Regulatorische Anforderungen, Sicherheits- und Compliance-Nachweise im IT-Outsourcing und Cloud-Umfeld

In der Praxis werden in Ausschreibungen und Beratungsgesprächen häufig zahlreiche Frameworks, Zertifizierungen und Prüfberichte genannt. Dabei entsteht oft der Eindruck, dass für jede Anforderung ein separates Zertifikat notwendig ist.

Tatsächlich bestehen jedoch erhebliche inhaltliche Überschneidungen zwischen vielen dieser Nachweise.

Ein gut etabliertes Informationssicherheits-Managementsystem nach ISO 27001 in Kombination mit ergänzenden Prüfungsnachweisen (z. B. IDW PS 951 Typ 2), deckt bereits einen großen Teil der typischen Kunden- und Regulatorik-Anforderungen ab.

Ziel ist eine transparente Einordnung statt unreflektierter Zertifikatsakkumulation.

Regulatorische Anforderungen: NIS-2, KRITIS und DORA (vormals BAIT-Kontext)

KRITIS und IT-Sicherheitsgesetz

• Unter KRITIS werden Betreiber kritischer Infrastrukturen in besonders wichtigen Versorgungs- und Sicherheitssektoren verstanden (z. B. Energie, Gesundheit, Wasser, Ernährung, Transport sowie Finanz- und Versicherungswesen).
• In Deutschland werden die Pflichten für KRITIS-Betreiber im Wesentlichen durch das IT-Sicherheitsgesetz und die darauf basierenden Verordnungen geregelt. Diese Anforderungen werden schrittweise mit der Umsetzung der NIS-2-Richtlinie harmonisiert.
• KRITIS-Betreiber unterliegen erweiterten Anforderungen an Informationssicherheit, Risikomanagement, Meldeprozesse und Nachweisführung, etwa durch regelmäßige Sicherheitsüberprüfungen und die Anwendung anerkannter Sicherheitsstandards.
• Die Einstufung als KRITIS hängt von Branche und definierten Schwellenwerten ab (z. B. Größe, Bedeutung und Versorgungsrelevanz). Ein Dienstleister wird nicht allein dadurch selbst zum KRITIS-Betreiber, dass er Leistungen für einen KRITIS-Kunden erbringt.

NIS-2

• Die NIS-2-Richtlinie ist ein europäischer Rechtsrahmen für „wichtige“ und „besonders wichtige“ Einrichtungen. Sie umfasst zahlreiche KRITIS-Sektoren sowie bestimmte digitale und IT-Dienstleistungen.
• NIS-2 ist kein Zertifizierungsstandard. Gefordert werden insbesondere:
  • ein wirksames Informationssicherheits-Managementsystem
  • strukturiertes Risikomanagement
  • angemessene technische und organisatorische Maßnahmen
  • Melde- und Registrierungspflichten
• In Deutschland erfolgt die Aufsicht primär durch das Bundesamt für Sicherheit in der Informationstechnik (BSI).
• Ein Dienstleister wird nicht automatisch zur NIS-2-Einrichtung, nur weil er KRITIS- oder regulierte Kunden unterstützt. Relevante Anforderungen werden in der Regel über vertragliche Vereinbarungen übertragen. Zertifizierungen wie ISO 27001 sowie Prüfungsnachweise wie IDW PS 951 Typ 2 dienen hierbei als anerkannte Nachweise für ein angemessenes Sicherheitsniveau.

DORA (Digital Operational Resilience Act)

• DORA ist eine EU-Verordnung für Finanzinstitute sowie bestimmte kritische IKT-Dienstleister im Finanzsektor. Sie regelt insbesondere Anforderungen an:

  • IKT-Risikomanagement

  • operative Resilienz

  • Incident-Management

  • Drittparteien- und Auslagerungssteuerung

• Ein eigenständiges „DORA-Zertifikat“ existiert nicht. Finanzinstitute müssen vielmehr gegenüber den zuständigen Aufsichtsbehörden (z. B. BaFin, Bundesbank sowie europäischen Aufsehern) die Umsetzung entsprechender Maßnahmen nachweisen.

• Die primär adressierte Einheit bleibt stets das regulierte Finanzunternehmen. Anforderungen an Dienstleister ergeben sich aus vertraglichen Regelungen, etwa hinsichtlich Sicherheitsanforderungen, Meldeprozessen oder Resilienztests.

