Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues 24 Pull Requests Actions Packages Projects Releases Wiki Activity

Initial commit: breakpilot-compliance - Compliance SDK Platform

Browse Source 
Services: Admin-Compliance, Backend-Compliance,
AI-Compliance-SDK, Consent-SDK, Developer-Portal,
PCA-Platform, DSMS

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
This commit is contained in:
Benjamin Boenisch
2026-02-11 23:47:28 +01:00
commit 4435e7ea0a
734 changed files with 251369 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

430
ai-compliance-sdk/policies/obligations/ai_act_obligations.yaml Normal file
View File

@@ -0,0 +1,430 @@
# AI Act (EU Regulation 2024/1689) Obligations
# EU Artificial Intelligence Act
regulation: ai_act
name: "AI Act (EU KI-Verordnung)"
description: "EU-Verordnung zur Festlegung harmonisierter Vorschriften fuer kuenstliche Intelligenz"
obligations:
# Prohibited AI Practices (Art. 5) - applies to all
- id: "AIACT-OBL-001"
title: "Verbotene KI-Praktiken vermeiden"
description: |
Sicherstellung, dass keine verbotenen KI-Praktiken eingesetzt werden:
- Social Scoring durch oeffentliche Stellen
- Ausnutzung von Schwaechen (Alter, Behinderung)
- Unterschwellige Manipulation
- Biometrische Echtzeit-Fernidentifizierung (mit Ausnahmen)
- Emotionserkennung am Arbeitsplatz/in Bildung
- Biometrische Kategorisierung nach sensitiven Merkmalen
applies_when: "uses_ai"
legal_basis:
- norm: "Art. 5 AI Act"
article: "Verbotene Praktiken im KI-Bereich"
category: "Compliance"
responsible: "Geschaeftsfuehrung"
deadline:
type: "absolute"
date: "2025-02-02"
sanctions:
max_fine: "35 Mio. EUR oder 7% Jahresumsatz"
criminal_liability: false
evidence:
- "KI-Inventar mit Risikobewertung"
- "Dokumentierte Pruefung auf verbotene Praktiken"
priority: "kritisch"
# High-Risk AI System Requirements (Art. 6-15)
- id: "AIACT-OBL-002"
title: "Risikomanagementsystem fuer Hochrisiko-KI"
description: |
Einrichtung eines Risikomanagementsystems fuer Hochrisiko-KI-Systeme:
- Ermittlung und Analyse bekannter und vorhersehbarer Risiken
- Schaetzung und Bewertung der Risiken
- Risikominderungsmassnahmen
- Kontinuierliche Ueberwachung und Aktualisierung
applies_when: "high_risk"
legal_basis:
- norm: "Art. 9 AI Act"
article: "Risikomanagementsystem"
category: "Governance"
responsible: "KI-Verantwortlicher"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
personal_liability: false
evidence:
- "Risikomanagement-Dokumentation"
- "Risikobewertungen pro KI-System"
- "Massnahmenplan"
priority: "kritisch"
iso27001_mapping: ["A.5.1.1", "A.8.2"]
- id: "AIACT-OBL-003"
title: "Daten-Governance fuer Hochrisiko-KI"
description: |
Anforderungen an Trainings-, Validierungs- und Testdaten:
- Relevante Design-Entscheidungen
- Datenerhebung und Datenherkunft
- Vorverarbeitung (Annotation, Labelling, Bereinigung)
- Erkennung und Behebung von Verzerrungen (Bias)
- Identifizierung von Datenluecken
applies_when: "high_risk_provider"
legal_basis:
- norm: "Art. 10 AI Act"
article: "Daten und Daten-Governance"
category: "Technisch"
responsible: "KI-Verantwortlicher"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Datensatzdokumentation"
- "Bias-Analyse-Berichte"
- "Datenqualitaetsnachweise"
priority: "hoch"
- id: "AIACT-OBL-004"
title: "Technische Dokumentation erstellen"
description: |
Erstellung umfassender technischer Dokumentation vor Inverkehrbringen:
- Allgemeine Beschreibung des KI-Systems
- Design-Spezifikationen
- Entwicklungsprozess
- Leistungsmetriken
- Risikomanagement-Dokumentation
applies_when: "high_risk_provider"
legal_basis:
- norm: "Art. 11 AI Act"
article: "Technische Dokumentation"
category: "Governance"
responsible: "KI-Verantwortlicher"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Technische Dokumentation nach Anhang IV"
- "Systemarchitektur-Dokumentation"
- "Algorithmus-Beschreibung"
priority: "hoch"
- id: "AIACT-OBL-005"
title: "Protokollierungsfunktion implementieren"
description: |
Hochrisiko-KI-Systeme muessen automatische Protokolle (Logs) erstellen:
- Nutzungszeitraum
- Referenzdatenbank
- Eingabedaten
- Identitaet der verifizierenden Personen
applies_when: "high_risk"
legal_basis:
- norm: "Art. 12 AI Act"
article: "Aufzeichnungspflichten"
category: "Technisch"
responsible: "IT-Leitung"
deadline:
type: "relative"
duration: "Aufbewahrung mindestens 6 Monate"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Log-System-Dokumentation"
- "Beispiel-Logs"
- "Aufbewahrungsrichtlinie"
priority: "hoch"
iso27001_mapping: ["A.12.4"]
- id: "AIACT-OBL-006"
title: "Transparenz und Nutzerinformation"
description: |
Bereitstellung klarer Informationen fuer Betreiber (Deployer):
- Gebrauchsanweisungen
- Eigenschaften und Grenzen des Systems
- Leistungsniveau und Genauigkeit
- Vorhersehbare Fehlnutzungen
applies_when: "high_risk_provider"
legal_basis:
- norm: "Art. 13 AI Act"
article: "Transparenz und Information"
category: "Organisatorisch"
responsible: "KI-Verantwortlicher"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Gebrauchsanweisung"
- "Leistungsdokumentation"
- "Warnhinweise"
priority: "hoch"
- id: "AIACT-OBL-007"
title: "Menschliche Aufsicht sicherstellen"
description: |
Hochrisiko-KI muss menschliche Aufsicht ermoeglichen:
- Faehigkeiten und Grenzen verstehen
- Ueberwachung des Betriebs
