Artikel vom 13. Februar 2026
ISO 27001 Backup-Anforderungen: Was Control 8.13 konkret fordert | FAST LTA
1. Was ist ISO/IEC 27001 und was hat sich 2022 geändert? #
ISO/IEC 27001 ist ein international anerkannter Standard für Informationssicherheits-Managementsysteme (ISMS). Er legt fest, wie Organisationen Informationssicherheitsrisiken systematisch identifizieren, bewerten und behandeln. Die Zertifizierung erfolgt durch akkreditierte Zertifizierungsstellen; in Deutschland ist die DAkkS (Deutsche Akkreditierungsstelle) die zuständige nationale Akkreditierungsbehörde.
Die aktuelle Fassung ISO/IEC 27001:2022 löst die bis dahin gültige Version von 2013 ab. Die inhaltlich wichtigste Änderung betrifft den Anhang A: Die Controls wurden von 114 auf 93 konsolidiert und in vier Themenbereiche gegliedert.
| Themenbereich | Inhalt |
|---|---|
| 5. Organisational controls | Richtlinien, Rollen, Lieferantenbeziehungen |
| 6. People controls | Mitarbeiterbewusstsein, Schulung, Hintergrundprüfungen |
| 7. Physical controls | Physische Zugangssicherung, Geräteentsorgung |
| 8. Technological controls | Zugriffskontrolle, Verschlüsselung, Backup, Monitoring |
Backup und Archivierung sind dabei im Themenbereich 8 (Technological controls) verankert. Wer eine bestehende 2013-Zertifizierung hat, musste bis Oktober 2025 auf die 2022-Fassung umstellen.
Zertifizierungszyklus #
- Erstzertifizierung durch ein DAkkS-akkreditiertes Zertifizierungsinstitut
- Jährliche Überwachungsaudits (Surveillance Audits)
- Alle 3 Jahre vollständige Rezertifizierung
2. Die backup-relevanten Controls im Detail #
ISO/IEC 27001:2022 enthält mehrere Controls, die direkt oder indirekt Backup und Archivierung betreffen. Die wichtigsten im Überblick:
Control 8.13 “Information backup” #
Control 8.13 ist der Kern der Backup-Anforderungen. Er verlangt, dass Sicherungskopien von Informationen, Software und Systemen erstellt, regelmäßig getestet und entsprechend einer Backup-Policy aufbewahrt werden.
Konkret fordert Control 8.13:
- Eine dokumentierte Backup-Policy, die Umfang, Häufigkeit, Aufbewahrungsfristen und Speicherorte festlegt
- Regelmäßige Tests der Wiederherstellbarkeit (Restore-Tests), die dokumentiert werden
- Schutz der Backup-Daten vor unbefugtem Zugriff und Manipulation
- Aufbewahrung von Offline-Kopien oder Offsite-Kopien für kritische Daten
- Berücksichtigung von Aufbewahrungsfristen, die sich aus gesetzlichen oder regulatorischen Anforderungen ergeben
Ein häufiger Fehler in der Praxis: Backup-Prozesse laufen seit Jahren, aber Restore-Tests fehlen oder werden nicht protokolliert. Control 8.13 ist in diesem Punkt eindeutig. Die Wiederherstellbarkeit muss nachgewiesen werden, nicht nur die Durchführung der Sicherung.
Control 8.10 “Information deletion” #
Control 8.10 regelt die Löschung von Informationen nach Ablauf ihrer Aufbewahrungsfrist. Das gilt ausdrücklich auch für Backup-Kopien. Wer personenbezogene Daten länger als notwendig in Backups vorhält, verstößt gleichzeitig gegen die .
Für die Backup-Architektur bedeutet das: Aufbewahrungsfristen müssen je Datenkategorie definiert und technisch durchsetzbar sein. Systeme, die keine granulare Ablaufsteuerung unterstützen, erschweren die Compliance erheblich.
Control 8.12 “Data leakage prevention” #
Backup-Daten sind ein bevorzugtes Ziel für Datenverluste, weil sie oft weniger streng gesichert sind als Produktivsysteme. Control 8.12 verlangt Maßnahmen, die unberechtigte Offenlegung von Informationen verhindern. Das schließt Backup-Umgebungen ausdrücklich ein.
Verschlüsselung von Backup-Daten (at rest und in transit) sowie Zugriffsprotokollierung sind typische Maßnahmen, die Auditoren hier prüfen.
Control 5.29 “Information security during disruption” #
Control 5.29 stellt die Verbindung zur her. Informationssicherheit muss auch in Störungssituationen aufrechterhalten werden. Dafür müssen Backup- und Recovery-Pläne nicht nur existieren, sondern auch getestet sein und in bestehende Business-Continuity-Planungen integriert sein.