• Die vorhandene ISO-27001:2022-Zertifizierung sowie das IDW-PS-951-Typ-2-Testat des Dienstleisters stellen wesentliche Bausteine dar, die Finanzkunden zur Erfüllung ihrer DORA-Pflichten nutzen können.

Rolle von Dienstleistern / Lieferkette

• Sowohl NIS-2 als auch DORA betonen ausdrücklich die Bedeutung der Sicherheit innerhalb der Lieferkette. Regulierte Unternehmen müssen gegenüber ihren Aufsichtsbehörden nachweisen, dass auch beauftragte Dienstleister angemessene Sicherheitsmaßnahmen implementiert haben.
• Ein Dienstleister wird dadurch jedoch nicht automatisch selbst zur NIS-2-Einrichtung, zum KRITIS-Betreiber oder unmittelbar DORA-pflichtig. Vielmehr fungiert er als ausgelagerter Dienstleister innerhalb der regulatorischen Verantwortung des jeweiligen Kunden.
• Die entsprechenden Anforderungen werden in der Praxis über vertragliche Regelungen, Prüfungsrechte, Reporting-Pflichten sowie definierte Incident-Meldeketten operationalisiert.
• NIS‑2 sowie DORA betonen explizit die „Sicherheit der Lieferkette“: Regulierte Kunden (Bank/Versicherer bei DORA, KRITIS‑Betreiber/NIS‑2‑Einrichtung bei NIS‑2) müssen sicherstellen und gegenüber ihrer Aufsicht zeigen, dass auch ihre Dienstleister angemessene Sicherheitsmaßnahmen umsetzen.
• Der Dienstleister wird damit nicht selbst automatisch zur NIS‑2-Einrichtung, KRITIS oder DORA‑pflichtig, sondern fungiert als „Zulieferer“ bzw. ausgelagerter Dienst; ein KRITIS‑ oder DORA-Kunde bleibt primär verantwortlich und muss die Anforderungen über vertragliche Regelungen und Nachweise an den Dienstleister „weiterreichen“

Positionierung der axilaris GmbH:

• Die axilaris GmbH ist weder unmittelbar DORA-pflichtig noch wird er allein durch die Betreuung regulierter Kunden automatisch zum KRITIS-Betreiber.

• Relevanz und Umfang regulatorischer Anforderungen werden projektspezifisch über vertragliche Vereinbarungen festgelegt. Dazu zählen insbesondere Sicherheits- und Compliance-Anhänge, Audit- und Kontrollrechte sowie abgestimmte Melde- und Reportingprozesse.

• Durch die Registrierung als „wichtige Einrichtung“ im Rahmen des NIS-Verfahrens beim BSI, die Herstellung der Meldefähigkeit sowie die nachweislich etablierten Kontrollen gemäß ISO 27001:2022 und IDW PS 951 Typ 2 verfügt die axilaris GmbH über ein belastbares Sicherheits- und Compliance-Fundament.

• Damit werden genau jene Nachweise erbracht, die regulierte Kunden benötigen, um ihre gesetzlichen Verpflichtungen zur Absicherung der Lieferkette zu erfüllen.

Überblick über relevante Standards (Was regeln sie? Was ist zertifizierbar?)

ISO‑Normen der 27000er‑Familie

• ISO 27001: Internationaler Standard für ein Informationssicherheits‑Managementsystem (ISMS). Zertifizierbar. Legt Management‑Prozesse, Risikomanagement und Controls für Vertraulichkeit, Integrität, Verfügbarkeit fest.

• ISO 27017: Leitfaden für Informationssicherheit in Cloud‑Diensten (zusätzliche Controls für Cloud‑Provider und Cloud‑Kunden). Nicht eigenständig zertifizierbar, sondern als „Erweiterung“ der ISO‑27001‑Zertifizierung nutzbar (Scope‑Erweiterung/Statement of Applicability).

• ISO 27018: Datenschutz für personenbezogene Daten in Public‑Cloud‑Umgebungen (Privacy Controls für Cloud‑Provider als Auftragsverarbeiter). Häufig als Erweiterung zu ISO 27001 auditierbar.

• ISO 27701: Privacy Information Management System (PIMS) als Erweiterung zu ISO 27001/27002. Zertifizierbar in Kombination mit ISO 27001 und relevant für DSGVO‑konforme Verarbeitung.

Positionierung der axilaris GmbH:

• ISO 27001:2022 ist vorhanden. Damit existiert bereits ein zertifiziertes ISMS als Fundament für viele weitere Anforderungen (u.a. NIS‑2, KRITIS, DORA, BaFin‑Erwartungen).
• Die managedhosting.de GmbH hat in der Vergangenheit die Erweiterung ISO 27017 erworben. Die strategische Entscheidung bzgl. der Wiederaufnahme liegt derzeit zur Prüfung vor. 

