Wir respektieren Ihre Privatsphäre
Wir verwenden Cookies und vergleichbare Technologien für notwendige Funktionen sowie – nur mit Ihrer Einwilligung – für Analyse und Marketing.
Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer widerrufen.
NIS2 und DORA: Wie Sie ein funktionierendes Vulnerability Management etablieren
NIS2 Art. 30 und DORA Kapitel III verlangen explizit ein funktionierendes und dokumentiertes Vulnerability Management. Wir erklären wie Sie sich auditsicher vorbereiten.
Edouard Jacques
Managing Director, Cyber Culture
NIS2 (Artikel 21 Absatz 2 lit. e) und DORA (Kapitel III, insbesondere Art. 8 und 9) verlangen ein effektiver und dokumentiertes Vulnerability Management. Bisher haben viele Unternehmen ihren Scanner-Output als Beleg präsentiert.
Das wird nicht mehr reichen.
Was beide Regelwerke konkret fordern
Schwachstellenmanagement muss nicht kompliziert sein. Es braucht klare Regelungen und eine technische Umsetzung.
- Eine dokumentierte Richtlinie und Prozesse für Schwachstellen-Identifikation und -Behandlung.
- Definierte Vorgaben nach Kritikalität für die Behebung (z. B. Critical < 7 Tage, High < 30 Tage).
- Technische Vorgaben für die Umsetzung
- Nachweisbare Verantwortlichkeiten für die Behebung je Asset-Klasse.
- Regelmäßiges Reporting an die Geschäftsleitung
- Einbeziehen der Lieferanten in deren Schwachstellen-Management (Supply-Chain-Verantwortung).
Was Auditoren in der Praxis prüfen
In Begleitungen von Audits sehen wir vier wiederkehrende Prüfpunkte.
- Erstens: Ist die Policy aktuell und vom Top-Management freigegeben?
- Zweitens: Können Sie für jede Schwachstellenklasse den durchschnittlichen Behebungszeit belegen?
- Drittens: Gibt es Eskalationspfade für Findings, die die Kritikalitätsvorgaben überschreiten?
- Viertens: Wie sieht die technische Umsetzung aus
Häufige Stolperfallen
Bei DORA-Vorprüfungen im Finanzsektor sehen wir besonders: Es existiert ein Scanner, aber keine Policy. Es existiert eine Policy, aber keine Vorgaben. Es existieren Vorgaben, aber sie werden nicht gemessen. Es wird gemessen, aber nicht eskaliert. Jede dieser Punkte stellt ein potenzielles Finding im Audit dar.
Was Sie sofort tun können
Erstellen Sie eine klare einfach verständliche Richtlinie mit umsetzbaren Vorgaben. Definieren Sie zwei klare KPIs (z.B. Time to mitigate, Open critical > Vorgabe), und beziehen Sie diese in das nächste ISMS-Management-Review ein.
Wir liefern eine NIS2-/DORA-konforme Richtlinie als Vorlage, passen sie in einem Workshop an Ihren Reifegrad an und helfen Ihnen bei der passgenauen Umsetzung.
Ihre nächsten Schritte
Jetzt selbst prüfen - oder direkt mit uns sprechen
NIS2-Readiness Check
Sind Sie NIS2-pflichtig - und wo stehen Sie wirklich? Ampel-Bewertung in unter 5 Minuten.
NIS2-Check startenLieber direkt sprechen?
Buchen Sie 30 Min mit uns und besprechen Sie Ihre Situation 1:1.
Über Edouard Jacques
Managing Director, Cyber Culture
Edouard ist DevSecOps-spezialisierter Informatiker mit über 9 Jahren Erfahrung in IT- und Sicherheitsberatung. Er unterstützt Organisationen dabei, ihre Sicherheitslage durch eine proaktive, menschenzentrierte Cybersecurity-Kultur zu stärken.
Auf LinkedIn vernetzen