3. Was Auditoren bei ISO-27001-Audits tatsächlich prüfen #
Auditoren folgen bei Backup-Controls einer vorhersehbaren Prüflogik. Wer weiß, was geprüft wird, kann sich gezielt vorbereiten.
Die fünf zentralen Prüfpunkte #
1. Backup-Policy vorhanden und aktuell? Die Policy muss dokumentiert, genehmigt und den relevanten Mitarbeitern bekannt sein. Eine Policy aus dem Jahr 2018, die nie aktualisiert wurde, ist ein sofortiger Befund.
2. Restore-Tests dokumentiert? Auditoren fordern typischerweise Nachweise der letzten Restore-Tests: Datum, getestete Systeme, Ergebnis, verantwortliche Person. Fehlt diese Dokumentation, ist das ein Major Nonconformity.
3. Backup-Daten verschlüsselt? Sowohl lokale als auch externe Backup-Kopien. Bei unverschlüsselten Backup-Medien, die das Gebäude verlassen, ist ein Befund nahezu sicher.
4. Offline-Kopien für kritische Daten? Control 8.13 fordert explizit Offline- oder Offsite-Kopien für kritische Systeme. Rein netzwerkbasierte Backup-Umgebungen ohne physisch getrennte Kopie gelten als unzureichend für kritische Daten.
5. Zugriffskontrollen auf Backup-Systeme? Wer darf Backups anlegen, ändern, löschen? Auditoren prüfen, ob das Vier-Augen-Prinzip gilt und ob Aktivitäten protokolliert werden.
Typische Befundkategorien #
| Kategorie | Bedeutung | Beispiel |
|---|---|---|
| Major Nonconformity | Zertifizierung gefährdet | Keine dokumentierten Restore-Tests seit über 12 Monaten |
| Minor Nonconformity | Korrekturmaßnahme erforderlich | Backup-Policy nicht formell genehmigt |
| Observation | Verbesserungsempfehlung | Restore-Tests nicht für alle kritischen Systeme durchgeführt |
4. ISO 27001: On-Premises vs. Cloud in der Backup-Umgebung #
ISO/IEC 27001 schreibt keine Technologie vor. Der Standard ist technologieneutral. Dennoch hat die Wahl zwischen On-Premises-Backup und Cloud-Backup erhebliche Auswirkungen auf die Nachweisführung im Audit.
Kontrollierbarkeit und Nachweisführung #
On-Premises-Umgebungen bieten vollständige Kontrolle über Konfiguration, Zugriffsprotokollierung und Verschlüsselung. Alle für das Audit erforderlichen Nachweise lassen sich direkt aus den eigenen Systemen exportieren. Keine Abhängigkeit vom Support-Prozess eines externen Anbieters, keine Fragen zur Datenhaltung in Drittstaaten.
Bei Cloud-basierten Backup-Lösungen entsteht eine Verantwortungsaufteilung. Der Cloud-Anbieter verantwortet die Infrastruktur, der Kunde die Konfiguration. Auditoren prüfen in diesem Fall auch die Lieferantenbeziehung (Control 5.19 ff.) und fordern entsprechende Vertragsnachweise.
Shared Responsibility im Audit-Kontext #
| Aspekt | On-Premises | Cloud |
|---|---|---|
| Verschlüsselungsnachweis | Direkt aus eigenem System | Vom Anbieter oder Konfiguration |
| Zugriffsprotokollierung | Vollständig selbst kontrolliert | Abhängig von Anbieter-APIs und Logs |
| Geo-Redundanz / Offsite | Erfordert eigene Planung | Oft integriert, aber nachweispflichtig |
| Datenlöschung (8.10) | Vollständig kontrollierbar | Abhängig von Anbieter-Garantien |
| US-Rechtszugriff (CLOUD Act) | Nicht relevant | Muss bewertet und dokumentiert werden |
Ein Cloud-Backup ist unter ISO 27001 möglich, erfordert aber mehr Dokumentationsaufwand rund um die Lieferantenbeziehung, die Datenschutzfolgeabschätzung und die Risikobehandlung. Für viele Organisationen, insbesondere im öffentlichen Sektor und in regulierten Branchen, ist On-Premises die unkompliziertere Wahl für die Audit-Nachweisführung.
5. FAST LTA und ISO 27001: Wie Silent Bricks und Silent Cubes die Controls unterstützen #
FAST LTA bietet zwei Produktsysteme, die bei der Erfüllung der backup-relevanten ISO-27001-Controls konkrete technische Beiträge leisten.
Silent Brick System und Control 8.13 #
Das Silent Brick System ist ein modulares On-Premises-Speichersystem für Backup und Archivierung. Es unterstützt alle gängigen Backup-Protokolle (NFS, SMB, S3, iSCSI, FC als VTL) und ist kompatibel mit Veeam, Commvault, Veritas und anderen führenden Backup-Lösungen.
