Serie

Compliance-Reihe

Beiträge zu den regulatorischen Anforderungen, die mittelständische IT und Behörden in Deutschland und der EU betreffen: von NIS-2 und DORA über den BSI-C5-Kriterienkatalog und die ITAR-Freiheit der Werkzeugkette bis zu Drittland-Transfers nach Schrems II und dem Data Privacy Framework sowie der Cloud-Souveränität in der öffentlichen Beschaffung. Was die Vorgaben konkret verlangen und was sich daraus technisch ableitet.

11 Beiträge · chronologisch · Teil 1 oben

  1. Teil 1
    13 Min

    Öffentliche Beschaffung: wie Cloud-Souveränität in der Ausschreibung formuliert wird

    Deutsche Behörden und kommunale IT-Dienstleister dürfen Cloud-Souveränität als Zuschlagskriterium werten. Dieser Beitrag zeigt konkrete Klauselbeispiele mit Vergaberechts-Bezug, die in Vergabeverfahren Bestand haben, plus Beispiele aus realen Verfahren 2023-2025.

  2. Teil 2
    6 Min

    ITAR-Freiheit in der Werkzeugkette

    ITAR taintet einen ganzen Stapel, sobald nur eine kontrollierte US-Komponente drinsteckt. Was hilft: diese Komponenten gar nicht erst hereinziehen

  3. Teil 3
    11 Min

    NIS-2 operativ umgesetzt: was Ihr Unternehmen intern wirklich ändern muss

    Das NIS2UmsuCG gilt seit Dezember 2025 ohne Übergangsfrist. Dieser Beitrag zeigt, was operativ bis 2026/2027 in internen Prozessen, Lieferketten und IT-Haushaltsplanung angefasst werden muss, und welche Dernium-Bausteine dabei direkt nützlich sind.

  4. Teil 4
    7 Min

    DORA: was Finanz-Organisationen bis 2026 technisch umgesetzt haben müssen

    Der Digital Operational Resilience Act (EU 2022/2554) ist seit Januar 2025 wirksam. Dieser Beitrag geht die praktische Mindestliste durch: ICT-Risk-Register, Incident-Reporting im BaFin-Format, Drittanbieter-Registrierung, Resilienz-Tests und Informationsaustausch.

  5. Teil 5
    7 Min

    BSI C5:2026: was sich im Cloud-Kriterienkatalog ändert

    Das BSI hat den C5-Kriterienkatalog am 14. Mai 2026 in neuer Fassung veröffentlicht. 39 neue und 129 überarbeitete Kriterien, eine Übergangsfrist bis 1. Juni 2027 für Audits, und neue Schwerpunkte bei Verschlüsselung, Datenverarbeitung und Daten-Mapping.

  6. Teil 6
    8 Min

    Drittland-Transfers nach Schrems II und dem Data Privacy Framework

    Der EU-US-Angemessenheitsbeschluss (DPF) ist seit 2023 in Kraft und steht unter Klage. Was bedeutet das operativ für TIA-Pflichten, Standardvertragsklauseln und die Frage 'dürfen wir AWS weiter nutzen?'. Mit einer Entscheidungshilfe für Inhouse-Datenschutzteams.

  7. Teil 7
    5 Min

    BSI C3A: Souveränitäts-Kriterien für Cloud-Dienste

    C3A (Criteria Enabling Cloud Computing Autonomy) ergänzt den C5-Sicherheits-Katalog des BSI um eine Souveränitäts-Dimension. Der Beitrag erklärt die sechs Zielfelder, den Bezug zum EU Cloud Sovereignty Framework und wo C3A im Vergaberecht greift.

  8. Teil 8
    8 Min

    ISO 27001 pragmatisch einführen: 90-Tage-Fahrplan für den Mittelstand

    Viele mittelständische IT-Organisationen starten ISO 27001 entweder zu groß (alle 93 Controls gleichzeitig) oder zu halbherzig. Dieser Beitrag gibt einen realistischen 90-Tage-Fahrplan, der zum ersten Pre-Audit reicht.

  9. Teil 9
    6 Min

    NIS2-Registrierung: Das BSI setzt eine letzte Frist bis 31. Juli 2026

    Die erste Frist ist verstrichen, erst knapp 18.500 Einrichtungen sind registriert. Wer unter NIS2 fällt, was die Pflicht umfasst und welche Schritte jetzt zählen.

  10. Teil 10
    5 Min

    IT-Grundschutz++: maschinenlesbar als zentrale Designentscheidung

    Das BSI hat im April 2026 das Methoden-Kapitel zu IT-Grundschutz++ veröffentlicht. Die Anforderungen werden in maschinenlesbarer OSCAL-Form geliefert; der Kompendiums-Text schrumpft, die Verantwortung für die technische Konkretisierung wandert zum Anwender.

  11. Teil 11
    8 Min

    Incident-Response-Playbook: ein praxistaugliches Template

    Ein IR-Playbook ist dann wertvoll, wenn man es im Stressfall ohne Nachdenken durchgehen kann. Dieser Beitrag stellt ein schlankes Template vor, mit Rollen, Eskalations-Matrix, Kommunikationspfaden und einer Checkliste der ersten 60 Minuten.