- Interpretation der Ausgaben
- Eingreifen oder Abbrechen koennen
applies_when: "high_risk"
legal_basis:
- norm: "Art. 14 AI Act"
article: "Menschliche Aufsicht"
category: "Organisatorisch"
responsible: "KI-Verantwortlicher"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Aufsichtskonzept"
- "Schulungsnachweise fuer Bediener"
- "Notfall-Abschaltprozedur"
priority: "kritisch"
- id: "AIACT-OBL-008"
title: "Genauigkeit, Robustheit und Cybersicherheit"
description: |
Hochrisiko-KI muss waehrend des gesamten Lebenszyklus:
- Angemessene Genauigkeit aufweisen
- Robust gegen Fehler und Inkonsistenzen sein
- Cyberangriffe verhindern koennen (Adversarial Attacks)
applies_when: "high_risk"
legal_basis:
- norm: "Art. 15 AI Act"
article: "Genauigkeit, Robustheit und Cybersicherheit"
category: "Technisch"
responsible: "IT-Leitung"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Genauigkeits-Metriken und Tests"
- "Robustheitstests"
- "Security-Assessment"
priority: "hoch"
iso27001_mapping: ["A.14.2", "A.18.2"]
# Deployer Obligations (Art. 26)
- id: "AIACT-OBL-009"
title: "Betreiberpflichten fuer Hochrisiko-KI"
description: |
Betreiber (Deployer) von Hochrisiko-KI muessen:
- Geeignete technische und organisatorische Massnahmen treffen
- Eingabedaten auf Relevanz pruefen
- Betrieb ueberwachen
- Protokolle aufbewahren
- Betroffene Personen informieren
applies_when: "high_risk_deployer"
legal_basis:
- norm: "Art. 26 AI Act"
article: "Pflichten der Betreiber"
category: "Organisatorisch"
responsible: "KI-Verantwortlicher"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Betriebskonzept"
- "Eingabedaten-Pruefung"
- "Monitoring-Dokumentation"
priority: "hoch"
- id: "AIACT-OBL-010"
title: "Grundrechte-Folgenabschaetzung"
description: |
Betreiber von Hochrisiko-KI in sensiblen Bereichen muessen vor Einsatz eine
Grundrechte-Folgenabschaetzung durchfuehren (FRIA - Fundamental Rights Impact Assessment).
Dies gilt fuer oeffentliche Stellen und private Betreiber in kritischen Bereichen.
applies_when: "high_risk_deployer_fria"
legal_basis:
- norm: "Art. 27 AI Act"
article: "Grundrechte-Folgenabschaetzung"
category: "Governance"
responsible: "KI-Verantwortlicher"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "FRIA-Dokumentation"
- "Risikobewertung Grundrechte"
- "Abhilfemassnahmen"
priority: "kritisch"
# Transparency Obligations for Limited Risk AI (Art. 50)
- id: "AIACT-OBL-011"
title: "Transparenzpflichten fuer KI-Interaktionen"
description: |
Bei KI-Systemen, die mit natuerlichen Personen interagieren:
- Kennzeichnung der KI-Interaktion
- Information, dass Inhalte KI-generiert sind
- Kennzeichnung von Deep Fakes
applies_when: "limited_risk"
legal_basis:
- norm: "Art. 50 AI Act"
article: "Transparenzpflichten"
category: "Organisatorisch"
responsible: "KI-Verantwortlicher"
deadline:
type: "absolute"
date: "2026-08-02"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Kennzeichnungskonzept"
- "Nutzerhinweise"
- "Deep-Fake-Kennzeichnung"
priority: "hoch"
# GPAI Obligations (Art. 53)
- id: "AIACT-OBL-012"
title: "GPAI-Modell Dokumentation"
description: |
Anbieter von GPAI-Modellen (General Purpose AI) muessen:
- Technische Dokumentation erstellen und aktualisieren
- Informationen fuer nachgelagerte Anbieter bereitstellen
- Urheberrechtsrichtlinie einhalten
- Trainingsdaten-Zusammenfassung veroeffentlichen
applies_when: "gpai_provider"
legal_basis:
- norm: "Art. 53 AI Act"
article: "Pflichten der Anbieter von GPAI-Modellen"
category: "Governance"
responsible: "KI-Verantwortlicher"
deadline:
type: "absolute"
date: "2025-08-02"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "GPAI-Dokumentation"
- "Trainingsdaten-Summary"
- "Urheberrechts-Policy"
priority: "hoch"
- id: "AIACT-OBL-013"
title: "GPAI mit systemischem Risiko"
description: |
GPAI-Modelle mit systemischem Risiko (>10^25 FLOP Training) haben zusaetzliche Pflichten:
- Modellbewertung nach Protokollen
- Bewertung und Minderung systemischer Risiken
- Dokumentation von Vorfaellen
- Angemessene Cybersicherheit
applies_when: "gpai_systemic_risk"
legal_basis:
- norm: "Art. 55 AI Act"
article: "Pflichten bei systemischem Risiko"
category: "Technisch"
responsible: "KI-Verantwortlicher"
deadline:
type: "absolute"
date: "2025-08-02"
sanctions:
max_fine: "35 Mio. EUR oder 7% Jahresumsatz"
evidence:
- "Systemische Risikobewertung"
- "Red-Teaming-Berichte"
- "Incident-Dokumentation"
priority: "kritisch"
# Registration (Art. 49, 60)
- id: "AIACT-OBL-014"
title: "EU-Datenbank-Registrierung"
description: |
Registrierung in der EU-Datenbank fuer Hochrisiko-KI-Systeme:
- Anbieter: Vor Inverkehrbringen
- Betreiber: Vor Inbetriebnahme (bei bestimmten Kategorien)
applies_when: "high_risk"
legal_basis:
- norm: "Art. 49 AI Act"
article: "Registrierung"
category: "Meldepflicht"
responsible: "KI-Verantwortlicher"
deadline:
type: "relative"
duration: "Vor Inverkehrbringen/Inbetriebnahme"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Registrierungsbestaetigung"
- "EU-Datenbank-Eintrag"
priority: "hoch"
# AI Literacy (Art. 4)
- id: "AIACT-OBL-015"
title: "KI-Kompetenz sicherstellen"
description: |
Anbieter und Betreiber muessen sicherstellen, dass Personal mit ausreichender
KI-Kompetenz ausgestattet ist. Dies umfasst Schulungen und Sensibilisierung
fuer Risiken und ethische Aspekte.