(Wirtsschafts-)Prüfungsstandard und -nachweise: IDW PS 951 und SOC

SOC-Berichte (System and Organization Controls) sind international etablierte Prüfungsnachweise zur Beurteilung interner Kontrollsysteme (IKS) von Dienstleistungsunternehmen.

• SOC 1 fokussiert auf Kontrollen, die für die Finanzberichterstattung von Kunden relevant sind (z. B. nach ISAE 3402 oder SSAE 18). Es wird zwischen Typ 1 (Beurteilung der Angemessenheit des Kontroll-Designs zu einem bestimmten Stichtag) und Typ 2 (Beurteilung von Design und Wirksamkeit der Kontrollen über einen definierten Prüfungszeitraum) unterschieden.
• SOC 2 bewertet Kontrollen im Hinblick auf Sicherheits- und Vertrauensprinzipien (Security, Availability, Processing Integrity, Confidentiality, Privacy). Auch hier existieren Berichte als Typ 1 und Typ 2.
• SOC 3 stellt eine verkürzte, allgemein veröffentlichbare Zusammenfassung auf Basis eines SOC-2-Berichts dar und dient primär der transparenten Außendarstellung.

Der deutsche Prüfungsstandard IDW PS 951 beurteilt das interne Kontrollsystem von Dienstleistungsunternehmen, insbesondere im Kontext von Auslagerungen:

• IDW PS 951 Typ 1 bestätigt die Angemessenheit und sachgerechte Ausgestaltung der Kontrollen zu einem definierten Stichtag.

• IDW PS 951 Typ 2 bestätigt zusätzlich die Wirksamkeit der implementierten Kontrollen über einen Prüfungszeitraum.

Inhaltlich erfüllen IDW-PS-951-Prüfungen im deutschen Markt funktional eine vergleichbare Rolle wie SOC-Berichte.

Positionierung der axilaris GmbH:

Ein IDW PS951 Typ 2-Testat liegt vor. Für viele deutsche Kunden ist dieser Nachweis funktional mit einem SOC-2-Typ-2-Bericht vergleichbar und adressiert zentrale Anforderungen an die Kontrollwirksamkeit, insbesondere im Umfeld regulierter Auslagerungen (z. B. im DORA/BaFin-Kontext).

Nationale und branchenspezifische Standards

• Der BSI Cloud Computing Compliance Criteria Catalogue (C5) ist ein vom Bundesamt für Sicherheit in der Informationstechnik entwickelter Anforderungskatalog speziell für Cloud-Dienste. Im Unterschied zu klassischen Managementstandards handelt es sich um einen strukturierten Control-Katalog. Die Konformität wird in der Regel durch unabhängige Prüfungen (z. B. auf Basis von ISAE 3000) bestätigt.
• Das ISO 27001 nach IT-Grundschutz basiert auf dem BSI IT-Grundschutz-Kompendium stellt einen detaillierten, modular aufgebauten Ansatz zur Umsetzung eines Informationssicherheits-Managementsystems dar. Es ermöglicht eigenständige Zertifizierungen und weist inhaltlich eine hohe Schnittmenge zu ISO 27001 auf, ist jedoch stärker auf den deutschen Behörden- und KRITIS-Kontext ausgerichtet.
• Die DIN EN 50600 ist ein europäischer Standard für Planung, Bau und Betrieb von Rechenzentren. Er ist zertifizierbar und adressiert primär Anforderungen an physische Infrastruktur, Verfügbarkeit und Betriebsprozesse von Rechenzentrumsumgebungen.
• TISAX ist ein branchenspezifisches Prüf- und Austauschmodell der Automobilindustrie, basierend auf dem VDA-ISA-Fragebogen. Es bewertet Informationssicherheitsmaßnahmen bei Lieferanten und Dienstleistern. Das Ergebnis ist ein TISAX-Label und keine klassische Zertifizierung nach ISO-Systematik.
• Der "Sicherer IT Betrieb" (SITB) der SIZ GmbH ist ein branchenspezifisches Prüf- und Umsetzungsmodell der Sparkassenfinanzgruppe, basierend detaillierten, modular aufgebauten Anforderungs- bzw. Fragenkatalogs zur Umsetzung eines Informationssicherheits-Managementsystems orientiert an den Sicherheitsstandards ISO 27001 sowie BSI IT-Grundschutz. Das Ergebnis ist ein SIZ-Label und keine klassische öffentlich anerkannte Zertifizierung nach ISO-Systematik.

