Compliance-Begriffe nüchtern erklärt

EU-Verordnung 2024/1689 zur Künstlichen Intelligenz, in Kraft seit 1. August 2024. Reguliert KI-Systeme nach Risikoklassen (verboten, hochrisiko, begrenzt, minimal) und stellt Sonderpflichten für General-Purpose-AI-Modelle auf. Direkt anwendbar in allen Mitgliedstaaten; Hochrisiko-Pflichten gelten ab 2. August 2026, Verbote bereits seit 2. Februar 2025.

Verzahnt sich mit DSGVO bei personenbezogenen Daten. Verstöße können bis zu 35 Mio. EUR oder 7 % Konzernumsatz kosten.

Französische Cybersicherheitsbehörde, funktionales Pendant zum BSI. NIS2-Aufsicht in Frankreich. Veröffentlicht u. a. das Sicherheitssiegel SecNumCloud, das in französischen Vergabeverfahren oft gefordert wird.

Datenverarbeitung im Auftrag eines Verantwortlichen durch einen Dritten (Art. 28 DSGVO). Voraussetzung ist ein schriftlicher Auftragsverarbeitungsvertrag (AVV). Typische Fälle: Cloud-Hosting, externe Lohnbuchhaltung, Newsletter-Versand.

Pflichtvertrag nach Art. 28 Abs. 3 DSGVO zwischen Verantwortlichem und Auftragsverarbeiter. Mindestinhalte u. a. Gegenstand, Dauer, Art und Zweck der Verarbeitung, betroffene Datenkategorien, Pflichten und Rechte des Verantwortlichen, TOMs und Sub-Auftragsverarbeiter. Schriftlich oder elektronisch (qualifiziert) abzuschließen.

Dokumentierte Vorgehensweise zur Datensicherung. Etablierter Standard ist „3-2-1-1-0“: drei Kopien, zwei Medien, eine off-site, eine offline, null Fehler beim Restore-Test. Backup-Strategie ist NIS2-Mindestmaßnahme nach Art. 21 und Bestandteil der BSI-Maßnahmen.

Deutsche Bundesoberbehörde im Geschäftsbereich des BMWK. Zuständig u. a. für das Lieferkettensorgfaltspflichtengesetz (LkSG), Außenwirtschaftsrecht und einzelne Förderprogramme.

Allfinanzaufsicht für Banken, Versicherungen und Wertpapierhandel in Deutschland. DORA-Aufsicht für deutsche Finanzunternehmen, parallel zur EZB für signifikante Banken.

Rundschreiben der BaFin (zuletzt 16/2021), das die Mindestanforderungen an die IT-Organisation, das Informations- und IT-Risikomanagement deutscher Banken konkretisiert. Wird seit DORA-Inkrafttreten (17. Januar 2025) durch die direkt anwendbare EU-Verordnung weitgehend überlagert.

Für Banken historisch bedeutsam, in der Praxis durch DORA als lex specialis abgelöst, bleibt aber als Auslegungshilfe relevant.

Nationales deutsches Datenschutzgesetz, das die DSGVO ergänzt und Öffnungsklauseln ausfüllt. Regelt u. a. die Pflicht zur Bestellung eines Datenschutzbeauftragten ab 20 Personen mit automatisierter Verarbeitung (§ 38) sowie spezifische Beschäftigtendaten-Themen.

Natürliche Person, deren personenbezogene Daten verarbeitet werden (Art. 4 Nr. 1 DSGVO). Hat Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21).

Datenschutzaufsicht für deutsche Bundesbehörden und Anbieter im TK-Sektor. Für die Privatwirtschaft sind die Landesdatenschutzbehörden zuständig. Vertritt Deutschland im Europäischen Datenschutzausschuss (EDSA).

Federführendes Ministerium für IT-Sicherheit, KRITIS und das NIS2UmsuCG. Fachaufsicht über das BSI.

Wirtschaftsministerium, zuständig für Cyber Resilience Act-Umsetzung, IT-Wirtschaftsförderung und AI-Act-Umsetzung in Deutschland (gemeinsam mit BMI).

Regulierungsbehörde für Energie, Telekommunikation, Post und Eisenbahn. Sektor-Cybersicherheits-Aufsicht für TK und Energie nach NIS2/BSIG. Setzt § 165 TKG durch.

Deutsche Cybersicherheitsbehörde mit Sitz in Bonn. Zentrale Aufsicht für KRITIS und NIS2 (sofern nicht sektor-spezifisch BaFin/BNetzA zuständig). Veröffentlicht IT-Grundschutz, BSI-Standards 200-1/2/3/4 und betreibt CERT-Bund.

Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSIG. Legt sektorspezifische Schwellenwerte fest (z. B. 500.000 versorgte Einwohner Strom), ab denen eine Anlage als KRITIS gilt. Wird mit dem NIS2UmsuCG strukturell überarbeitet, behält aber für „Betreiber kritischer Anlagen“ Bedeutung.

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik. Regelt Aufgaben und Befugnisse des BSI sowie Pflichten von Betreibern kritischer Infrastrukturen. Mit dem NIS2UmsuCG wird das BSIG umfassend umgebaut und um NIS2-Pflichten erweitert.

Konformitätszeichen, das die Einhaltung relevanter EU-Vorschriften bestätigt. Im KI-Kontext relevant für Hochrisiko-KI-Systeme nach AI Act, die nach Anhang VI/VII konformitätsbewertet werden müssen.

Top-Manager für Informationssicherheit. Verantwortet Strategie, ISMS, Risikomanagement und Reaktion auf Sicherheitsvorfälle. Häufig direkt an Geschäftsführung oder Vorstand berichtspflichtig. In Banken/Versicherern eigenständig vom IT-Leiter zu trennen (BAIT/VAIT).

EU-Verordnung 2024/2847 vom 23. Oktober 2024 mit verbindlichen Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Hersteller müssen Sicherheits-by-Design, Schwachstellen-Management und ein SBOM bereitstellen sowie aktiv ausgenutzte Schwachstellen binnen 24 h an ENISA melden. Pflichten greifen schrittweise ab Dezember 2027.

Team für Reaktion auf Sicherheitsvorfälle. National in Deutschland: CERT-Bund (BSI). EU-weit koordiniert über das CSIRT-Network. Bei NIS2-Meldungen ist je nach Sektor der zuständige CSIRT (oft das BSI) Empfänger.

EU-Verordnung 2022/2554 zur digitalen operationalen Resilienz im Finanzsektor. Direkt anwendbar seit 17. Januar 2025. Verpflichtet Banken, Versicherer, Wertpapierfirmen und IKT-Drittdienstleister zu IKT-Risikomanagement, Incident-Reporting, bedrohungsorientierten Penetrationstests (TLPT) und Drittparteien-Risiko-Steuerung.

Lex specialis gegenüber NIS2 für Finanzsektor. Beaufsichtigt durch BaFin/EZB/EBA/EIOPA/ESMA.

Strukturierte Risikoanalyse nach Art. 35 DSGVO, verpflichtend bei voraussichtlich hohem Risiko für die Rechte und Freiheiten Betroffener. Umfasst systematische Beschreibung der Verarbeitung, Notwendigkeits- und Verhältnismäßigkeitsprüfung, Risikobewertung und Schutzmaßnahmen. Auf Deutsch auch „DSFA“.

Englische Bezeichnung für den Datenschutzbeauftragten (DSB) nach Art. 37 DSGVO. Funktional identisch mit dem DSB.

Governance-Modell des IIA (Institute of Internal Auditors) zur Trennung von operativer Verantwortung (1st Line), Risiko- und Compliance-Funktionen (2nd Line) und unabhängiger Interner Revision (3rd Line). NIS2 und DORA setzen diese Trennung implizit voraus.

Beauftragter für die Einhaltung der Datenschutzpflichten nach Art. 37–39 DSGVO. In Deutschland zusätzlich Bestellpflicht ab 20 Personen mit ständiger automatisierter Verarbeitung (§ 38 BDSG). Berichtspflichtig an die Leitung; weisungsfrei in der Aufgabenwahrnehmung.

Deutsche Bezeichnung für die DPIA nach Art. 35 DSGVO. Identisch zur DPIA. Die DSK (Datenschutzkonferenz) hat eine „Muss-Liste“ mit Verarbeitungen veröffentlicht, für die eine DSFA verpflichtend ist.

EU-Verordnung 2016/679, anwendbar seit 25. Mai 2018. Regelt die Verarbeitung personenbezogener Daten EU-weit. Stützt sich auf Rechtmäßigkeit (Art. 6), Betroffenenrechte (Art. 12–22) und das Rechenschafts-Prinzip (Art. 5 Abs. 2). Verstöße bis zu 20 Mio. EUR oder 4 % Konzernumsatz.

Europäische Bankaufsichtsbehörde mit Sitz in Paris. Eine der drei ESAs (mit EIOPA und ESMA). Co-Autorin der DORA-RTS für IKT-Risikomanagement.

Sicherheitstechnologie für Endgeräte. Erkennt verdächtige Aktivitäten in Echtzeit, korreliert Telemetrie-Daten und ermöglicht aktive Reaktion (z. B. Prozesse beenden, Endgerät isolieren). Häufig in SIEM/SOAR-Architekturen integriert.

EU-Behörde mit Sitz in Brüssel, koordiniert die nationalen Datenschutzaufsichten. Veröffentlicht Leitlinien zur einheitlichen DSGVO-Auslegung (z. B. zu Cookies, Drittlandtransfers, KI-Verarbeitung).