applies_when: "uses_ai"
legal_basis:
- norm: "Art. 4 AI Act"
article: "KI-Kompetenz"
category: "Schulung"
responsible: "Geschaeftsfuehrung"
deadline:
type: "absolute"
date: "2025-02-02"
sanctions:
max_fine: "7,5 Mio. EUR oder 1% Jahresumsatz"
evidence:
- "Schulungsnachweise"
- "Kompetenzmatrix"
- "Awareness-Programm"
priority: "mittel"
controls:
- id: "AIACT-CTRL-001"
name: "KI-Inventar"
description: "Fuehrung eines vollstaendigen Inventars aller KI-Systeme"
category: "Governance"
what_to_do: "Erfassung aller KI-Systeme mit Risikoeinstufung, Zweck, Anbieter, Betreiber"
iso27001_mapping: ["A.8.1"]
priority: "kritisch"
- id: "AIACT-CTRL-002"
name: "KI-Governance-Struktur"
description: "Etablierung einer KI-Governance mit klaren Verantwortlichkeiten"
category: "Governance"
what_to_do: "Benennung eines KI-Verantwortlichen, Einrichtung eines KI-Boards"
priority: "hoch"
- id: "AIACT-CTRL-003"
name: "Bias-Testing und Fairness"
description: "Regelmaessige Pruefung auf Verzerrungen und Diskriminierung"
category: "Technisch"
what_to_do: "Implementierung von Bias-Detection, Fairness-Metriken, Datensatz-Audits"
priority: "hoch"
- id: "AIACT-CTRL-004"
name: "Model Monitoring"
description: "Kontinuierliche Ueberwachung der KI-Modellleistung"
category: "Technisch"
what_to_do: "Drift-Detection, Performance-Monitoring, Anomalie-Erkennung"
priority: "hoch"
- id: "AIACT-CTRL-005"
name: "KI-Risikobewertungs-Prozess"
description: "Etablierung eines strukturierten Prozesses zur Risikobewertung"
category: "Governance"
what_to_do: "Pre-Deployment Assessment, regelmaessige Re-Evaluation, Eskalationsprozess"
priority: "kritisch"
- id: "AIACT-CTRL-006"
name: "Explainability-Framework"
description: "Implementierung von Erklaerbarkeit fuer KI-Entscheidungen"
category: "Technisch"
what_to_do: "SHAP/LIME Integration, Entscheidungsprotokollierung, Nutzererklaerungen"
priority: "mittel"
incident_deadlines:
- phase: "Schwerwiegender Vorfall melden"
deadline: "unverzueglich"
content: |
Meldung schwerwiegender Vorfaelle bei Hochrisiko-KI-Systemen:
- Tod oder schwere Gesundheitsschaeden
- Schwerwiegende Grundrechtsverletzungen
- Schwere Schaeden an Eigentum oder Umwelt
recipient: "Zustaendige Marktaufsichtsbehoerde"
legal_basis:
- norm: "Art. 73 AI Act"
- phase: "Fehlfunktion melden (Anbieter)"
deadline: "15 Tage"
content: |
Anbieter von Hochrisiko-KI melden Fehlfunktionen, die einen
schwerwiegenden Vorfall darstellen koennten.
recipient: "Marktaufsichtsbehoerde des Herkunftslandes"
legal_basis:
- norm: "Art. 73 Abs. 1 AI Act"

321
ai-compliance-sdk/policies/obligations/dsgvo_obligations.yaml Normal file
View File

@@ -0,0 +1,321 @@
# DSGVO (Datenschutz-Grundverordnung) Obligations
# EU Verordnung 2016/679
regulation: dsgvo
name: "DSGVO (Datenschutz-Grundverordnung)"
description: "EU-Verordnung zum Schutz personenbezogener Daten"
obligations:
- id: "DSGVO-OBL-001"
title: "Verarbeitungsverzeichnis fuehren"
description: |
Fuehrung eines Verzeichnisses aller Verarbeitungstaetigkeiten mit Angabe der
Zwecke, Kategorien betroffener Personen, Empfaenger, Uebermittlungen in
Drittlaender und Loeschfristen.
applies_when: "always"
legal_basis:
- norm: "Art. 30 DSGVO"
article: "Verzeichnis von Verarbeitungstaetigkeiten"
category: "Governance"
responsible: "Datenschutzbeauftragter"
sanctions:
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
evidence:
- "Verarbeitungsverzeichnis"
- "Regelmaessige Aktualisierung dokumentiert"
priority: "hoch"
iso27001_mapping: ["A.5.1.1"]
- id: "DSGVO-OBL-002"
title: "Technische und organisatorische Massnahmen (TOMs)"
description: |
Implementierung geeigneter technischer und organisatorischer Massnahmen zum
Schutz personenbezogener Daten unter Beruecksichtigung des Stands der Technik,
der Implementierungskosten und der Art, des Umfangs, der Umstaende und der
Zwecke der Verarbeitung.
applies_when: "always"
legal_basis:
- norm: "Art. 32 DSGVO"
article: "Sicherheit der Verarbeitung"
category: "Technisch"
responsible: "IT-Leitung"
sanctions:
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
evidence:
- "TOM-Dokumentation"
- "Risikoanalyse"
- "Verschluesselungskonzept"
- "Zugriffskontroll-Dokumentation"
priority: "hoch"
iso27001_mapping: ["A.8", "A.10", "A.12", "A.13"]
how_to_implement: |
1. Risikoanalyse fuer alle Verarbeitungen durchfuehren
2. Geeignete TOMs je nach Risikoniveau auswaehlen
3. Verschluesselung fuer Daten at rest und in transit
4. Zugriffskontrolle nach Need-to-know-Prinzip
5. Regelmaessige Ueberpruefung und Aktualisierung
- id: "DSGVO-OBL-003"
title: "Datenschutz-Folgenabschaetzung (DSFA)"
description: |
Durchfuehrung einer Datenschutz-Folgenabschaetzung bei Verarbeitungsvorgaengen,
die voraussichtlich ein hohes Risiko fuer die Rechte und Freiheiten natuerlicher
Personen zur Folge haben, insbesondere bei neuen Technologien.
