Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation

Kontakt zu einem Experten

Zurück zu allen Use Cases

Risikomanagement für Dritte in der Durchführungsverordnung des Präsidenten

Im Mai 2021 unterzeichnete der Präsident der Vereinigten Staaten die "Executive Order on Improving the Nation's Cybersecurity". Die nach der Verletzung der Lieferkette der SolarWinds Orion Software entwickelte Executive Order (EO) weist mehrere US-Bundesbehörden an, sich bei der Verhinderung, Erkennung, Reaktion und Begrenzung von Sicherheitsvorfällen und -verletzungen besser zu koordinieren.

Abschnitt 4 des EO, Enhancing Software Supply Chain Security, führt mehrere neue Anforderungen an das Risikomanagement von Drittanbietern ein, die von den Bundesbehörden umzusetzen sind. Insbesondere zielt die Verfügung darauf ab, die Software-Lieferkette durch spezifische Richtlinien zu verbessern, die zur Bewertung der Softwaresicherheit verwendet werden können, einschließlich Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Lieferanten selbst und der Ermittlung von Instrumenten und Methoden zum Nachweis der Einhaltung dieser sicheren Praktiken.

Prevalent automatisiert die entscheidenden Aufgaben, die erforderlich sind, um Sicherheits-, Datenschutz-, Betriebs-, Compliance- und beschaffungsbezogene Risiken von Drittanbietern in jeder Phase des Lebenszyklus eines Anbieters zu identifizieren, zu bewerten, zu analysieren, zu beheben und kontinuierlich zu überwachen.

Relevante Anforderungen

  • Identifizieren Sie, welche Zulieferer als kritisch angesehen werden, und konzentrieren Sie Ihre Bewertungsbemühungen auf diejenigen, die das größte Risiko für den Betrieb darstellen.
  • Regelmäßige Bewertung der Praktiken für einen sicheren Softwareentwicklungszyklus von wichtigen Drittanbietern, die Code oder Updates zu den endgültigen Builds beitragen
  • Zentralisierung der Dokumentation und Berichterstattung für Wirtschaftsprüfer
  • Regelmäßige Bewertung der Praktiken für einen sicheren Softwareentwicklungszyklus von wichtigen Drittanbietern, die Code oder Updates zu den endgültigen Builds beitragen
  • Sichtung und Behebung von Bewertungs- und Überwachungsergebnissen

Erfüllung der Anforderungen der Executive Order zur Verbesserung der Cybersicherheit der Nation

Hier erfahren Sie, wie Prevalent bei der Bewertung von Drittanbietern gemäß der Executive Order helfen kann:

EO-Anforderungen

Wie wir helfen

4 e) (i) (A)-(F)

Diese Anleitung umfasst Normen, Verfahren oder Kriterien in Bezug auf:
(i) sichere Softwareentwicklungsumgebungen, einschließlich solcher Maßnahmen wie:
(A) Verwendung administrativ getrennter Build-Umgebungen;
(B) die Prüfung von Vertrauensbeziehungen;
(C) Einführung einer mehrstufigen, risikobasierten Authentifizierung und Zugangskontrolle im gesamten Unternehmen;
(D) Dokumentieren und Minimieren von Abhängigkeiten von Unternehmensprodukten, die Teil der Umgebungen sind, die zur Entwicklung, Erstellung und Bearbeitung von Software verwendet werden;
(E) Einsatz von Verschlüsselung für Daten und
(F) Überwachung von Vorgängen und Warnungen und Reaktion auf versuchte und tatsächliche Cybervorfälle;

Nutzen Sie bei der Bewertung der Software-Sicherheitspraktiken von Drittanbietern die Vorteile bestehender, branchenweit anerkannter standardisierter Fragebogenvorlagen zur Risikobewertung, einschließlich der Standard Information Gathering (SIG), NIST, CMMC und ähnlicher Bewertungen, die in die Prevalent TPRM-Plattform integriert sind. Die Verwendung einer einzigen standardisierten Bewertung für Ihre Lieferantenbasis stellt sicher, dass die Behörden die Software-Sicherheitspraktiken ihrer Lieferanten effizienter vergleichen können.

Hinweis: Agenturen können auch die Prevalent Vendor Risk Networks nutzen, die abgeschlossene Sicherheitsrisikobewertungen enthalten, um den Prozess der Risikoidentifizierung zu beschleunigen.

