NIS2 für Cloud-Provider + SaaS-Anbieter: Sektor 'Cloud Computing'

Hauptartikel: Hauptartikel: NIS2-Umsetzung Deutschland — der vollständige Pillar-Artikel zum Thema.

1. Sektor-Klassifikation

NIS2 Anhang I: Cloud-Computing-Dienste = wesentliche Einrichtung. Ab 50 MA + 10 Mio. EUR. Auch unter 50 MA, wenn 'kritisch' (z.B. CDN für Behörden).

2. SaaS-Provider als Cloud-Provider?

Nicht alle SaaS = Cloud i.S.v. NIS2. Definition: 'Bereitstellung von skalierbaren, elastischen IT-Ressourcen' (Anhang I). Reine SaaS oft NICHT erfasst, IaaS/PaaS schon.

3. Erhöhte Pflichten

• Strengere Service-Level-Agreements mit Kunden
• Höhere Verfügbarkeits- und Resilienz-Standards
• Ausrichtung am ENISA-Cloud-Security-Benchmark
• EU-Datenboundary-Erwägungen

4. Lieferanten als Verantwortliche

Cloud-Provider haftet auch für Sub-Provider. § 30 BSIG-Lieferketten-Klauseln strikt: Due Diligence, vertragliche Sicherheits-Zusagen, Audit-Rechte und Exit-Pläne sind pro Sub-Provider zu dokumentieren.

5. Vorfall-Meldung an Kunden

Bei Vorfall: Pflicht zur Kunden-Information binnen 24h, damit Kunden ihrerseits NIS2- und DSGVO Art. 33-Pflichten downstream erfüllen können.

6. Empfohlene Standards

• ISO 27017 — Cloud-Security-Controls
• ISO 27018 — Cloud-Privacy / personenbezogene Daten
• BSI C5 — Cloud-Computing-Kriterien (deutscher Bundes-Benchmark)
• CSA STAR — schlankere, anbieterfreundliche Attestierung

Zusammenfassung

Cloud- und IaaS/PaaS-Anbieter mit Deutschland-Geschäft sitzen in der höchsten NIS2-Stufe. ISO 27017 + BSI C5 deckt den Großteil der Pflichten ab und liefert belastbare Nachweise für Kunden-Audits.