applies_when: "high_risk"
legal_basis:
- norm: "Art. 35 DSGVO"
article: "Datenschutz-Folgenabschaetzung"
category: "Governance"
responsible: "Datenschutzbeauftragter"
sanctions:
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
evidence:
- "DSFA-Dokumentation"
- "Risikobewertung"
- "Abhilfemassnahmen"
- "Stellungnahme DSB"
priority: "kritisch"
iso27001_mapping: ["A.5.1.1", "A.18.1"]
how_to_implement: |
1. Pruefen ob DSFA erforderlich (Blacklist der Aufsichtsbehoerde)
2. Systematische Beschreibung der Verarbeitung
3. Bewertung der Notwendigkeit und Verhaeltnismaessigkeit
4. Risiken fuer Rechte und Freiheiten bewerten
5. Abhilfemassnahmen festlegen
6. Bei hohem Restrisiko: Konsultation der Aufsichtsbehoerde
- id: "DSGVO-OBL-004"
title: "Datenschutzbeauftragten benennen"
description: |
Benennung eines Datenschutzbeauftragten bei oeffentlichen Stellen,
systematischer Ueberwachung im grossen Umfang oder Verarbeitung
besonderer Kategorien im grossen Umfang. In Deutschland: ab 20 MA.
applies_when: "needs_dpo"
legal_basis:
- norm: "Art. 37 DSGVO"
article: "Benennung eines Datenschutzbeauftragten"
- norm: "§ 38 BDSG"
article: "Datenschutzbeauftragte nichtoeffentlicher Stellen"
category: "Governance"
responsible: "Geschaeftsfuehrung"
sanctions:
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
evidence:
- "DSB-Bestellung"
- "Meldung an Aufsichtsbehoerde"
- "Veroeffentlichung Kontaktdaten"
priority: "hoch"
- id: "DSGVO-OBL-005"
title: "Auftragsverarbeitungsvertrag (AVV)"
description: |
Abschluss eines Auftragsverarbeitungsvertrags mit allen Auftragsverarbeitern,
der die Pflichten gemaess Art. 28 Abs. 3 DSGVO enthaelt.
applies_when: "uses_processors"
legal_basis:
- norm: "Art. 28 DSGVO"
article: "Auftragsverarbeiter"
category: "Organisatorisch"
responsible: "Datenschutzbeauftragter"
sanctions:
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
evidence:
- "AVV-Vertrag"
- "TOM-Nachweis des Auftragsverarbeiters"
- "Verzeichnis der Auftragsverarbeiter"
priority: "hoch"
- id: "DSGVO-OBL-006"
title: "Informationspflichten erfuellen"
description: |
Information der betroffenen Personen ueber die Verarbeitung ihrer Daten
bei Erhebung (Art. 13) oder nachtraeglich (Art. 14). Mindestinhalt:
Identitaet Verantwortlicher, Zwecke, Rechtsgrundlage, Empfaenger,
Uebermittlung Drittland, Speicherdauer, Betroffenenrechte.
applies_when: "controller"
legal_basis:
- norm: "Art. 13 DSGVO"
article: "Informationspflicht bei Erhebung"
- norm: "Art. 14 DSGVO"
article: "Informationspflicht bei Dritterhebung"
category: "Organisatorisch"
responsible: "Datenschutzbeauftragter"
sanctions:
max_fine: "20 Mio. EUR oder 4% Jahresumsatz"
evidence:
- "Datenschutzerklaerung Website"
- "Cookie-Banner"
- "Informationsblaetter Mitarbeiter"
- "Kundeninformationen"
priority: "hoch"
- id: "DSGVO-OBL-007"
title: "Betroffenenrechte umsetzen"
description: |
Einrichtung von Prozessen zur Bearbeitung von Betroffenenanfragen innerhalb
von 1 Monat: Auskunft (Art. 15), Berichtigung (Art. 16), Loeschung (Art. 17),
Einschraenkung (Art. 18), Datenuebertragbarkeit (Art. 20), Widerspruch (Art. 21).
applies_when: "controller"
legal_basis:
- norm: "Art. 15-21 DSGVO"
article: "Betroffenenrechte"
category: "Organisatorisch"
responsible: "Datenschutzbeauftragter"
deadline:
type: "relative"
duration: "1 Monat nach Anfrage"
sanctions:
max_fine: "20 Mio. EUR oder 4% Jahresumsatz"
evidence:
- "DSR-Prozess dokumentiert"
- "Anfrageformulare"
- "Bearbeitungsprotokolle"
priority: "kritisch"
- id: "DSGVO-OBL-008"
title: "Einwilligungen dokumentieren"
description: |
Nachweis gueltiger Einwilligungen: freiwillig, informiert, spezifisch,
unmissverstaendlich, widerrufbar. Bei besonderen Kategorien: ausdruecklich.
applies_when: "controller"
legal_basis:
- norm: "Art. 7 DSGVO"
article: "Bedingungen fuer die Einwilligung"
- norm: "Art. 9 Abs. 2 lit. a DSGVO"
category: "Governance"
responsible: "Datenschutzbeauftragter"
sanctions:
max_fine: "20 Mio. EUR oder 4% Jahresumsatz"
evidence:
- "Consent-Management-System"
- "Einwilligungsprotokolle"
- "Widerrufsprozess dokumentiert"
priority: "hoch"
- id: "DSGVO-OBL-009"
title: "Loeschkonzept umsetzen"
description: |
Implementierung eines Loeschkonzepts mit definierten Aufbewahrungsfristen
und automatisierten Loeschroutinen (Speicherbegrenzung).
applies_when: "always"
legal_basis:
- norm: "Art. 17 DSGVO"
article: "Recht auf Loeschung"
- norm: "Art. 5 Abs. 1 lit. e DSGVO"
article: "Speicherbegrenzung"
category: "Technisch"
responsible: "IT-Leitung"
sanctions:
max_fine: "20 Mio. EUR oder 4% Jahresumsatz"
evidence:
- "Loeschkonzept"
- "Aufbewahrungsfristen je Kategorie"
- "Loeschprotokolle"
priority: "hoch"
- id: "DSGVO-OBL-010"
title: "Drittlandtransfer absichern"
description: |
Bei Uebermittlung in Drittlaender ohne Angemessenheitsbeschluss:
Standardvertragsklauseln (SCCs), BCRs oder andere Garantien.
