Inhaltsverzeichnis
5.1.4 Cybersicherheitsanforderungen vertraglich vereinbaren
Quelle / Referenzanforderung
| Feld | Eintrag |
|---|---|
| Referenz | Durchführungsverordnung (EU) 2024/2690, Anhang, Nummer 5.1.4 |
| Quelltitel | Konzept für die Sicherheit der Lieferkette |
| Kontrolltyp | Secure SDLC / Change / Vulnerability |
| Rechtscharakter im Katalog | Referenzanforderung; konkrete Anwendbarkeit kundenseitig zu bewerten |
Auf der Grundlage des Konzepts für die Sicherheit der Lieferkette und unter Berücksichtigung der Ergebnisse der gemäß Nummer 2.1 dieses Anhangs durchgeführten Risikobewertung stellen die betreffenden Einrichtungen sicher, dass in ihren Verträgen mit Anbietern und Diensteanbietern – soweit angemessen – im Rahmen von Leistungsvereinbarungen Folgendes festgelegt wird: a) Cybersicherheitsanforderungen an die Anbieter oder Diensteanbieter, einschließlich der Anforderungen an die Sicherheit beim Erwerb von IKTDiensten oder -Produkten gemäß Nummer 6.1; b) Sensibilisierungs-, Qualifikations- und Ausbildungsanforderungen sowie – soweit angemessen – Zertifizierungen, die von den Mitarbeitenden der Anbieter oder Diensteanbieter verlangt werden; c) Anforderungen an die Zuverlässigkeitsüberprüfungen der Mitarbeitenden der Anbieter und Diensteanbieter; d) eine Verpflichtung der Anbieter und Diensteanbieter, den betreffenden Einrichtungen Sicherheitsvorfälle, die ein Risiko für die Sicherheit der Netz- und Informationssysteme dieser Einrichtungen darstellen, unverzüglich zu melden; e) das Recht auf Prüfung oder das Recht auf Erhalt von Prüfberichten; f) eine Verpflichtung der Anbieter und Diensteanbieter zur Behebung von Schwachstellen, die ein Risiko für die Sicherheit der Netz- und Informationssysteme der betreffenden Einrichtungen darstellen; g) Anforderungen an die Unterauftragsvergabe und – sofern die betreffenden Einrichtungen die Vergabe von Unteraufträgen zulassen – Cybersicherheitsanforderungen an Unterauftragnehmer im Einklang mit den unter Buchstabe a genannten Cybersicherheitsanforderungen; h) Pflichten der Anbieter und Diensteanbieter bei Vertragskündigung, z. B. Abruf und Entsorgung der Informationen, die die Anbieter und Diensteanbieter in Wahrnehmung ihrer Aufgaben erlangten.
Allgemeine Erläuterung der Maßnahme
Diese Maßnahme konkretisiert die Unterkategorie Konzept für die Sicherheit der Lieferkette. Sie verlangt, dass die oben beschriebene Referenzanforderung für die jeweilige Einrichtung angemessen umgesetzt, dokumentiert und überprüft wird. Die konkrete Ausgestaltung ist aus Organisationsstruktur, Betriebsumfeld, Risiken und rechtlicher Anwendbarkeit abzuleiten.
Allgemeine SOLL-Ableitung
| Anforderung | Erwartetes Ergebnis |
|---|---|
| Anwendbarkeit klären | Rechtliche, vertragliche und risikobezogene Relevanz ist nachvollziehbar bewertet. |
| Umsetzung festlegen | Die Referenzanforderung ist in geeignete organisatorische oder technische Regelungen überführt. |
| Verantwortung zuordnen | Verantwortliche und mitwirkende Rollen sind festgelegt. |
| Nachweisbarkeit herstellen | Umsetzung, Entscheidungen und Ergebnisse sind nachvollziehbar dokumentiert. |
| Wirksamkeit überprüfen | Angemessenheit und Wirksamkeit werden risikobasiert oder in vorgegebenen Intervallen überprüft. |
Fachliche Vorbelegung aus dem Katalog
Die folgenden Werte sind Startvorschläge. Sie sind bei der kundenspezifischen Bearbeitung zu bestätigen oder begründet anzupassen.
| Feld | Vorbelegung |
|---|---|
| Priorität | mittel |
| Verantwortliche Rolle | Change Manager (IT-Betrieb) |
| Kontrollfrequenz | monatlich |
| Allgemeiner Nachweishinweis | Change-Management, Patch-/Vuln-Reports, Code-Reviews, Freigaben, SBOM |
Kundenspezifische Bearbeitung
| Umsetzungsfortschritt |
 |
| Feld | Aktueller Eintrag |
|---|---|
| Anwendbarkeit / Relevanz | offen; kundenseitig zu bewerten |
| Erwartungshaltung | offen; aus der allgemeinen SOLL-Ableitung kundenspezifisch zu bestimmen |
| Betroffene Bereiche | aus Unternehmens- und Leistungsstruktur abzuleiten |
| Verantwortlichkeit | Change Manager (IT-Betrieb); Vorbelegung, zu bestätigen |
| Mitwirkende | kundenspezifisch zu bestimmen |
| Priorität | mittel; Vorbelegung, zu bestätigen |
| Zieltermin | offen |
| Kontrollfrequenz | monatlich; Vorbelegung, zu bestätigen |
| Aktueller Stand | noch nicht erhoben |
| Kommentar | keine kundenspezifische Bewertung vorgenommen |
| bearbeitet am | offen |
| bearbeitet von | offen |
Offene Punkte / nächste Schritte
| Erwartetes Ergebnis | Aktueller Stand | Nächster Schritt | Verantwortlich | Status |
|---|---|---|---|---|
| Anwendbarkeit ist bewertet. | nicht erhoben | Relevanz und Geltungsbereich mit der Einrichtung klären. | festzulegen |  offen |
| Erwartungshaltung ist festgelegt. | nicht erhoben | Referenzanforderung in ein kundenspezifisches Ergebnis überführen. | festzulegen | offen |
| Aktueller Stand ist erhoben. | nicht erhoben | Vorhandene Regelungen, Verfahren, Systeme und Nachweise aufnehmen. | festzulegen | offen |
| Abweichungen und Maßnahmen sind bestimmt. | nicht erhoben | Offene Punkte priorisieren und nächste Schritte festlegen. | festzulegen | offen |
| Wirksamkeit ist nachweisbar. | nicht erhoben | Prüfkriterien und geeignete Nachweise festlegen. | festzulegen | offen |
Nachweise
| Nachweisart | Erwarteter Nachweis / Standort | Status |
|---|---|---|
| Kataloghinweis | Change-Management, Patch-/Vuln-Reports, Code-Reviews, Freigaben, SBOM; konkreter Nachweis und Ablageort sind kundenspezifisch festzulegen | offen |
| Umsetzungsnachweis | geeignete Richtlinie, Verfahrensbeschreibung, Konfiguration, Protokollierung oder sonstiger Umsetzungsbeleg | offen |
| Wirksamkeitsnachweis | dokumentierte Prüfung, Kennzahl, Bericht oder nachvollziehbares Prüfergebnis | offen |
Verknüpfungen
- Kategorie: 5 Sicherheit der Lieferkette
- Unterkategorie: Konzept für die Sicherheit der Lieferkette
- Erläuterungen: Status, Vorbelegungen und Bearbeitung
Änderungshistorie
Die redaktionellen Änderungen dieser Maßnahmenseite werden automatisch von DokuWiki geführt.
Die Wiki-Historie ersetzt nicht den fachlichen Umsetzungs- oder Wirksamkeitsnachweis.