Mehr Sicherheit im Cloudbetrieb
Vor etwas mehr als einem Jahr, am 1. März 2022, hat der Beauftragte der Bundesregierung für Informationstechnik (Bundes-CIO) ergänzende Vertragsbedingungen für die behördliche Beschaffung von Clouddiensten herausgegeben: die EVB-IT Cloud-AGB.
In diesen Bestimmungen fordert der Bundes-CIO, dass Cloudanbieter weitreichende Anforderungen, vor allem hinsichtlich Informationssicherheit, erfüllen, wenn sie ihre Clouddienste der öffentlichen Verwaltung anbieten. Insbesondere setzen die EVB-IT Cloud voraus, dass Anbieter die Kriterien des Cloud Computing Compliance Criteria Catalogue (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) erfüllen.
Auch Landes- und Kommunalbehörden fordern die EVB-IT Cloud ein
Derzeit müssen zwar nur Bundesbehörden die EVB-IT Cloud verbindlich nutzen. Es zeichnet sich jedoch ab, dass auch immer mehr Landes- und kommunale Behörden die Vorteile der EVB-IT Cloud erkennen und diese anwenden, um ein höheres Maß an vertraglicher Sicherheit sowie ein klar definiertes Niveau an Informationssicherheit zu erreichen. Dass Cloudanbieter die im BSI C5 definierten Informationssicherheitskriterien erfüllen, weisen sie mit einem BSI-C5-Prüfbericht nach. Diesen Nachweis stellt ihnen nach erfolgter Prüfung eine Wirtschaftsprüfungsgesellschaft aus. Die detaillierten BSI-C5-Prüfberichte bestätigen für einen vergangenen Zeitraum (meist für die vergangenen zwölf Monate), dass die Maßnahmen des Cloudanbieters die BSI-C5-Kriterien erfüllen.
Cloudanbieter sollten DSGVO-konform agieren
Die EVB-IT Cloud fordern zudem, dass Cloudanbieter im Einklang mit der Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) arbeiten. Sie müssen Datenschutzbeauftragte benennen und mit den Behörden Auftragsverarbeitungsvereinbarungen (AVVs) inklusive technisch-organisatorischer Maßnahmen (TOMs) schließen. PwC unterstützt Behörden und Cloudanbieter bei sämtlichen Aktivitäten bezüglich der EVB-IT Cloud mit seinen erfahrenen Teams.
Ansprechpartner:
Markus Vehlow