Transfer Impact Assessment durchfuehren.
applies_when: "cross_border"
legal_basis:
- norm: "Art. 44-49 DSGVO"
article: "Uebermittlung in Drittlaender"
category: "Organisatorisch"
responsible: "Datenschutzbeauftragter"
sanctions:
max_fine: "20 Mio. EUR oder 4% Jahresumsatz"
evidence:
- "SCCs abgeschlossen"
- "Transfer Impact Assessment"
- "Dokumentation der Garantien"
priority: "kritisch"
- id: "DSGVO-OBL-011"
title: "Meldeprozess Datenschutzverletzungen"
description: |
Etablierung eines Prozesses zur Erkennung, Bewertung und Meldung von
Datenschutzverletzungen innerhalb von 72 Stunden an die Aufsichtsbehoerde
und ggf. unverzueglich an betroffene Personen.
applies_when: "always"
legal_basis:
- norm: "Art. 33 DSGVO"
article: "Meldung an Aufsichtsbehoerde"
- norm: "Art. 34 DSGVO"
article: "Benachrichtigung Betroffener"
category: "Meldepflicht"
responsible: "Datenschutzbeauftragter"
sanctions:
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
evidence:
- "Breach-Notification-Prozess"
- "Meldevorlage"
- "Vorfallprotokoll"
priority: "kritisch"
controls:
- id: "DSGVO-CTRL-001"
name: "Consent-Management-System"
description: "Implementierung eines Systems zur Verwaltung von Einwilligungen"
category: "Technisch"
what_to_do: "Implementierung einer Consent-Management-Plattform mit Protokollierung, Widerrufsmoeglichkeit und Nachweis"
iso27001_mapping: ["A.18.1"]
priority: "hoch"
- id: "DSGVO-CTRL-002"
name: "Verschluesselung personenbezogener Daten"
description: "Verschluesselung ruhender und uebertragener Daten"
category: "Technisch"
what_to_do: "TLS 1.3 fuer Uebertragung, AES-256 fuer Speicherung, Key-Management implementieren"
iso27001_mapping: ["A.10.1"]
priority: "hoch"
- id: "DSGVO-CTRL-003"
name: "Zugriffskontrolle"
description: "Need-to-know-Prinzip fuer Zugriff auf personenbezogene Daten"
category: "Organisatorisch"
what_to_do: "RBAC implementieren, regelmaessige Berechtigungspruefung, Protokollierung aller Zugriffe"
iso27001_mapping: ["A.9.1", "A.9.2", "A.9.4"]
priority: "hoch"
- id: "DSGVO-CTRL-004"
name: "Pseudonymisierung/Anonymisierung"
description: "Anwendung von Pseudonymisierung wo moeglich, Anonymisierung fuer Analysen"
category: "Technisch"
what_to_do: "Pseudonymisierungsverfahren implementieren, Zuordnungstabellen getrennt speichern"
iso27001_mapping: ["A.8.2"]
priority: "mittel"
- id: "DSGVO-CTRL-005"
name: "Datenschutz-Schulungen"
description: "Regelmaessige Schulung aller Mitarbeiter zu Datenschutzthemen"
category: "Organisatorisch"
what_to_do: "Jaehrliche Pflichtschulungen, Awareness-Kampagnen, dokumentierte Nachweise"
iso27001_mapping: ["A.7.2.2"]
priority: "mittel"
incident_deadlines:
- phase: "Meldung an Aufsichtsbehoerde"
deadline: "72 Stunden"
content: |
Meldung bei Verletzung des Schutzes personenbezogener Daten,
es sei denn, die Verletzung fuehrt voraussichtlich nicht zu einem
Risiko fuer die Rechte und Freiheiten natuerlicher Personen.
Inhalt: Art der Verletzung, Kategorien/Anzahl Betroffener,
Kontakt DSB, Folgen, ergriffene Massnahmen.
recipient: "Zustaendige Datenschutz-Aufsichtsbehoerde"
legal_basis:
- norm: "Art. 33 DSGVO"
- phase: "Benachrichtigung Betroffener"
deadline: "unverzueglich"
content: |
Wenn die Verletzung voraussichtlich ein hohes Risiko fuer die
Rechte und Freiheiten natuerlicher Personen zur Folge hat.
In klarer und einfacher Sprache: Art der Verletzung, Kontakt DSB,
wahrscheinliche Folgen, ergriffene Abhilfemassnahmen.
recipient: "Betroffene Personen"
legal_basis:
- norm: "Art. 34 DSGVO"

556
ai-compliance-sdk/policies/obligations/nis2_obligations.yaml Normal file
View File

@@ -0,0 +1,556 @@
# NIS2 Obligations & Controls
# Version: 1.0
# Based on: EU Directive 2022/2555 (NIS2) and German BSIG-E (Draft)
regulation: nis2
name: "NIS2-Richtlinie / BSIG-E"
version: "1.0"
effective_date: "2024-10-18"
german_implementation: "BSIG-E (Entwurf)"
# ==============================================================================
# Pflichten (Obligations)
# ==============================================================================
obligations:
# ---------------------------------------------------------------------------
# Meldepflichten
# ---------------------------------------------------------------------------
- id: "NIS2-OBL-001"
title: "BSI-Registrierung"
description: |
Registrierung beim BSI über das Meldeportal innerhalb von 3 Monaten nach
Identifikation als betroffene Einrichtung. Anzugeben sind:
- Name und Anschrift der Einrichtung
- Kontaktdaten (E-Mail, Telefon) eines Ansprechpartners
- IP-Adressbereiche der Einrichtung
- Sektor und Tätigkeitsbereich
applies_when: "classification in ['wichtige_einrichtung', 'besonders_wichtige_einrichtung']"
legal_basis:
- norm: "§ 33 BSIG-E"
article: "Registrierungspflicht"
- norm: "Art. 3 Abs. 4 NIS2"
category: "Meldepflicht"
responsible: "Geschäftsführung"
deadline:
type: "absolute"
date: "2025-01-17"
sanctions:
max_fine: "500.000 EUR"
personal_liability: false
evidence:
- "Registrierungsbestätigung des BSI"
- "Dokumentierte Ansprechpartner mit Kontaktdaten"
- "Liste der registrierten IP-Bereiche"
priority: "critical"
how_to_implement: |
1. BSI-Meldeportal aufrufen (wird noch eingerichtet)
2. Unternehmensdaten eingeben
3. Technische Ansprechpartner benennen
4. IP-Bereiche dokumentieren und eintragen
5. Bestätigung archivieren
- id: "NIS2-OBL-002"
title: "Risikomanagement-Maßnahmen implementieren"
description: |
Umsetzung angemessener und verhältnismäßiger technischer, operativer und
organisatorischer Maßnahmen zur Beherrschung der Risiken für die Sicherheit
der Netz- und Informationssysteme. Die Maßnahmen müssen dem Stand der Technik
entsprechen und folgende Bereiche abdecken:
- Risikoanalyse und Sicherheitskonzepte
- Bewältigung von Sicherheitsvorfällen
- Betriebskontinuität und Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung
- Bewertung der Wirksamkeit von Maßnahmen
- Cyberhygiene und Schulungen
- Kryptographie
- Personalsicherheit
- Zugangskontrollen
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 NIS2"
article: "Risikomanagementmaßnahmen im Bereich der Cybersicherheit"
- norm: "§ 30 BSIG-E"
article: "Risikomanagementmaßnahmen"
category: "Governance"
responsible: "CISO"
deadline:
type: "relative"
duration: "18 Monate nach Inkrafttreten des BSIG-E"
sanctions:
max_fine: "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes"
personal_liability: true
evidence:
- "ISMS-Dokumentation"
- "Risikoanalyse und -bewertung"
- "Maßnahmenkatalog mit Umsetzungsstatus"
- "Sicherheitskonzept"
priority: "high"
iso27001_mapping: ["A.5", "A.6", "A.8"]
- id: "NIS2-OBL-003"
title: "Geschäftsführungs-Verantwortung und Genehmigung"
description: |
Die Leitungsorgane (Geschäftsführung, Vorstand) müssen die
Risikomanagementmaßnahmen billigen und deren Umsetzung überwachen.