Für Control 8.13 relevant sind zwei spezifische Eigenschaften:
: Das Silent Brick System bietet software-unabhängige Unveränderlichkeit. Backup-Daten können nach dem Schreiben nicht mehr verändert oder gelöscht werden, solange der Schutzzeitraum aktiv ist. Das gilt unabhängig davon, welche Backup-Software verwendet wird, und schützt auch dann, wenn Backup-Software-Credentials kompromittiert werden.
in zwei Varianten:
- Silent Brick Pro: Das Speichermodul ist physisch aus dem Slot des Controller X entnehmbar. Im entnommenen Zustand besteht vollständige Netzwerktrennung. Die Reaktivierung erfordert immer einen manuellen Eingriff. Das entspricht dem, was Control 8.13 unter Offline-Kopie für kritische Daten versteht.
- Silent Brick Max Air: Galvanische Trennung der eingebauten Datenträger bei eingebautem Gerät. Die Aufhebung der Trennung erfolgt entweder manuell per Taster am Gerät oder automatisch nach einer festgelegten Zeit (Air-Gap-Modus, etwa für Medienrotation). Zwei Einheiten im Rotationsbetrieb ermöglichen vollautomatisierte Air-Gap-Strategien ohne manuellen Medienwechsel.
Beide Varianten lassen sich kombinieren und parallel mit betreiben.
Silent Cubes und Control 8.13 / 8.10 #
Silent Cubes sind eine -Appliance für revisionssichere Langzeitarchivierung. bedeutet: die Unveränderlichkeit wird auf Firmware-Ebene erzwungen, nicht durch eine Software-Policy. Kein Administrator und kein Angreifer kann gespeicherte Daten nachträglich ändern oder löschen.
Für ISO 27001 relevant:
- Control 8.13: Silent Cubes erfüllen die Anforderung an Schutz vor unbefugtem Zugriff und Manipulation strukturell. Die Unveränderlichkeit ist kein konfiguriertes Feature, das rückgängig gemacht werden kann.
- Control 8.10: Aufbewahrungsfristen werden auf System-Ebene definiert und erzwungen. Nach Ablauf der Frist ist eine Löschung möglich, vorher nicht.
- Integritätsprüfung: Silent Cubes führen automatische Integritätsprüfungen der gespeicherten Daten durch, was die Anforderung an Restore-Verifizierung technisch unterstützt.
Beide Systeme sind On-Premises-Appliances ohne Cloud-Abhängigkeit und werden in Deutschland entwickelt, gefertigt und supportet.
6. ISO 27001 im Zusammenspiel mit NIS2, DORA und BSI IT-Grundschutz #
ISO 27001 steht nicht isoliert. Wer die Anforderungen von , oder erfüllen muss, findet erhebliche inhaltliche Überschneidungen mit ISO 27001. Richtig aufgesetzt, entsteht keine Doppelarbeit.
ISO 27001 und NIS2 #
Die verpflichtet wesentliche und wichtige Einrichtungen zu Maßnahmen im Bereich Risikomanagement und Incident Response. Backup und Wiederherstellung sind explizit in Art. 21 als Pflichtmaßnahme aufgeführt.
Eine bestehende ISO-27001-Zertifizierung deckt den größten Teil der -Anforderungen strukturell ab. Insbesondere die Controls 8.13 (Backup) und 5.29 () sind direkt auf die -Anforderungen an Datensicherung und Wiederherstellung abbildbar.
ISO 27001 und DORA #
Der () gilt ab Januar 2025 für Finanzunternehmen und deren kritische IKT-Dienstleister. fordert ein explizites IKT-Risikomanagement, das Backup- und Recovery-Fähigkeiten einschließt.
ISO 27001 liefert den formalen Rahmen für das Risikomanagement. Wer bereits zertifiziert ist, hat die strukturelle Grundlage für -Compliance. Die backup-spezifischen -Anforderungen (RTO/RPO-Definitionen, Tests, geografische Trennung) lassen sich als Konkretisierung von Control 8.13 umsetzen.
ISO 27001 und BSI IT-Grundschutz #
Der ist das deutsche Pendant zu ISO 27001 und auf einen gegenseitigen Konformitätsnachweis ausgelegt. -Zertifizierungen basieren auf ISO 27001; der Baustein CON.3 (Datensicherungskonzept) entspricht inhaltlich weitgehend Control 8.13.
Wer nach zertifiziert ist oder zertifiziert werden will, kann das Backup-Konzept direkt aus der ISO-27001-Dokumentation ableiten.
| Standard | Backup-Referenz | Verhältnis zu ISO 27001 |
|---|---|---|
| NIS2 | Art. 21 Abs. 2 lit. c | Komplementär, größteils durch ISMS abgedeckt |
| DORA | Art. 12 (Backup-Policy), Art. 11 (TLPT) | Spezifischer für Finanzsektor, ISO als Grundlage |
| BSI IT-Grundschutz | Baustein CON.3 | Formaler Konvergenzmechanismus, gegenseitig anerkannt |
DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
Business Continuity Management
Business Continuity Management (BCM) ist der organisatorische Rahmen, der sicherstellt, dass kritische Geschäftsprozesse auch bei schwerwiegenden IT-Ausfällen, Cyberangriffen oder anderen Krisen aufrechterhalten oder in definierten Zeitrahmen wiederhergestellt werden können.
Immutable Storage
Immutable Storage bezeichnet Speichertechnologien, die gespeicherte Daten vor nachträglicher Veränderung oder Löschung schützen — wobei der entscheidende Unterschied darin liegt, ob dieser Schutz auf Hardware-Ebene (nicht umgehbar) oder auf Software-Ebene (durch Administratoren mit ausreichenden Rechten umgehbar) durchgesetzt wird.
Air Gap
Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist.
Immutable Storage
Immutable Storage bezeichnet Speichertechnologien, die gespeicherte Daten vor nachträglicher Veränderung oder Löschung schützen — wobei der entscheidende Unterschied darin liegt, ob dieser Schutz auf Hardware-Ebene (nicht umgehbar) oder auf Software-Ebene (durch Administratoren mit ausreichenden Rechten umgehbar) durchgesetzt wird.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
BSI IT-Grundschutz
Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk mit standardisierten Sicherheitsanforderungen für IT-Systeme — für KRITIS-Betreiber, NIS2-betroffene Organisationen und Behörden ist er die zentrale Referenz für nachweisbare IT-Sicherheitsmaßnahmen.
BSI IT-Grundschutz
Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk mit standardisierten Sicherheitsanforderungen für IT-Systeme — für KRITIS-Betreiber, NIS2-betroffene Organisationen und Behörden ist er die zentrale Referenz für nachweisbare IT-Sicherheitsmaßnahmen.
DORA
DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt.
NIS2
Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen.
NIS2
Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen.
NIS2
Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen.
NIS2
Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen.
Business Continuity Management
Business Continuity Management (BCM) ist der organisatorische Rahmen, der sicherstellt, dass kritische Geschäftsprozesse auch bei schwerwiegenden IT-Ausfällen, Cyberangriffen oder anderen Krisen aufrechterhalten oder in definierten Zeitrahmen wiederhergestellt werden können.
NIS2
Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen.
NIS2
Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen.
DORA
DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt.
IT-Resilienz
IT-Resilienz ist die Fähigkeit einer IT-Infrastruktur, unter widrigen Bedingungen — von Cyberangriffen über Hardwareausfälle bis zu Naturkatastrophen — funktionsfähig zu bleiben oder die Funktionsfähigkeit in definierter Zeit wiederherzustellen, sodass kritische Geschäftsprozesse aufrechterhalten werden.
DORA
DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt.
DORA
DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt.
DORA
DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt.
DORA
DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt.
BSI IT-Grundschutz
Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk mit standardisierten Sicherheitsanforderungen für IT-Systeme — für KRITIS-Betreiber, NIS2-betroffene Organisationen und Behörden ist er die zentrale Referenz für nachweisbare IT-Sicherheitsmaßnahmen.
BSI IT-Grundschutz
Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk mit standardisierten Sicherheitsanforderungen für IT-Systeme — für KRITIS-Betreiber, NIS2-betroffene Organisationen und Behörden ist er die zentrale Referenz für nachweisbare IT-Sicherheitsmaßnahmen.
BSI IT-Grundschutz
Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk mit standardisierten Sicherheitsanforderungen für IT-Systeme — für KRITIS-Betreiber, NIS2-betroffene Organisationen und Behörden ist er die zentrale Referenz für nachweisbare IT-Sicherheitsmaßnahmen.
BSI IT-Grundschutz
Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk mit standardisierten Sicherheitsanforderungen für IT-Systeme — für KRITIS-Betreiber, NIS2-betroffene Organisationen und Behörden ist er die zentrale Referenz für nachweisbare IT-Sicherheitsmaßnahmen.
BSI IT-Grundschutz
Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk mit standardisierten Sicherheitsanforderungen für IT-Systeme — für KRITIS-Betreiber, NIS2-betroffene Organisationen und Behörden ist er die zentrale Referenz für nachweisbare IT-Sicherheitsmaßnahmen.
BSI IT-Grundschutz
Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk mit standardisierten Sicherheitsanforderungen für IT-Systeme — für KRITIS-Betreiber, NIS2-betroffene Organisationen und Behörden ist er die zentrale Referenz für nachweisbare IT-Sicherheitsmaßnahmen.