Erwägungsgrund 15: Sicherheitstests gemäß NIS2UmsVO

Die betreffenden Einrichtungen sollten regelmäßig Sicherheitstests auf der Grundlage spezieller Konzepte und Verfahren durchführen, um zu überprüfen, ob die Risikomanagementmaßnahmen im Bereich der Cybersicherheit umgesetzt wurden und ordnungsgemäß funktionieren.

Sicherheitstests können

  • in bestimmten Netz- und Informationssystemen oder
  • in der betreffenden Einrichtung in ihrer Gesamtheit

durchgeführt werden und

  • automatische oder manuelle Tests,
  • Penetrationstests,
  • eine Schwachstellensuche,
  • statische und dynamische Prüfungen der Sicherheit von Anwendungen,
  • Konfigurationstests oder
  • Sicherheitsaudits

umfassen.

Die betreffenden Einrichtungen können Sicherheitstests in ihren Netz- und Informationssystemen

  • bei deren Einrichtung,
  • nach Aufrüstungen der Infrastruktur oder von Anwendungen oder
  • nach Änderungen, die sie für erheblich halten, oder
  • nach einer Wartung

durchführen.

Die Ergebnisse der Sicherheitstests sollten in die Konzepte und Verfahren der betreffenden Einrichtungen für die Bewertung der Wirksamkeit der Risikomanagementmaßnahmen im Bereich der Cybersicherheit sowie in unabhängige Überprüfungen ihrer Konzepte für die Sicherheit von Netz- und Informationssystemen einfließen.

Stand: 17.10.2024

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!