Regulatorische Anforderungen für Cloud-Services: wie DORA, NIS-2 und Co. die Datensouveränität stärken
Regulatorische Anforderungen Cloud
- 05.08.2024
Welche regulatorischen Anforderungen für Cloud-Dienste gelten
Cloud-Dienste sind ein integraler Bestandteil der IT-Strategie in vielen Branchen geworden. Unternehmen jeder Größe nutzen die Cloud, um ihre Daten zu speichern, Anwendungen bereitzustellen und Geschäftsprozesse zu optimieren. Diese Entwicklung bringt jedoch auch einige Risiken mit sich, denen durch geeignete Maßnahmen vorgebeugt werden muss. Die wichtigsten Regelwerke, die Unternehmen bei der Nutzung von Cloud-Diensten im Blick behalten sollten, sind unter anderem:• DSGVO (Datenschutz-Grundverordnung): Die DSGVO bildet das Fundament für den Datenschutz in der EU und legt fest, wie personenbezogene Daten verarbeitet werden dürfen. Sie setzt hohe Standards für den Schutz der Privatsphäre und die Kontrolle über persönliche Informationen. Alle Organisationen und Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen die DSGVO erfüllen.
• DORA (Digital Operational Resilience Act): Diese EU-Verordnung soll die operationelle Resilienz von Finanzinstituten und -dienstleistern stärken. Ab 2025 werden Finanzunternehmen in der EU sowie deren IT-Dienstleister verpflichtet sein, strenge Anforderungen an das Risikomanagement und die Informationssicherheit in Bezug auf ihre IT-Systeme und Prozesse zu erfüllen. Dies umfasst das systematische Erkennen von Risiken, Prävention und Schutzmaßnahmen sowie das regelmäßige Testen der digitalen operationalen Resilienz.
• NIS-2 (Network and Information Systems Directive 2): Diese EU-Richtlinie ersetzt die ursprüngliche NIS-Richtlinie und erweitert den Geltungsbereich auf weitere kritische Sektoren, einschließlich des Finanzsektors, des Gesundheitswesens und der digitalen Infrastruktur für ein hohes gemeinsames Cybersicherheitsniveau in der EU. Sie stellt Anforderungen unter anderem an die Governance, ein strukturiertes und umfangreiches Risikomanagement oder auch Meldepflichten. Sie gilt für Firmen ab 50 Mitarbeitern und einem Umsatz von zehn Millionen Euro, die ihre Dienste beziehungsweise Tätigkeiten in der EU ausüben. Als EU-Richtlinie wird diese noch in nationales Recht zu überführen sein. Ein Entwurf des NIS-2UmsuCG liegt bereits vor.
• Cloud Act: Der Cloud-Act ist ein US-amerikanisches Gesetz, das US-Behörden befähigt, auf Daten zuzugreifen, die von US-Unternehmen in der Cloud gespeichert werden, auch wenn diese Informationen im Ausland liegen. Dies kann zu Konflikten mit der DSGVO führen, wenn es um den Transfer von Daten in die USA geht.
• KRITIS (Kritische Infrastrukturen): Diese nationale Verordnung resultiert aus dem BSI-Gesetz und zielt auf die Sicherheit und Resilienz kritischer Infrastrukturen ab, wie zum Beispiel Energie, Wasser und Telekommunikation. Unternehmen, die als Betreiber kritischer Infrastrukturen gelten, müssen spezifische Sicherheitsanforderungen erfüllen und Vorfälle melden. Dies betrifft auch Cloud-Dienste, die als KRITIS eingestuft werden.
IT-Sicherheitsmaßnahmen und Risikominimierung in der Cloud
Die IT-Sicherheit in der Cloud erfordert eine durchdachte Schutzstrategie. Unternehmen sollten eine mehrschichtige Sicherheitsarchitektur etablieren, die Schutzmaßnahmen wie Identitäts- und Zugriffsmanagement, Verschlüsselung, Security Information & Event Management (SIEM) und Firewalls umfasst. Das Identitäts- und Zugriffsmanagement garantiert, dass nur berechtigte Personen Zugang zu sensiblen Daten haben. Ein SIEM-System hingegen hilft, Bedrohungen frühzeitig zu erkennen und darauf zu reagieren. Firewalls und Intrusion-Detection-Systeme (IDS) bieten zusätzlichen Schutz, indem sie den Datenverkehr überwachen und verdächtige Aktivitäten erkennen. Regelmäßige Schulungen der Mitarbeiter sind notwendig, damit diese die Sicherheitsrichtlinien kennen und die entsprechenden Gesetze eingehalten werden.Zur Gewährleistung der Datensouveränität müssen Unternehmen und Finanzinstitute sicherstellen, dass ihre Daten jederzeit unter ihrer Kontrolle bleiben und nicht ohne ihre Zustimmung an Dritte weitergegeben werden. Dies bedeutet, dass Cloud-Daten gegebenenfalls in geografisch festgelegten Regionen gespeichert werden müssen, um gesetzlichen Anforderungen zu genügen und den Zugriff durch ausländische Behörden zu verhindern.
Welche Cloud-Modelle erfüllen die Sicherheitsbestimmungen?
Cloud-Anbieter wie AWS, Google Cloud und Azure besitzen oft verschiedene Compliance-Zertifizierungen und fortgeschrittene Sicherheitsfunktionen. Die Confidential Cloud verschlüsselt zum Beispiel den Arbeitsspeicher, um ihn vor Cold-Boot-Attacks und illegalen Zugriffen zu schützen. Shielded Virtual Machines überwachen die Instanzen kontinuierlich auf verdächtige Aktivitäten und Abweichungen in der Software. Allerdings sind insbesondere US-Anbieter vom Cloud Act betroffen.
Das Beratungs- und IT-Unternehmen msg unterstützt Unternehmen dabei, die besten und bedarfsgerechten Lösungen zu finden und damit die Compliance-Anforderungen effektiv umzusetzen. Gemeinsam entwickeln die Branchenspezialisten mit Unternehmen maßgeschneiderte Strategien zur Implementierung modernster Technologien.