Bei Verstößen können sie persönlich haftbar gemacht werden. Die
Geschäftsführung ist verpflichtet:
- Risikomanagement-Maßnahmen zu genehmigen
- Umsetzung regelmäßig zu überprüfen
- Ausreichende Ressourcen bereitzustellen
- Cybersicherheit als strategisches Thema zu behandeln
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 20 NIS2"
article: "Governance"
- norm: "§ 38 BSIG-E"
article: "Billigung, Überwachung und Schulung"
category: "Governance"
responsible: "Geschäftsführung"
sanctions:
max_fine: "10 Mio. EUR oder 2% des weltweiten Jahresumsatzes"
personal_liability: true
evidence:
- "Vorstandsbeschluss zur Cybersicherheitsstrategie"
- "Dokumentierte Genehmigung der Risikomanagement-Maßnahmen"
- "Protokolle der regelmäßigen Reviews"
- "Nachweis der Ressourcenbereitstellung"
priority: "critical"
- id: "NIS2-OBL-004"
title: "Cybersicherheits-Schulung der Geschäftsführung"
description: |
Mitglieder der Leitungsorgane müssen an regelmäßigen Schulungen teilnehmen,
um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von
Cybersicherheitsrisiken und deren Auswirkungen zu erlangen. Die Schulungen
müssen folgende Themen abdecken:
- Aktuelle Bedrohungslage
- Grundlagen der Informationssicherheit
- Relevante gesetzliche Anforderungen (NIS2, DSGVO, etc.)
- Risikobasierter Ansatz
- Incident Response und Krisenmanagement
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 20 Abs. 2 NIS2"
- norm: "§ 38 Abs. 3 BSIG-E"
category: "Schulung"
responsible: "Geschäftsführung"
deadline:
type: "recurring"
interval: "jährlich"
evidence:
- "Schulungsnachweise/Zertifikate der Geschäftsführung"
- "Schulungsplan mit Themen und Terminen"
- "Teilnahmelisten"
priority: "high"
- id: "NIS2-OBL-005"
title: "Incident-Response-Prozess und Meldepflichten"
description: |
Etablierung eines Prozesses zur Erkennung, Analyse, Eindämmung und Meldung
von erheblichen Sicherheitsvorfällen. Die Meldung muss in drei Phasen erfolgen:
1. Frühwarnung (24 Stunden): Unverzügliche Meldung, ob böswilliger Angriff
vermutet wird und ob grenzüberschreitende Auswirkungen möglich sind
2. Vorfallmeldung (72 Stunden): Aktualisierung mit erster Bewertung,
Schweregrad, Auswirkungen und Kompromittierungsindikatoren
3. Abschlussbericht (1 Monat): Ausführliche Beschreibung, Ursachenanalyse,
ergriffene Maßnahmen und grenzüberschreitende Auswirkungen
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 23 NIS2"
article: "Berichtspflichten"
- norm: "§ 32 BSIG-E"
article: "Meldepflichten"
category: "Meldepflicht"
responsible: "CISO"
evidence:
- "Incident-Response-Plan"
- "Meldeprozess-Dokumentation"
- "24/7-Erreichbarkeit der Ansprechpartner"
- "Kontaktdaten BSI und ggf. sektorale Behörden"
- "Vorlagen für Meldungen"
priority: "critical"
iso27001_mapping: ["A.16"]
- id: "NIS2-OBL-006"
title: "Business Continuity Management"
description: |
Implementierung von Maßnahmen zur Aufrechterhaltung des Betriebs:
- Backup-Management und -Strategie
- Notfallwiederherstellung (Disaster Recovery)
- Krisenmanagement
- Notfallplanung
Regelmäßige Tests der BCM-Maßnahmen sind durchzuführen.
