit überwiegen.
In solchen Fällen müssen Organisationen:
- Dokumentation: Die Entscheidung klar dokumentieren.
- Begründung: Die Entscheidung ordnungsgemäß begründen.
Fragenkatalog: Sicherheitspatch-Management
1. Verfahren für das Sicherheitspatch-Management
- Wurden Verfahren für das Sicherheitspatch-Management entwickelt und dokumentiert? (Bezug zu 6.6.1)
- Stehen diese Verfahren im Einklang mit den Änderungs-, Schwachstellen- und Risikomanagementverfahren? (Bezug zu 6.6.1)
2. Anwendung und Test von Sicherheitspatches
- Werden Sicherheitspatches innerhalb einer angemessenen Frist nach ihrer Verfügbarmachung angewendet? (Bezug zu 6.6.1 a)
- Werden Sicherheitspatches vor ihrer Anwendung in Produktionssystemen getestet? (Bezug zu 6.6.1 b)
- Stammen alle angewendeten Sicherheitspatches aus vertrauenswürdigen Quellen? (Bezug zu 6.6.1 c)
- Wird die Integrität der Sicherheitspatches vor ihrer Anwendung überprüft? (Bezug zu 6.6.1 c)
3. Umgang mit nicht verfügbaren oder nicht anwendbaren Patches
- Werden zusätzliche Maßnahmen umgesetzt, wenn ein Sicherheitspatch nicht verfügbar ist? (Bezug zu 6.6.1 d)
- Werden Restrisiken, die durch fehlende Patches entstehen, dokumentiert und akzeptiert? (Bezug zu 6.6.1 d)
4. Abweichung von der Anwendung von Sicherheitspatches
- Wurden Fälle dokumentiert, in denen auf die Anwendung eines Sicherheitspatches verzichtet wurde? (Bezug zu 6.6.2)
- Wird in diesen Fällen ordnungsgemäß begründet, warum die Nachteile der Anwendung die Vorteile überwiegen? (Bezug zu 6.6.2)
5. Dokumentation und Nachverfolgung
- Werden alle Schritte des Sicherheitspatch-Managements (Anwendung, Test, Dokumentation von Abweichungen) protokolliert? (Bezug zu 6.6.1 und 6.6.2)
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!