CompliantDesk

A.5 Organisatorische Maßnahmen

A.5.23

Informationssicherheit bei Nutzung von Cloud-Diensten

ISO 27001NIS2TISAXDORA

Prozesse für Beschaffung, Nutzung, Verwaltung und Ausstieg von Cloud-Diensten müssen entsprechend den Informationssicherheitsanforderungen der Organisation festgelegt werden.

Was fordert dieses Control?

Prozesse für Beschaffung, Nutzung, Verwaltung und Ausstieg von Cloud-Diensten müssen entsprechend den Informationssicherheitsanforderungen der Organisation festgelegt werden.

Warum ist das wichtig?

Cloud-Nutzung verlagert Verantwortung, aber nicht die Haftung. Klare Anforderungen, Konfiguration und Exit-Strategien verhindern Lock-in und Sicherheitslücken.

Cross-Standard-Mapping

StandardControl-IDRelevanz
NIS2Art. 21 (2)Direkt
TISAX6.1.1Direkt
DORAArt. 28Direkt

Was der Auditor erwartet

  1. 1Anforderungen an Auswahl und Nutzung von Cloud-Diensten
  2. 2Klare Verantwortungsteilung (Shared Responsibility)
  3. 3Exit-Strategie und Datenrückgabe

Audit-Checkliste

Dokumente

  • Cloud-Nutzungsrichtlinie

    Auswahl, Konfiguration, Betrieb und Ausstieg

Nachweise

  • Cloud-Risikobewertungen

    Bewertung genutzter Dienste und ihrer Konfiguration

Interviews

  • IT-Verantwortliche

    Verständnis der geteilten Verantwortung

Technisch

  • Cloud-Konfiguration

    Sichere Grundkonfiguration, z.B. Secure Score

Praxis-Tipps zur Umsetzung

1

Shared Responsibility klären

Genau festhalten, was der Anbieter und was Sie selbst absichern.

2

Exit mitdenken

Datenexport und Anbieterwechsel von Anfang an einplanen.

3

Konfiguration härten

Standardeinstellungen prüfen, MFA, Logging und Verschlüsselung aktivieren.

Häufige Fehler

Fehlkonfiguration

Offene Buckets oder fehlende MFA durch unsichere Defaults.

Kein Exit-Plan

Abhängigkeit ohne Möglichkeit zur Datenrückführung.

Häufig gestellte Fragen

Was bedeutet Shared Responsibility?

Anbieter und Kunde teilen sich die Sicherheitsverantwortung. Was Sie selbst absichern müssen, hängt vom Servicemodell ab.

Brauchen wir eine Exit-Strategie?

Ja, geregelte Datenrückgabe und Anbieterwechsel sind ausdrücklich Teil des Controls.

Wie weist man sichere Cloud-Nutzung nach?

Über Risikobewertung, Konfigurationsnachweise (z.B. Secure Score) und vertragliche Regelungen.

So hilft CompliantDesk bei A.5.23

Über die M365-Integration belegen Sie sichere Cloud-Konfiguration per Secure Score und führen Cloud-Dienste als bewertete Lieferanten.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.19

Informationssicherheit in Lieferantenbeziehungen

A.5.20

Adressierung der Sicherheit in Lieferantenvereinbarungen

A.8.9

Konfigurationsmanagement