4 (e) (ii)

(ii) Erstellung von Artefakten, die die Konformität mit den in Unterabschnitt (e)(i) dieses Abschnitts dargelegten Prozessen belegen, und Bereitstellung dieser Artefakte auf Verlangen eines Käufers;

Wenn Sie die sicheren Softwareentwicklungspraktiken eines Drittanbieters bewerten, nutzen Sie die Fähigkeit von Prevalent, unterstützende Nachweise in der Plattform mit integriertem Aufgaben- und Akzeptanzmanagement sowie obligatorischen Upload-Funktionen zu zentralisieren. Ein sicheres Dokumenten-Repository stellt sicher, dass relevante Parteien Dokumentation und Artefakte entsprechend überprüfen können.

4 (e) (iii)

(iii) Einsatz automatisierter Werkzeuge oder vergleichbarer Verfahren zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten, um die Integrität des Codes zu gewährleisten;

Siehe 4 (e) (i) (A)-(F) oben.

4 (e) (iv)

(iv) Einsatz automatisierter Werkzeuge oder vergleichbarer Verfahren, die bekannte und potenzielle Schwachstellen aufspüren und beheben, und die regelmäßig oder zumindest vor der Freigabe eines Produkts, einer Version oder eines Updates eingesetzt werden;

Dritte müssen die Schwachstellen in ihrer Software und ihrem Code scannen, auswerten und beheben und dies auch bescheinigen. Doch die Bedrohungen hören damit nicht auf. Sicherheitsteams sollten auch das Internet und das Dark Web auf Cyber-Bedrohungen, durchgesickerte Anmeldeinformationen oder andere Anzeichen für eine Kompromittierung überwachen, die unentdeckt Wege in die Systeme des Bundes öffnen können. Prevalent Vendor Threat Monitor kombiniert Feeds direkt mit der Prevalent-Plattform, um sicherzustellen, dass Unternehmen einen vollständigen Überblick über die Risiken haben - egal, ob sie während einer regelmäßigen Bewertung oder durch kontinuierliche Überwachung aufgedeckt werden.

4 (e) (v)

(v) auf Verlangen eines Käufers Artefakte der Ausführung der in Unterabschnitt (e)(iii) und (iv) dieses Abschnitts beschriebenen Instrumente und Prozesse zur Verfügung stellen und zusammenfassende Informationen über den Abschluss dieser Maßnahmen öffentlich zugänglich machen, einschließlich einer zusammenfassenden Beschreibung der bewerteten und geminderten Risiken;

Die Prevalent TPRM-Plattform zeigt Risikotrends, Status, Abhilfemaßnahmen und Ausnahmen vom üblichen Verhalten für einzelne Lieferanten oder Gruppen mit eingebetteten Erkenntnissen des maschinellen Lernens auf. Auf diese Weise können Teams schnell Ausreißer bei Bewertungen, Aufgaben, Risiken usw. erkennen, die eine weitere Untersuchung rechtfertigen könnten.

4 (e) (vi)

(vi) genaue und aktuelle Daten, die Herkunft (d. h. den Ursprung) von Softwarecode oder -komponenten und Kontrollen von internen und externen Softwarekomponenten, -tools und -diensten, die in Softwareentwicklungsprozessen vorhanden sind, sowie die Durchführung von Audits und die Durchsetzung dieser Kontrollen auf wiederkehrender Basis;

Prevalent ordnet die bei internen Audits gesammelten Informationen automatisch den in diesem EO anwendbaren Standards oder Regelwerken zu - einschließlich NIST, CMMC und anderen -, um wichtige Kontrollmängel schnell zu visualisieren und zu beheben sowie Praktiken zu bescheinigen.

4 (e) (vii)

(vii) Bereitstellung einer Software-Stückliste(SBOM) für jedes Produkt direkt an den Käufer oder durch Veröffentlichung auf einer öffentlichen Website;

Siehe 4 (e) (i) (A)-(F) oben.

4 (e) (viii)

(viii) Teilnahme an einem Programm zur Offenlegung von Schwachstellen, das einen Melde- und Offenlegungsprozess umfasst;

Siehe 4 (e) (i) (A)-(F) oben.

4 (e) (ix)

(ix) Bescheinigung der Konformität mit Praktiken der sicheren Softwareentwicklung und

Siehe 4 (e) (ii) oben.

4 (e) (x)

(x) Gewährleistung und Bescheinigung der Integrität und Herkunft von Open-Source-Software, die in einem Teil eines Produkts verwendet wird, soweit dies möglich ist.

Siehe 4 (e) (vi) oben.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.