Beta

Source: OJ L, 2024/1774, 25.6.2024

Current language: DE

Artikel 10 Schwachstellen- und Patch-Management

    1. Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools Verfahren für das Schwachstellen-Management.

    1. Die in Absatz 1 genannten Verfahren für das Schwachstellen-Management sorgen dafür, dass

      1. relevante und vertrauenswürdige Informationsressourcen ermittelt und aktualisiert werden, um für Schwachstellen zu sensibilisieren und das Bewusstsein dafür aufrechtzuerhalten,

      2. die Durchführung automatisierter Schwachstellenbewertungen und -scans bei IKT-Assetseine Software oder Hardware in den Netzwerk- und Informationssystemen, die das Finanzunternehmen nutzt; gewährleistet und dabei sichergestellt wird, dass deren Häufigkeit und Umfang der im Einklang mit Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 festgelegten Klassifizierung und dem Gesamtrisikoprofil des IKT-Assetseine Software oder Hardware in den Netzwerk- und Informationssystemen, die das Finanzunternehmen nutzt; entsprechen,

      3. überprüft wird, ob

        1. IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; Schwachstellen angehen, die im Zusammenhang mit den IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; für das Finanzunternehmen stehen,

        2. diese Dienstleister dem Finanzunternehmen zumindest die kritischen Schwachstellen und Statistiken und Trends zeitnah melden;

      4. nachverfolgt wird, wie Folgendes verwendet wird:

        1. Bibliotheken Dritter, einschließlich Open-Source-Bibliotheken, die für IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; zur Unterstützung kritischer oder wichtiger Funktionen genutzt werden,

        2. IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste;, die das Finanzunternehmen selbst entwickelt hat oder von einem IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; speziell für das Finanzunternehmen angepasst oder entwickelt wurden;

      5. Verfahren für die verantwortungsvolle Offenlegung von Schwachstellen gegenüber Kunden, Gegenparteien und der Öffentlichkeit festgelegt werden,

      6. die Einführung von Patches und anderen Abhilfemaßnahmen priorisiert wird, um die ermittelten Schwachstellen zu beheben,

      7. die Behebung von Schwachstellen überwacht und geprüft wird,

      8. eine Aufzeichnung aller festgestellten Schwachstellen, die IKT-Systeme betreffen, und die Überwachung der Behebung dieser Schwachstellen verlangt werden.

    2. Für die Zwecke von Buchstabe b führen die Finanzunternehmen die automatisierten Schwachstellenbewertungen und -scans für IKT-Assetseine Software oder Hardware in den Netzwerk- und Informationssystemen, die das Finanzunternehmen nutzt; bei IKT-Assetseine Software oder Hardware in den Netzwerk- und Informationssystemen, die das Finanzunternehmen nutzt;, die kritische oder wichtige Funktionen unterstützen, mindestens einmal wöchentlich durch.

    3. Für die Zwecke von Buchstabe c fordern die Finanzunternehmen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; auf, die einschlägigen Schwachstellen zu untersuchen, die Ursachen zu ermitteln und geeignete Abhilfemaßnahmen zu ergreifen.

    4. Für die Zwecke von Buchstabe d überwachen die Finanzunternehmen, gegebenenfalls in Zusammenarbeit mit dem IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;, die aktuelle Version der Bibliotheken Dritter sowie mögliche Aktualisierungen. Was gebrauchsfertige (Standard-)IKT-Assetseine Software oder Hardware in den Netzwerk- und Informationssystemen, die das Finanzunternehmen nutzt; oder Komponenten von IKT-Assetseine Software oder Hardware in den Netzwerk- und Informationssystemen, die das Finanzunternehmen nutzt; betrifft, die für die Ausführung von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; erworben und verwendet werden, die keine kritischen oder wichtigen Funktionen unterstützen, wird die Nutzung von Bibliotheken Dritter, einschließlich Open-Source-Bibliotheken, von den Finanzunternehmen soweit wie möglich nachverfolgt.

    5. Für die Zwecke von Buchstabe f berücksichtigen die Finanzunternehmen die Kritikalität der Schwachstelleeine Schwachstelle, Empfindlichkeit oder Fehlfunktion eines Vermögenswerts, eines Systems, eines Prozesses oder einer Kontrolle, die ausgenutzt werden kann;, die im Einklang mit Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 festgelegte Klassifizierung sowie das Risikoprofil der IKT-Assetseine Software oder Hardware in den Netzwerk- und Informationssystemen, die das Finanzunternehmen nutzt;, die von den ermittelten Schwachstellen betroffen sind.

    1. Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools Verfahren für das Patch-Management.

    1. Die in Absatz 3 genannten Verfahren für das Patch-Management dienen dazu,

      1. soweit möglich verfügbare Software- und Hardware-Patches und -Aktualisierungen mithilfe automatisierter Tools zu ermitteln und zu bewerten;

      2. Notfallverfahren für das Patching und die Aktualisierung von IKT-Assetseine Software oder Hardware in den Netzwerk- und Informationssystemen, die das Finanzunternehmen nutzt; zu ermitteln;

      3. Software- und Hardware-Patches und die Aktualisierungen gemäß Artikel 8 Absatz 2 Buchstabe b Ziffern v, vi und vii zu testen und einzuführen;

      4. Fristen für die Installation von Software- und Hardware-Patches und von Aktualisierungen zu setzen sowie Eskalationsverfahren für den Fall festzulegen, dass diese Fristen nicht eingehalten werden können.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod