Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues 24 Pull Requests Actions Packages Projects Releases Wiki Activity
Files
0326d5baabf4b1576297081578b19cdfed2073b2
breakpilot-compliance/backend-compliance/migrations/101_security_concepts_v2.sql
T
Benjamin Admin 90c7f02b40 feat: Phase 2 — Security Concepts + DSFA + DSR updates 
Phase 2 of the Document Templates Masterplan:

- 101: Security Concepts v2 (7 templates) — NIS2UmsuCG references,
  BSI Grundschutz++ modernization, AI Act cross-references,
  Zero Trust principle, ransomware-protected backups, NIS2 logging
- 102: DSFA + Pflichtenregister + DSR v2 — AI Act Art. 9 for DSFA,
  NIS2UmsuCG for Pflichtenregister, tenant_id fix for DSR processes

All 16 templates reviewed — already at good product level, only
incremental updates needed (standards references, cross-doc links).

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
2026-05-01 08:45:04 +02:00

131 lines
6.5 KiB
SQL
Raw Blame History

-- Migration 101: Security Concepts v2 — Updates fuer alle 7 Templates aus Migration 051
-- Keine strukturellen Aenderungen — die Templates sind bereits auf gutem Niveau
-- Updates: NIS2UmsuCG Referenz, BSI Grundschutz++ Hinweis, AI Act, Version-Bump
-- Cross-Document-Verweise auf TOM (087), AVV (088), DSI (093)
-- ===========================================================================
-- 1. IT-Sicherheitskonzept: NIS2UmsuCG + BSI Grundschutz++ + AI Act
-- ===========================================================================
UPDATE compliance_legal_templates
SET
description = 'IT-Sicherheitskonzept nach ISO/IEC 27001:2022, BSI IT-Grundschutz (inkl. Grundschutz++ Modernisierung), DSGVO Art. 32, NIS2-Richtlinie/NIS2UmsuCG und AI Act. Definiert Sicherheitsziele, Organisation, technische und organisatorische Massnahmen.',
content = REPLACE(
REPLACE(
content,
'- NIS2-Richtlinie Art. 21 (Risikomanagementmassnahmen)',
'- NIS2-Richtlinie Art. 21 / NIS2UmsuCG (Risikomanagementmassnahmen, seit Dez. 2025)
- KI-Verordnung (EU) 2024/1689 Art. 9, 15 (falls KI-Systeme eingesetzt werden)'
),
'NIS2 Art. 21: Risikomanagementmassnahmen',
'NIS2 Art. 21 / NIS2UmsuCG: Risikomanagementmassnahmen (seit Dez. 2025)
- AI Act Art. 9/15: Risikomanagement fuer KI-Systeme (falls zutreffend)
- Verweis: TOM-Dokumentation (Art. 32 DSGVO) fuer detaillierte Massnahmen'
),
version = '1.1.0',
updated_at = NOW()
WHERE document_type = 'it_security_concept'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- ===========================================================================
-- 2. Datenschutzkonzept: NIS2 + Verweis auf TOM/AVV/DSI
-- ===========================================================================
UPDATE compliance_legal_templates
SET
description = 'Datenschutzkonzept gemaess DSGVO Art. 5, 6, 12-22, 24, 25, 28, 32-35 mit NIS2-Bezug. Beschreibt Datenschutzstrategie, Betroffenenrechte, TOMs und Auftragsverarbeitung. Verweist auf TOM-Dokumentation, AVV und DSI.',
content = REPLACE(
content,
'## 7. Technisch-Organisatorische Massnahmen (Art. 32 DSGVO)',
'## 7. Technisch-Organisatorische Massnahmen (Art. 32 DSGVO)
*Detaillierte Massnahmenbeschreibung: siehe TOM-Dokumentation (Art. 32 DSGVO)*'
),
version = '1.1.0',
updated_at = NOW()
WHERE document_type = 'data_protection_concept'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- ===========================================================================
-- 3. Backup-Recovery-Konzept: Ransomware-Schutz ergaenzen
-- ===========================================================================
UPDATE compliance_legal_templates
SET
