NIS-2 Assessment Tool
Nach Interviewpartner filtern:
A B C D E F G H I J K L

F – Sicherheit bei Beschaffung, Entwicklung, Wartung & SchwachstellenmanagementNIST CSF 2.0: PR.PS, ID.RA

Maßnahme 5 aus Art. 21 Abs. 2 NIS2-RL.

Empfohlene Interviewpartner: IT/Entwicklung, Einkauf

Änderungen werden automatisch gespeichert.

F1 – Sicherheitsanforderungen bei Beschaffung

Art. 21 Abs. 2 lit. e NIS2-RL ↗

Wie werden Sicherheitsanforderungen bereits bei der Beschaffung neuer IT-Systeme oder -Dienste systematisch berücksichtigt, und welche Mindestanforderungen (z.B. Security-by-Design) müssen neue Systeme erfüllen?

Security-by-Design/Default sollte bereits im Auswahlprozess Kriterium sein.

Reifegrad
0 1 2 3 4

Noch nicht eingeschätzt – Regler bewegen zum Setzen

Maßnahmen
Standardvorschläge

F2 – Sichere Softwareentwicklung

Art. 21 Abs. 2 lit. e NIS2-RL ↗

Welche Vorgaben existieren für sichere Softwareentwicklung in Ihrem Unternehmen – von Bedrohungsanalyse in der Anforderungsphase bis zu Code-Reviews –, und wie werden diese auch bei extern beauftragter Entwicklung durchgesetzt?

Relevant auch bei Auftragsentwicklung/individueller Softwareentwicklung.

Reifegrad
0 1 2 3 4

Noch nicht eingeschätzt – Regler bewegen zum Setzen

Maßnahmen
Standardvorschläge

F3 – Schwachstellen- & Patchmanagement

Art. 21 Abs. 2 lit. e NIS2-RL ↗

Wie läuft Ihr Prozess zur Identifikation, Bewertung und Behebung von Schwachstellen inklusive Patch-Management ab, welche Fristen gelten je nach Kritikalität, und wie gehen Sie mit Systemen um, für die keine Hersteller-Updates mehr verfügbar sind?

Sollte Fristen je nach Kritikalität der Schwachstelle definieren.

Reifegrad
0 1 2 3 4

Noch nicht eingeschätzt – Regler bewegen zum Setzen

Maßnahmen
Standardvorschläge

F4 – Koordinierte Offenlegung von Schwachstellen

Art. 21 Abs. 2 lit. e NIS2-RL ↗

Wie können externe Personen Ihnen Sicherheitslücken melden, und was passiert danach – existiert ein strukturierter Coordinated-Vulnerability-Disclosure-Prozess und ggf. eine Software Bill of Materials (SBOM) zur schnellen Betroffenheitsprüfung?

Ermöglicht es Dritten, Schwachstellen verantwortungsvoll zu melden.

Reifegrad
0 1 2 3 4

Noch nicht eingeschätzt – Regler bewegen zum Setzen

Maßnahmen
Standardvorschläge
← Zurück Weiter →