ISO 27001 / NIS2 Word (.docx)Kostenlos

Cloud-Nutzungsrichtlinie: Muster (ISO 27001 / NIS2 / DSGVO)

Cloud-Dienste werden oft schneller eingeführt als abgesichert. Diese kostenlose Muster-Richtlinie regelt Freigabe, Prüfkriterien und den sicheren Umgang mit Daten in der Cloud, inklusive AVV und Drittland.

Cloud-Nutzungsrichtlinie

Word (.docx) · sofort einsatzbereit

Kostenlos herunterladen

Keine Anmeldung nötig

Worum geht es?

Eine Cloud-Nutzungsrichtlinie regelt die sichere und rechtskonforme Nutzung von SaaS-, PaaS- und IaaS-Diensten. Sie adressiert ISO 27001 A.5.23 sowie die Lieferantensicherheit unter NIS2 und die DSGVO-Vorgaben zur Auftragsverarbeitung.

Die Vorlage führt einen Freigabeprozess ein, um Schatten-IT zu verhindern, und legt konkrete Prüfkriterien fest: AVV nach Art. 28, Serverstandort/Drittland-Garantien, Sicherheitsnachweise und MFA-Unterstützung.

Enthalten sind Freigabe neuer Dienste, Prüfkriterien, Umgang mit Daten in der Cloud, Verantwortlichkeiten und Exit sowie die Überprüfung des Cloud-Verzeichnisses.

Was die Vorlage enthält

Zweck & Geltungsbereich

Alle Cloud-Dienste (SaaS, PaaS, IaaS)

Freigabe neuer Dienste

Freigabeprozess, Verbot von Schatten-IT

Prüfkriterien

AVV, Serverstandort/Drittland, Sicherheitsnachweise, MFA

Umgang mit Daten

Klassifizierung, Least Privilege, keine privaten Konten

Verantwortlichkeiten & Exit

Benannter Verantwortlicher, Datenrückgabe und Löschung

Überprüfung

Cloud-Verzeichnis und jährliche Überprüfung

Die Vorlage eignet sich für Organisationen, die den Wildwuchs an Cloud-Diensten in geordnete Bahnen lenken wollen. Kombinieren Sie sie mit der Lieferanten-Checkliste.

Häufige Fehler beim Ausfüllen

Schatten-IT

Ohne Freigabeprozess entstehen unbemerkt Cloud-Dienste mit Unternehmensdaten, an denen Datenschutz und Sicherheit vorbeigehen.

Kein AVV

Für Cloud-Dienste, die personenbezogene Daten verarbeiten, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO Pflicht.

Drittland ohne Garantien

Bei Anbietern mit Verarbeitung außerhalb der EU müssen geeignete Garantien (z.B. EU-Standardvertragsklauseln) vorliegen.

Vorlage pflegen kostet Zeit. Es geht auch automatisch.

Dies ist eine gekürzte Muster-Fassung. In CompliantDesk führen Sie ein Cloud-/Dienstleisterverzeichnis, verknüpfen es mit AVV, Assessments und Risiken und halten Freigaben und Reviews aktuell.

Häufig gestellte Fragen

Was ist Schatten-IT?

Cloud-Dienste, die ohne Freigabe von einzelnen Mitarbeitern oder Abteilungen genutzt werden. Sie entziehen sich der Kontrolle und sind ein häufiges Datenschutz- und Sicherheitsrisiko.

Worauf muss ich bei einem Cloud-Anbieter achten?

AVV nach Art. 28 DSGVO, Serverstandort und Drittland-Garantien, Sicherheitsnachweise (z.B. ISO 27001, SOC 2), Unterstützung von MFA und rollenbasierter Zugriffskontrolle sowie eine geregelte Datenrückgabe.

Zählt Cloud zur Lieferkette unter NIS2?

Ja. Cloud-Anbieter sind Dienstleister in Ihrer Lieferkette. Deren Sicherheit müssen Sie unter NIS2 bewerten und vertraglich absichern.

Compliance ohne Excel-Chaos

CompliantDesk führt VVT, Risiken, Richtlinien und Nachweise in einem System, mit gemeinsamem Kern-Modell für ISO 27001, NIS2 und DSGVO. Sehen Sie es in einer kurzen Demo.