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. c NIS2"
- norm: "§ 30 Abs. 2 Nr. 3 BSIG-E"
category: "Technisch"
responsible: "CISO"
evidence:
- "BCM-Dokumentation"
- "Backup-Konzept mit RTO/RPO"
- "Disaster-Recovery-Plan"
- "Krisenmanagement-Handbuch"
- "Testprotokolle (mindestens jährlich)"
priority: "high"
iso27001_mapping: ["A.17"]
- id: "NIS2-OBL-007"
title: "Lieferketten-Sicherheit"
description: |
Sicherstellung der Sicherheit in der Lieferkette, einschließlich:
- Bewertung der Sicherheitspraktiken von Lieferanten
- Vertragliche Sicherheitsanforderungen
- Regelmäßige Überprüfung der Lieferanten
- Berücksichtigung von Konzentrationsrisiken
- Dokumentation kritischer Lieferanten
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. d NIS2"
- norm: "§ 30 Abs. 2 Nr. 4 BSIG-E"
category: "Organisatorisch"
responsible: "CISO"
evidence:
- "Lieferanten-Risikobewertung"
- "Sicherheitsanforderungen in Verträgen"
- "Liste kritischer Lieferanten"
- "Audit-Berichte von Lieferanten"
priority: "medium"
iso27001_mapping: ["A.15"]
- id: "NIS2-OBL-008"
title: "Schwachstellenmanagement"
description: |
Etablierung von Prozessen zum Umgang mit Schwachstellen:
- Regelmäßige Schwachstellen-Scans
- Priorisierung nach Risiko
- Zeitnahe Behebung (Patch-Management)
- Koordinierte Offenlegung von Schwachstellen
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. e NIS2"
- norm: "§ 30 Abs. 2 Nr. 5 BSIG-E"
category: "Technisch"
responsible: "CISO"
evidence:
- "Schwachstellen-Management-Prozess"
- "Patch-Management-Richtlinie"
- "Vulnerability-Scan-Berichte"
- "Statistiken zur Behebungszeit"
priority: "high"
iso27001_mapping: ["A.12.6"]
- id: "NIS2-OBL-009"
title: "Zugangs- und Identitätsmanagement"
description: |
Implementierung von Konzepten für:
- Zugangskontrolle (Need-to-know-Prinzip)
- Management von Benutzerkonten und Berechtigungen
- Multi-Faktor-Authentifizierung (MFA)
- Sichere Authentifizierungsmethoden
- Regelmäßige Überprüfung von Berechtigungen
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. i NIS2"
- norm: "§ 30 Abs. 2 Nr. 9 BSIG-E"
category: "Technisch"
responsible: "IT-Leitung"
evidence:
- "Zugangskontroll-Richtlinie"
- "MFA-Implementierungsnachweis"
- "Identity-Management-Dokumentation"
- "Berechtigungsmatrix"
- "Review-Protokolle"
priority: "high"
iso27001_mapping: ["A.9"]
- id: "NIS2-OBL-010"
title: "Kryptographie und Verschlüsselung"
description: |
Konzepte und Verfahren für den Einsatz von Kryptographie:
- Verschlüsselung von Daten in Ruhe und Transit
- Sichere Schlüsselverwaltung
- Verwendung aktueller kryptographischer Standards
- Regelmäßige Überprüfung der eingesetzten Verfahren
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. h NIS2"
- norm: "§ 30 Abs. 2 Nr. 8 BSIG-E"
category: "Technisch"
responsible: "CISO"
evidence:
- "Kryptographie-Richtlinie"
- "Verschlüsselungskonzept"
- "Key-Management-Dokumentation"
- "Liste eingesetzter Algorithmen"
priority: "medium"
iso27001_mapping: ["A.10"]
- id: "NIS2-OBL-011"
title: "Personalsicherheit und Awareness"
description: |
Sicherstellung der Personalsicherheit:
- Hintergrundüberprüfungen für kritische Rollen
- Regelmäßige Sicherheitsschulungen für alle Mitarbeiter
- Awareness-Programme
- Klare Verantwortlichkeiten
- Prozesse bei Personalwechsel
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. g NIS2"
- norm: "Art. 21 Abs. 2 lit. j NIS2"
- norm: "§ 30 Abs. 2 Nr. 7 BSIG-E"
- norm: "§ 30 Abs. 2 Nr. 10 BSIG-E"
category: "Organisatorisch"
responsible: "Geschäftsführung"
evidence:
- "Personalsicherheits-Richtlinie"
- "Schulungskonzept und -nachweise"
- "Awareness-Materialien"
- "Onboarding/Offboarding-Prozesse"
priority: "medium"
iso27001_mapping: ["A.7"]
- id: "NIS2-OBL-012"
title: "Regelmäßige Sicherheitsaudits (besonders wichtige Einrichtungen)"
description: |
Besonders wichtige Einrichtungen unterliegen regelmäßigen
Sicherheitsüberprüfungen durch das BSI. Diese können umfassen:
- Vor-Ort-Prüfungen
- Remote-Audits
- Dokumentenprüfungen
- Technische Prüfungen
Die Einrichtungen müssen auf Anforderung Nachweise vorlegen.
applies_when: "classification == 'besonders_wichtige_einrichtung'"
legal_basis:
- norm: "Art. 32 NIS2"
article: "Aufsichtsmaßnahmen für besonders wichtige Einrichtungen"
- norm: "§ 39 BSIG-E"
category: "Audit"
responsible: "CISO"
deadline:
type: "recurring"
interval: "alle 2 Jahre"
evidence:
- "Audit-Berichte"
- "Maßnahmenpläne aus Audits"
- "Nachweise der Umsetzung"
priority: "high"
- id: "NIS2-OBL-013"
title: "Netzsegmentierung und Netzwerksicherheit"
description: |
Implementierung von Netzwerksicherheitsmaßnahmen:
- Segmentierung kritischer Systeme
- Firewalls und Zugangskontrolle
- Sichere Netzwerkarchitektur
- Überwachung des Netzwerkverkehrs
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. a NIS2"
- norm: "§ 30 Abs. 2 Nr. 1 BSIG-E"
category: "Technisch"
responsible: "IT-Leitung"
evidence:
- "Netzwerkarchitektur-Dokumentation"
- "Firewall-Regelwerke"
- "Segmentierungskonzept"
priority: "high"
iso27001_mapping: ["A.13.1"]
- id: "NIS2-OBL-014"
title: "Security Monitoring und Protokollierung"
description: |
Kontinuierliche Überwachung der IT-Sicherheit:
- Sicherheitsrelevante Protokollierung
- SIEM oder vergleichbare Lösung
- Anomalie-Erkennung
- Regelmäßige Auswertung der Logs
applies_when: "classification != 'nicht_betroffen'"
legal_basis:
- norm: "Art. 21 Abs. 2 lit. b NIS2"
- norm: "§ 30 Abs. 2 Nr. 2 BSIG-E"
category: "Technisch"
responsible: "CISO"
evidence:
- "Log-Management-Konzept"
- "SIEM-Dokumentation"
- "Monitoring-Dashboards"
- "Incident-Berichte aus Monitoring"
priority: "high"
iso27001_mapping: ["A.12.4"]
# ==============================================================================
# Controls (Maßnahmen)
# ==============================================================================
controls:
