Eine risikobasierte Anwendung der Kriterien

Nicht jede IT-Komponente bringt dieselben Risiken mit sich. Daher ist eine risikobasierte Bewertung notwendig, um Digitale Souveränität, Wirtschaftlichkeit und praktische Umsetzbarkeit sicherzustellen.

Die Tiefe und Priorität der Bewertung richtet sich insbesondere nach:1

Datenkritikalität: Anforderungen hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit der durch die IT-Infrastruktur verarbeiteten Daten.

Rechtsrisiko: Regulatorische Anforderungen, die erfüllt werden müssen, z. B. Datenschutz, Transfers, Branchenrecht oder Vorgaben wie NIS2, CRA und AI-Act.

Abhängigkeitsgrad: Abhängigkeit von einzelnen Anbietern, proprietären Lösungen sowie Machbarkeit einer Datenrückmigration, um Lock-In-Effekte zu vermeiden.

Sicherheitslage: Technische und organisatorische Schutzmaßnahmen, Schwachstellenexposition und Reifegrad der Sicherheitskontrollen.

Verwaltungsprozesse: Art, Umfang und Kritikalität der Verwaltungsprozesse, die auf die IT-Infrastruktur der Organisation angewiesen sind.

Lieferkettenzuverlässigkeit: Stabilität und Integrität der Lieferkette einschließlich Einhaltung rechtlicher Vorgaben wie der Vergabeverordnung oder des Lieferkettensorgfaltspflichtengesetzes.

Footnotes

  1. Bundesministerium des Innern und für Heimat. (2024). Anforderungen an Technologieanbieter und -lösungen (Beschluss Nr. 2024/01). https://www.cio.bund.de/SharedDocs/downloads/Webs/CIO/DE/cio-bund/steuerung-it-bund/beschluesse_cio-board/2024_01_Beschluss_CIO_Board_Technologieanbieter_Anlage.pdf

Geben Sie uns Feedback

Nehmen Sie am Konsultationsprozess teil und teilen Sie Ihre Anregungen mit uns. Ihr Feedback hilft uns dabei, das Projekt gemeinsam weiterzuentwickeln. Geben Sie keine persönlichen Daten ein. Ihr Feedback wird auf openCode veröffentlicht.