security logo
Photo by Pixabay on Pexels.com
Posted inIT IT Audit / Compliance / Security

Welche technischen Anforderungen stellt der Data Act an Cloud-Exit-Strategien?

Der in unserer bisherigen Konversation erwähnte 10-Punkte-Notfallplan bezog sich ursprünglich auf die Fachzeitschrift IT-Governance (Heft 41), die allgemeine Leitlinien für unvorbereitete Organisationen in Cyberkrisen thematisierte.

Die aktuellen Quellen von Prof. Stefan Loubichi präzisieren diesen Rahmen nun für den Finanzsektor und kritische IKT-Dienstleister. Basierend auf den Anforderungen an die Datenbereitstellung in Krisenzeiten (gemäß EU Data Act und DORA) lässt sich der konkrete Notfallplan wie folgt in zehn technische, organisatorische und vertragliche Punkte unterteilen:

I. Technische Bereitschaft (Technical Readiness)

  1. Abfrage- und Exportfähigkeit (Query capability): Alle kritischen Daten müssen technisch so aufbereitet sein, dass sie in strukturierten Formaten (wie CSV oder JSON) sowie als standardisierte Logs exportiert werden können.
  2. Einhaltung von Zeitvorgaben (Timeliness): Der Plan muss sicherstellen, dass eine erste Tranche an Daten innerhalb von 24–48 Stunden und die vollständige Bereitstellung innerhalb von 5–10 Tagen erfolgen kann.
  3. Datengenauigkeit und Validierung: Historische Snapshots und Echtzeitdaten müssen über präzise Zeitstempel verfügen und einen eindeutigen Validierungsstatus aufweisen, um vor Behörden Bestand zu haben.

II. Organisatorische Maßnahmen

  1. Einrichtung einer Krisenkoordinationsstelle (Crisis coordination cell): Die Benennung eines festen Notfall-Ansprechpartners (typischerweise der CISO, Chief Legal Officer oder Chief Compliance Officer) für die Interaktion mit Aufsichtsbehörden.
  2. Daten-Bereitschaftshandbuch (Data readiness handbook): Erstellung einer Dokumentation, die alle verfügbaren Datenquellen inklusive deren Format, Herkunft, Zugriffspfaden und Sicherheitsmechanismen auflistet.
  3. Sichere Behördenschnittstellen: Bereitstellung zertifikatsbasierter, verschlüsselter Übertragungskanäle (z. B. Secure File Transfer), statt auf unsichere Standard-E-Mails zu vertrauen.
  4. Regelmäßige Szenarioplanung: Durchführung von mindestens jährlichen Übungen, bei denen die Datenbereitstellung unter Krisenbedingungen (z. B. nach einem Cyberangriff) simuliert wird.

III. Vertragliche Absicherung

  1. SLA-Klarstellung: In Cloud- oder SaaS-Verträgen muss explizit verankert werden, dass der IKT-Dienstleister berechtigt ist, rechtmäßigen Datenanfragen von Behörden (z. B. bei „außergewöhnlichem Bedarf“) nachzukommen.
  2. Informationspflichten (Notification obligation): Es muss ein Prozess definiert sein, wie Kunden über behördliche Datenanfragen informiert werden, sofern kein gesetzliches Schweigegebot der Behörde vorliegt.
  3. Haftungsausschluss (Exclusion of recourse): Aufnahme von Vertragsklauseln (ähnlich einer Force-Majeure-Regelung), die den Dienstleister vor Regressansprüchen schützen, wenn er Daten aufgrund zwingender behördlicher Anordnungen herausgibt.

Zusätzlicher Kontext aus der Konversation: Während dieser Plan laut den Quellen die technische und regulatorische Umsetzung fokussiert, betonten die eingangs erwähnten Magazin-Beiträge ergänzend die Bedeutung der Krisenkommunikation, um Zielkonflikte zwischen Transparenz und dem Schutz sensibler Informationen agil zu moderieren. Loubichis Modell stellt hierfür nun das notwendige „Daten-Fundament“ bereit, damit Organisationen auch unter extremem Zeitdruck aussagefähig bleiben.