- id: "NIS2-CTRL-001"
name: "ISMS implementieren"
description: "Implementierung eines Informationssicherheits-Managementsystems nach anerkanntem Standard"
category: "Governance"
what_to_do: "Aufbau eines ISMS nach ISO 27001 oder BSI IT-Grundschutz"
iso27001_mapping: ["4", "5", "6", "7"]
priority: "high"
- id: "NIS2-CTRL-002"
name: "Netzwerksegmentierung"
description: "Segmentierung kritischer Netzwerkbereiche zur Reduzierung der Angriffsfläche"
category: "Technisch"
what_to_do: "Implementierung von VLANs, Firewalls und Mikrosegmentierung für kritische Systeme"
iso27001_mapping: ["A.13.1"]
priority: "high"
- id: "NIS2-CTRL-003"
name: "Security Monitoring"
description: "Kontinuierliche Überwachung der IT-Sicherheit"
category: "Technisch"
what_to_do: "Implementierung von SIEM, Log-Management und Anomalie-Erkennung"
iso27001_mapping: ["A.12.4"]
priority: "high"
- id: "NIS2-CTRL-004"
name: "Awareness-Programm"
description: "Regelmäßige Sicherheitsschulungen für alle Mitarbeiter"
category: "Organisatorisch"
what_to_do: "Durchführung von Phishing-Simulationen, E-Learning und Präsenzschulungen"
iso27001_mapping: ["A.7.2.2"]
priority: "medium"
- id: "NIS2-CTRL-005"
name: "Multi-Faktor-Authentifizierung"
description: "MFA für alle administrativen Zugänge und kritischen Systeme"
category: "Technisch"
what_to_do: "Einführung von MFA für VPN, E-Mail, Admin-Zugänge und kritische Anwendungen"
iso27001_mapping: ["A.9.4"]
priority: "high"
- id: "NIS2-CTRL-006"
name: "Backup & Recovery"
description: "Regelmäßige Backups und getestete Wiederherstellung"
category: "Technisch"
what_to_do: "Implementierung von 3-2-1 Backup-Strategie mit regelmäßigen Recovery-Tests"
iso27001_mapping: ["A.12.3"]
priority: "high"
- id: "NIS2-CTRL-007"
name: "Vulnerability Management"
description: "Systematisches Schwachstellenmanagement"
category: "Technisch"
what_to_do: "Regelmäßige Scans, Priorisierung nach CVSS, zeitnahe Patches"
iso27001_mapping: ["A.12.6"]
priority: "high"
- id: "NIS2-CTRL-008"
name: "Incident Response Team"
description: "Dediziertes Team für Sicherheitsvorfälle"
category: "Organisatorisch"
what_to_do: "Aufbau eines CSIRT/CERT mit klaren Rollen und Eskalationspfaden"
iso27001_mapping: ["A.16.1"]
priority: "high"
# ==============================================================================
# Incident Deadlines (Meldefristen)
# ==============================================================================
incident_deadlines:
- phase: "Frühwarnung"
deadline: "24 Stunden"
content: |
Unverzügliche Meldung erheblicher Sicherheitsvorfälle. Angabe:
- Ob böswilliger Angriff vermutet wird
- Ob grenzüberschreitende Auswirkungen möglich sind
recipient: "BSI"
legal_basis:
- norm: "§ 32 Abs. 1 BSIG-E"
- phase: "Vorfallmeldung"
deadline: "72 Stunden"
content: |
Aktualisierung der Frühwarnung mit:
- Erste Bewertung des Vorfalls
- Schweregrad und Auswirkungen
- Kompromittierungsindikatoren (IoCs)
recipient: "BSI"
legal_basis:
- norm: "§ 32 Abs. 2 BSIG-E"
- phase: "Abschlussbericht"
deadline: "1 Monat"
content: |
Ausführlicher Bericht mit:
- Ausführliche Beschreibung des Vorfalls
- Ursachenanalyse (Root Cause)
- Ergriffene Abhilfemaßnahmen
- Grenzüberschreitende Auswirkungen
recipient: "BSI"
legal_basis:
- norm: "§ 32 Abs. 3 BSIG-E"
# ==============================================================================
# Sector Classification (NIS2 Annexes)
# ==============================================================================
sectors:
annex_i:
name: "Sektoren mit hoher Kritikalität"
description: "Anhang I der NIS2-Richtlinie"
sectors:
- id: "energy"
name: "Energie"
subsectors: ["Elektrizität", "Fernwärme/-kälte", "Erdöl", "Erdgas", "Wasserstoff"]
- id: "transport"
name: "Verkehr"
subsectors: ["Luftverkehr", "Schienenverkehr", "Schifffahrt", "Straßenverkehr"]
- id: "banking_financial"
name: "Bankwesen"
subsectors: ["Kreditinstitute"]
- id: "financial_market"
name: "Finanzmarktinfrastrukturen"
subsectors: ["Betreiber von Handelsplätzen", "Zentrale Gegenparteien"]
- id: "health"
name: "Gesundheitswesen"
subsectors: ["Gesundheitsdienstleister", "EU-Referenzlaboratorien", "Arzneimittelhersteller", "Medizinproduktehersteller"]
- id: "drinking_water"
name: "Trinkwasser"
subsectors: ["Lieferanten und Verteiler von Trinkwasser"]
- id: "wastewater"
name: "Abwasser"
subsectors: ["Unternehmen, die kommunales Abwasser sammeln, entsorgen oder behandeln"]
- id: "digital_infrastructure"
name: "Digitale Infrastruktur"
subsectors: ["IXPs", "DNS-Dienste", "TLD-Namenregister", "Cloud-Computing", "Rechenzentren", "CDNs", "Vertrauensdienste", "Öffentliche Kommunikationsnetze"]
- id: "ict_service_mgmt"
name: "Verwaltung von IKT-Diensten (B2B)"
subsectors: ["Managed Service Provider", "Managed Security Service Provider"]
- id: "public_administration"
name: "Öffentliche Verwaltung"
subsectors: ["Zentralregierung", "Regionale Behörden"]
- id: "space"
name: "Weltraum"
subsectors: ["Betreiber von Bodeninfrastrukturen"]
annex_ii:
name: "Sonstige kritische Sektoren"
description: "Anhang II der NIS2-Richtlinie"
sectors:
- id: "postal"
name: "Post- und Kurierdienste"
- id: "waste"
name: "Abfallbewirtschaftung"
- id: "chemicals"
name: "Herstellung, Produktion und Vertrieb von Chemikalien"
- id: "food"
name: "Produktion, Verarbeitung und Vertrieb von Lebensmitteln"
- id: "manufacturing"
name: "Verarbeitendes Gewerbe/Herstellung von Waren"
subsectors: ["Medizinprodukte", "DV-Geräte", "Elektrische Ausrüstungen", "Maschinenbau", "Kraftwagen", "Sonstiger Fahrzeugbau"]
- id: "digital_providers"
name: "Anbieter digitaler Dienste"
subsectors: ["Online-Marktplätze", "Online-Suchmaschinen", "Soziale Netzwerke"]
- id: "research"
name: "Forschung"
subsectors: ["Forschungseinrichtungen"]