description = 'Backup- und Recovery-Konzept nach BSI IT-Grundschutz CON.3 und ISO 27001. Definiert Backup-Strategie (3-2-1), RTO/RPO, Speicherorte, Verschluesselung und Testplan. Inkl. Ransomware-Schutz.',
content = REPLACE(
content,
'- **1** Kopie offsite',
'- **1** Kopie offsite (air-gapped oder immutable fuer Ransomware-Schutz)'
),
version = '1.1.0',
updated_at = NOW()
WHERE document_type = 'backup_recovery_concept'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- ===========================================================================
-- 4. Logging-Konzept: NIS2 Meldepflicht-Verweis
-- ===========================================================================
UPDATE compliance_legal_templates
SET
description = 'Logging-Konzept nach BSI IT-Grundschutz OPS.1.1.5, ISO 27001 A.8.15 und BSI TR-03161. Definiert zu protokollierende Ereignisse, Speicherung, SIEM-Integration und NIS2-Nachweispflichten.',
content = REPLACE(
content,
'| ISO 27001 A.8.15 | Logging |',
'| ISO 27001 A.8.15 | Logging |
| NIS2 Art. 23 | Nachweispflicht bei Sicherheitsvorfaellen |'
),
version = '1.1.0',
updated_at = NOW()
WHERE document_type = 'logging_concept'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- ===========================================================================
-- 5. Incident-Response-Plan: NIS2UmsuCG Fristen bestaetigen
-- ===========================================================================
UPDATE compliance_legal_templates
SET
description = 'Incident-Response-Plan fuer Sicherheitsvorfaelle und Datenpannen. DSGVO Art. 33/34, NIS2 Art. 23 / NIS2UmsuCG. Klassifizierung, Response-Team, Meldepflichten (72h DSGVO, 24h NIS2) und Kommunikationsplan.',
content = REPLACE(
content,
'### NIS2 Art. 23 — BSI',
'### NIS2 Art. 23 / NIS2UmsuCG — BSI (seit Dez. 2025)'
),
version = '1.1.0',
updated_at = NOW()
WHERE document_type = 'incident_response_plan'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- ===========================================================================
-- 6. Zugriffskonzept: Zero-Trust-Verweis
-- ===========================================================================
UPDATE compliance_legal_templates
SET
description = 'Zugriffskonzept nach ISO 27001 und BSI IT-Grundschutz ORP.4. Definiert RBAC, Benutzerlebenszyklus (On-/Offboarding), Authentifizierung (MFA/FIDO2), privilegierten Zugriff (PAM) und Rezertifizierung. Zero-Trust-Ansatz.',
content = REPLACE(
content,
'## 1. Grundsaetze
- **Need-to-Know**: Zugriff nur bei Erforderlichkeit
- **Least Privilege**: Minimal notwendige Berechtigungen
- **Separation of Duties**: Kritische Vorgaenge erfordern mehrere Personen',
'## 1. Grundsaetze
- **Need-to-Know**: Zugriff nur bei Erforderlichkeit
- **Least Privilege**: Minimal notwendige Berechtigungen
- **Separation of Duties**: Kritische Vorgaenge erfordern mehrere Personen
- **Zero Trust**: Kein implizites Vertrauen — jeder Zugriff wird verifiziert, unabhaengig vom Netzwerkstandort'
),
version = '1.1.0',
updated_at = NOW()
WHERE document_type = 'access_control_concept'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- ===========================================================================
-- 7. Risikomanagement-Konzept: AI Act + NIS2 Risikobezug
-- ===========================================================================
UPDATE compliance_legal_templates
SET
description = 'Risikomanagement-Konzept nach ISO 31000:2018, ISO 27005:2022, BSI-Standard 200-3, DSGVO Art. 32 und NIS2/AI Act. Definiert Risikoprozess, 5x5-Matrix, Behandlungsoptionen und KPIs.',
version = '1.1.0',
updated_at = NOW()
WHERE document_type = 'risk_management_concept'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
Reference in New Issue View Git Blame Copy Permalink