import { CodeBlock } from '@/components/DevPortalLayout' export function EscalationControlsSection() { return ( <>

5. Das Eskalations-System: Wann Menschen entscheiden

Nicht jede Bewertung ist eindeutig. Fuer heikle Faelle gibt es ein abgestuftes Eskalations-System, das sicherstellt, dass die richtigen Menschen die endgueltige Entscheidung treffen.

Stufe	Wann?	Wer prueft?	Frist (SLA)	Beispiel
E0	Nur INFO-Regeln, Risiko < 20	Niemand (automatisch freigegeben)	--	Spam-Filter ohne personenbezogene Daten
E1	WARN-Regeln, Risiko 20-39	Teamleiter	24 Stunden	Chatbot mit Kundendaten
E2	Art. 9-Daten ODER Risiko 40-59 ODER DSFA empfohlen	Datenschutzbeauftragter (DSB)	8 Stunden	KI-System, das Gesundheitsdaten verarbeitet
E3	BLOCK-Regel ODER Risiko ≥ 60 ODER Art. 22-Risiko	DSB + Rechtsabteilung	4 Stunden	Vollautomatische Kreditentscheidung

6. Controls, Nachweise und Risiken

6.1 Was sind Controls?

Ein Control ist eine konkrete Massnahme, die eine Organisation umsetzt, um ein Compliance-Risiko zu beherrschen. Es gibt drei Arten:

Technische Controls: Verschluesselung, Zugangskontrollen, Firewalls, Pseudonymisierung
Organisatorische Controls: Schulungen, Richtlinien, Verantwortlichkeiten, Audits
Physische Controls: Zutrittskontrolle zu Serverraeumen, Schliesssysteme

Der Compliance Hub verwaltet einen Katalog von ueber 100 vordefinierten Controls, die in 9 Domaenen organisiert sind:

{[ { code: 'AC', name: 'Zugriffsmanagement', desc: 'Wer darf was?' }, { code: 'DP', name: 'Datenschutz', desc: 'Schutz personenbezogener Daten' }, { code: 'NS', name: 'Netzwerksicherheit', desc: 'Sichere Kommunikation' }, { code: 'IR', name: 'Incident Response', desc: 'Reaktion auf Sicherheitsvorfaelle' }, { code: 'BC', name: 'Business Continuity', desc: 'Geschaeftskontinuitaet' }, { code: 'VM', name: 'Vendor Management', desc: 'Dienstleister-Steuerung' }, { code: 'AM', name: 'Asset Management', desc: 'Verwaltung von IT-Werten' }, { code: 'CR', name: 'Kryptographie', desc: 'Verschluesselung & Schluessel' }, { code: 'PS', name: 'Physische Sicherheit', desc: 'Gebaeude & Hardware' }, ].map(d => (

{d.code}

{d.name}

{d.desc}

))}

6.2 Wie Controls mit Gesetzen verknuepft sind

{`Control: AC-01 (Zugriffskontrolle) ├── DSGVO Art. 32 → "Sicherheit der Verarbeitung" ├── NIS2 Art. 21 → "Massnahmen zum Management von Cyberrisiken" └── ISO 27001 A.9 → "Zugangskontrolle" Control: DP-03 (Datenverschluesselung) ├── DSGVO Art. 32 → "Verschluesselung personenbezogener Daten" └── NIS2 Art. 21 → "Einsatz von Kryptographie"`}

6.3 Evidence (Nachweise)

Nachweis-Typen, die das System verwaltet:

Zertifikate: ISO 27001-Zertifikat, SOC2-Report
Richtlinien: Interne Datenschutzrichtlinie, Passwort-Policy
Audit-Berichte: Ergebnisse interner oder externer Pruefungen
Screenshots / Konfigurationen: Nachweis technischer Umsetzung

Jeder Nachweis hat ein Ablaufdatum. Das System warnt automatisch, wenn Nachweise bald ablaufen.

6.4 Risikobewertung

Risiken werden in einer 5x5-Risikomatrix dargestellt. Die beiden Achsen sind Eintrittswahrscheinlichkeit und Auswirkung. Aus der Kombination ergibt sich die Risikostufe: Minimal, Low, Medium, High oder Critical.

) }