====== 6.5.3 Sicherheitsprüfungskonzept regelmäßig überprüfen ====== ===== Quelle / Referenzanforderung ===== ^ Feld ^ Eintrag ^ | Referenz | Durchführungsverordnung (EU) 2024/2690, Anhang, Nummer 6.5.3 | | Quelltitel | Sicherheitsprüfung | | Kontrolltyp | Assurance / Testing / Audit | | Rechtscharakter im Katalog | Referenzanforderung; konkrete Anwendbarkeit kundenseitig zu bewerten | Die betreffenden Einrichtungen überprüfen ihre Konzepte für die Sicherheitsprüfung in geplanten Zeitabständen und aktualisieren sie – soweit angemessen. ===== Allgemeine Erläuterung der Maßnahme ===== Diese Maßnahme konkretisiert die Unterkategorie //Sicherheitsprüfung//. Sie verlangt, dass die oben beschriebene Referenzanforderung für die jeweilige Einrichtung angemessen umgesetzt, dokumentiert und überprüft wird. Die konkrete Ausgestaltung ist aus Organisationsstruktur, Betriebsumfeld, Risiken und rechtlicher Anwendbarkeit abzuleiten. ==== Allgemeine SOLL-Ableitung ==== ^ Anforderung ^ Erwartetes Ergebnis ^ | Anwendbarkeit klären | Rechtliche, vertragliche und risikobezogene Relevanz ist nachvollziehbar bewertet. | | Umsetzung festlegen | Die Referenzanforderung ist in geeignete organisatorische oder technische Regelungen überführt. | | Verantwortung zuordnen | Verantwortliche und mitwirkende Rollen sind festgelegt. | | Nachweisbarkeit herstellen | Umsetzung, Entscheidungen und Ergebnisse sind nachvollziehbar dokumentiert. | | Wirksamkeit überprüfen | Angemessenheit und Wirksamkeit werden risikobasiert oder in vorgegebenen Intervallen überprüft. | ===== Fachliche Vorbelegung aus dem Katalog ===== Die folgenden Werte sind Startvorschläge. Sie sind bei der kundenspezifischen Bearbeitung zu bestätigen oder begründet anzupassen. ^ Feld ^ Vorbelegung ^ | Priorität | mittel | | Verantwortliche Rolle | ISB | | Kontrollfrequenz | jährlich | | Allgemeiner Nachweishinweis | Test-/Abnahmeprotokolle, Auditreports, KPI/KRI, Penetrationstests | ===== Kundenspezifische Bearbeitung ===== {(improg>type=improg |value=4 |id=060503 |name=6.5.3 Sicherheitsprüfungskonzept regelmäßig überprüfen )} ^ Feld ^ Aktueller Eintrag ^ | Anwendbarkeit / Relevanz | offen; kundenseitig zu bewerten | | Erwartungshaltung | offen; aus der allgemeinen SOLL-Ableitung kundenspezifisch zu bestimmen | | Betroffene Bereiche | aus Unternehmens- und Leistungsstruktur abzuleiten | | Verantwortlichkeit | ISB; Vorbelegung, zu bestätigen | | Mitwirkende | kundenspezifisch zu bestimmen | | Priorität | mittel; Vorbelegung, zu bestätigen | | Zieltermin | offen | | Kontrollfrequenz | jährlich; Vorbelegung, zu bestätigen | | Aktueller Stand | noch nicht erhoben | | Kommentar | keine kundenspezifische Bewertung vorgenommen | | bearbeitet am | offen | | bearbeitet von | offen | ===== Offene Punkte / nächste Schritte ===== ^ Erwartetes Ergebnis ^ Aktueller Stand ^ Nächster Schritt ^ Verantwortlich ^ Status ^ | Anwendbarkeit ist bewertet. | nicht erhoben | Relevanz und Geltungsbereich mit der Einrichtung klären. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen | | Erwartungshaltung ist festgelegt. | nicht erhoben | Referenzanforderung in ein kundenspezifisches Ergebnis überführen. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen | | Aktueller Stand ist erhoben. | nicht erhoben | Vorhandene Regelungen, Verfahren, Systeme und Nachweise aufnehmen. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen | | Abweichungen und Maßnahmen sind bestimmt. | nicht erhoben | Offene Punkte priorisieren und nächste Schritte festlegen. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen | | Wirksamkeit ist nachweisbar. | nicht erhoben | Prüfkriterien und geeignete Nachweise festlegen. | festzulegen | {{:intern:1star.gif?nolink|offen}} offen | ===== Nachweise ===== ^ Nachweisart ^ Erwarteter Nachweis / Standort ^ Status ^ | Kataloghinweis | Test-/Abnahmeprotokolle, Auditreports, KPI/KRI, Penetrationstests; konkreter Nachweis und Ablageort sind kundenspezifisch festzulegen | {{:intern:1star.gif?nolink|offen}} offen | | Umsetzungsnachweis | geeignete Richtlinie, Verfahrensbeschreibung, Konfiguration, Protokollierung oder sonstiger Umsetzungsbeleg | {{:intern:1star.gif?nolink|offen}} offen | | Wirksamkeitsnachweis | dokumentierte Prüfung, Kennzahl, Bericht oder nachvollziehbares Prüfergebnis | {{:intern:1star.gif?nolink|offen}} offen | * [[https://demo.nis2-isms.de/doku.php?id=nis2:nachweise:formular&%40Ma%C3%9Fnahmen-ID%40=060503&%40Ma%C3%9Fnahmenseite%40=nis2%3Amassnahmen%3A06%3A05%3A03|Nachweisdatei im Wiki erfassen]] * [[https://demo.nis2-isms.de/doku.php?id=nis2:nachweise:formular_extern&%40Ma%C3%9Fnahmen-ID%40=060503&%40Ma%C3%9Fnahmenseite%40=nis2%3Amassnahmen%3A06%3A05%3A03|Extern abgelegten Nachweis erfassen]] * [[https://demo.nis2-isms.de/doku.php?id=start&do=search&q=%40nis2%3Anachweise%3A060503|Nachweise dieser Maßnahme anzeigen]] ===== Verknüpfungen ===== * Kategorie: [[nis2:massnahmen:06:start|6 Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen]] * Unterkategorie: [[nis2:massnahmen:06:start|Sicherheitsprüfung]] * Erläuterungen: [[nis2:massnahmen:erlaeuterungen|Status, Vorbelegungen und Bearbeitung]] ===== Änderungshistorie ===== Die redaktionellen Änderungen dieser Maßnahmenseite werden automatisch von DokuWiki geführt. * [[https://demo.nis2-isms.de/doku.php?id=nis2:massnahmen:06:05:03&do=revisions|Versionen und Änderungen dieser Maßnahme]] Die Wiki-Historie ersetzt nicht den fachlichen Umsetzungs- oder Wirksamkeitsnachweis.