Positionierung der axilaris GmbH:

• Die Rechenzentren der axilaris GmbH sind nach DIN EN 50600 oder vergleichbaren Standards zertifiziert.
• Das ISMS der axilaris GmbH ist mit dem SITB vertraut. Der SITB bietet eine Mapping zu den ISO 27001 Anfoderungen (Controls).

Cloud-spezifische Zertifizierungs- und Bewertungsmodelle

Das Trusted Cloud Datenschutzprofil für Cloud-Dienste (TCDP) ist ein in Deutschland entwickeltes Zertifizierungsmodell zur Bewertung der datenschutzkonformen Ausgestaltung von Cloud-Services. Es basiert auf technischen und organisatorischen Maßnahmen, die häufig auf bestehenden Informationssicherheits- und Datenschutzmanagementsystemen (z. B. ISO 27001 und ISO 27018) aufbauen und diese ergänzen.

EuroCloud-Zertifizierungsmodelle (z. B. EuroCloud StarAudit) stellen europäische Bewertungs- und Klassifizierungsansätze für Cloud-Sicherheit und Datenschutz dar. Sie verfolgen in der Regel ein mehrstufiges Modell, bei dem Cloud-Dienste anhand definierter Sicherheits- und Compliance-Kriterien eingeordnet und mit entsprechenden Labels oder Zertifizierungen ausgezeichnet werden.

Effiziente und praxisnahe Compliance-Nachweisführung

Mehr Sicherheit durch integrierte Nachweise statt durch zusätzliche Zertifizierungen

Im regulatorischen Umfeld ist entscheidend, dass Sicherheitsmaßnahmen nachvollziehbar strukturiert, wirksam umgesetzt und gegenüber Kunden sowie Aufsichtsbehörden belastbar nachgewiesen werden können. Dabei kommt es weniger auf die Anzahl einzelner Zertifizierungen an als auf die Fähigkeit, bestehende Sicherheits- und Kontrollmechanismen konsistent in eine integrierte Compliance-Nachweisstrategie zu überführen.

Ein zentraler Ansatz besteht darin, ein etabliertes Informationssicherheits-Managementsystem mit unabhängigen Prüfungsnachweisen zu kombinieren und regulatorische Anforderungen projektspezifisch in Leistungs- und Kontrollstrukturen zu integrieren.

Hoher Deckungsgrad durch ISO 27001 und IDW PS 951 Typ 2

Ein nach ISO 27001:2022 zertifiziertes Informationssicherheits-Managementsystem bildet die strukturelle Grundlage zur Umsetzung wesentlicher Anforderungen aus regulatorischen und aufsichtsrechtlichen Rahmenwerken. Dies betrifft insbesondere:

• Anforderungen aus NIS-2, etwa in Bezug auf Risikomanagement, technische und organisatorische Maßnahmen sowie kontinuierliche Verbesserung der Sicherheitsorganisation

• Strukturelle Vorgaben aus DORA, beispielsweise hinsichtlich Governance, Incident-Management, IKT-Risikomanagement und Steuerung von Dienstleistern – sofern entsprechende Pflichten vertraglich in den Leistungs- und Kontrollscope integriert werden

• Erwartungen nationaler Aufsichtsbehörden (z. B. im Kontext von regulierten Kunden) hinsichtlich Informationssicherheits-Governance, Auslagerungsmanagement und Notfallvorsorge

Die ISO-27001-Zertifizierung bestätigt dabei die Existenz eines systematischen, risikobasierten Managementansatzes und dient als international anerkannter Referenzrahmen für zahlreiche regulatorische Anforderungen.

Das vorhandene IDW PS 951 Typ 2-Testat ergänzt diesen Managementsystem-Nachweis um eine unabhängige Beurteilung der Angemessenheit und Wirksamkeit implementierter Kontrollen über einen definierten Prüfungszeitraum. Dadurch wird nicht nur die konzeptionelle Ausgestaltung, sondern auch die tatsächliche Funktionsfähigkeit sicherheitsrelevanter Maßnahmen transparent bestätigt.

In funktionaler Hinsicht erfüllt ein solcher Prüfbericht im deutschen Markt eine vergleichbare Rolle wie SOC-1- oder SOC-2-Typ-2-Berichte. Für viele Kunden – insbesondere im regulierten Umfeld – stellt dies einen belastbaren und anerkannten Nachweis dar, wenn internationale „SOC-Anforderungen“ formuliert werden.

Integrierte Nachweisstrategie als Grundlage effizienter Compliance

Viele zusätzliche Sicherheits- und Compliance-Frameworks konkretisieren bestehende Anforderungen, ohne grundlegend neue Sicherheitsmechanismen einzuführen. Eine integrierte Nachweisstrategie verfolgt daher das Ziel, vorhandene Management- und Kontrollstrukturen konsistent auf unterschiedliche regulatorische und marktseitige Erwartungen auszurichten.

Dies umfasst insbesondere:

• Nutzung eines etablierten Managementsystems als zentralen Governance-Rahmen

• Ergänzende Prüfungsnachweise zur Bestätigung der Kontrollwirksamkeit

• Vertragsbasierte Operationalisierung regulatorischer Anforderungen im Kundenkontext

• Gezielten Einsatz zusätzlicher Zertifizierungen nur bei nachweisbarem regulatorischem oder marktseitigem Mehrwert

Dieser Ansatz unterstützt eine wirtschaftlich tragfähige Umsetzung regulatorischer Anforderungen, reduziert parallele Audit-Aufwände und erhöht gleichzeitig Transparenz sowie Nachvollziehbarkeit für Kunden und Aufsichtsinstanzen.

Fazit

Effektive regulatorische Compliance basiert in der Praxis auf der strukturierten Kombination etablierter Managementsysteme, unabhängiger Prüfungsnachweise und klar geregelter Verantwortlichkeiten entlang der Lieferkette.

Ein integrierter Nachweisansatz mit:

• einem zertifizierten Informationssicherheits-Managementsystem nach ISO 27001

• unabhängigen Prüfungsnachweisen zur Kontrollwirksamkeit (z. B. IDW PS 951 Typ 2)

• projektspezifisch geregelten regulatorischen Anforderungen

stellt in vielen Szenarien eine sachgerechte, effiziente und regulatorisch belastbare Grundlage für die Zusammenarbeit mit unseren Kunden dar.

"Warum wir kein eigenes C5‑Zertifikat brauchen“

Viele Ausschreibungen enthalten heute die Forderung nach einem BSI‑C5‑Testat für Cloud‑Dienste. In der Praxis steckt dahinter der Wunsch nach einem unabhängigen Nachweis, dass ein Dienstleister ein hohes Sicherheitsniveau erreicht – also nach genau dem, was wir bereits mit unserer ISO‑27001‑Zertifizierung und unserem IDW PS 951 Typ‑2‑Testat belegen.

Der BSI‑C5‑Katalog beschreibt konkrete Sicherheitskontrollen für Cloud‑Angebote, greift dabei aber weitgehend auf bewährte Informationssicherheits‑Prinzipien zurück, wie sie in der ISO‑27001‑Welt und in Prüfstandards wie IDW PS 951 oder SOC 2 bereits verankert sind. Ein gutes, gelebtes ISMS nach ISO 27001 mit wirksam getesteten Kontrollen erfüllt einen Großteil der C5‑Anforderungen bereits faktisch.

Mit der Überarbeitung der Kontrollbeschreibung der internen Kontrollsystems (IKS) wird ein Mapping zwischen ISO 27001, C5 und DORA Anforderungen berücksichtigt und eingearbeitet.

Hinzu kommt die C5‑Äquivalenz‑Verordnung | BMG: Sie ermöglicht es Auftraggebern, andere anerkannte Zertifizierungen und Prüfberichte als C5‑äquivalent anzuerkennen. Genau hier setzen wir an: Unsere ISO‑27001:2022‑Zertifizierung und unser IDW‑PS‑951‑Typ‑2‑Testat bieten in Kombination ein mindestens gleichwertiges Sicherheits‑ und Kontrollniveau – inklusive nachgewiesener Wirksamkeit über einen längeren Zeitraum.

Zusätzlich unterstützt das BSI mit der Kreuzreferenztabelle C5 zu ISO IEC 27001:2022.

Für unser Kunde bedeutet das:

• Sie erhalten ein tatsächlich hohes Sicherheitsniveau mit international anerkannten Standards.

• Sie können Anforderungen an C5 mit unseren bestehenden Zertifizierungen und Prüfberichten sachgerecht abdecken.

• Sie vermeiden Mehrkosten, längere Projektlaufzeiten und zusätzliche Audit‑Aufwände, die durch ein zusätzliches, inhaltlich weitgehend redundantes C5‑Testat entstehen würden.