EU-Verordnung 910/2014 über elektronische Identifizierung und Vertrauensdienste. Regelt qualifizierte elektronische Signaturen, Siegel, Zeitstempel und elektronische Einschreibedienste. Die Novelle eIDAS 2.0 (VO 2024/1183) führt die europäische digitale Brieftasche (EUDI-Wallet) ein.

Europäische Versicherungs- und Pensionsaufsichtsbehörde mit Sitz in Frankfurt. Co-Autorin der DORA-RTS für die Versicherungswirtschaft.

EU-Cybersicherheitsagentur mit Sitz in Heraklion. Veröffentlicht NIS2-Leitlinien, betreibt das EU-CSIRT-Network und ist zentrale Meldestelle für aktiv ausgenutzte Schwachstellen nach CRA.

Europäische Wertpapieraufsicht mit Sitz in Paris. Co-Autorin der DORA-RTS für Wertpapierfirmen und Krypto-Aspekte unter MiCAR.

Schriftliche Erklärung des Herstellers, dass ein Produkt allen anwendbaren EU-Anforderungen entspricht. Für Hochrisiko-KI-Systeme nach AI Act Art. 47 vorgeschrieben — mit Aufbewahrungspflicht 10 Jahre.

Höchstes Gericht der EU mit Sitz in Luxemburg. Verbindliche Auslegung von EU-Recht (Vorabentscheidung). Schrems-I- und Schrems-II-Urteile prägen den heutigen Drittlandtransfer-Standard.

Exekutivorgan der EU. Schlägt EU-Gesetzgebung vor, erlässt delegierte Rechtsakte und überwacht die Umsetzung in den Mitgliedstaaten. Im Compliance-Kontext insbesondere Autorin von delegierten Rechtsakten zu DORA, AI Act, NIS2.

Direkte Aufsicht über bedeutende Banken in der Eurozone (Single Supervisory Mechanism). Co-Aufsicht mit BaFin für DORA-Pflichten signifikanter Institute.

Offener Standard der FIDO Alliance für phishing-resistente Authentifizierung (WebAuthn + CTAP). Grundlage moderner Passkeys. Vom BSI für hohe Schutzbedarfe empfohlen.

Grundrechte-Folgenabschätzung nach Art. 27 AI Act. Pflicht für bestimmte Hochrisiko-KI-Anwendungen, insbesondere bei öffentlichen Stellen und Anbietern wesentlicher Dienstleistungen. Inhaltlich verwandt mit, aber zusätzlich zur DPIA.

Deutsches Gesetz zum Schutz von Geschäftsgeheimnissen (2019), Umsetzung der EU-Richtlinie 2016/943. Schutz greift nur, wenn der Inhaber „angemessene Geheimhaltungsmaßnahmen“ trifft — dies macht TOM-Dokumentation und Zugriffskontrollen rechtlich relevant.

Allzweck-KI-Modell nach AI Act Art. 51 ff. — Modelle mit erheblicher allgemeiner Leistungsfähigkeit, die für vielfältige Aufgaben einsetzbar sind. GPAI-Anbieter haben Sonderpflichten (Transparenz, Dokumentation, Urheberrecht); GPAI mit systemischem Risiko zusätzlich Modellbewertung, Adversarial Testing und Incident-Meldung.

Deutsches Whistleblower-Gesetz vom 2. Juli 2023 zur Umsetzung der EU-Whistleblower-Richtlinie (2019/1937). Verpflichtet Unternehmen ab 50 Beschäftigten zu internen Meldestellen. Schützt Hinweisgeber vor Repressalien.

Sammelbegriff aus DORA für alle IT- und Telekommunikations-Komponenten. Englisches Pendant „ICT“. DORA stellt IKT-Risiken in den Mittelpunkt und differenziert zwischen IKT-Drittdienstleistern, kritischen IKT-Drittdienstleistern und Konzern-internen Dienstleistern.

Dokumentierter Plan für die Reaktion auf Sicherheitsvorfälle. Beschreibt Eskalationswege, Meldepflichten (DSGVO 72 h, NIS2 24/72 h/1 Monat, DORA), Kommunikationswege und Forensik-Aspekte. Bestandteil eines ISMS nach ISO 27001 Annex A.5.24-5.30.

Operative Rolle für die Steuerung des ISMS. Im Mittelstand häufig dieselbe Person wie der CISO; in der öffentlichen Verwaltung gemäß BSI-Standard 200-2 verpflichtend. Berichtspflichtig an die Leitung, unabhängig von der IT.

Strukturiertes Managementsystem zur kontinuierlichen Steuerung der Informationssicherheit. Folgt dem PDCA-Zyklus (Plan-Do-Check-Act). Zertifizierbar nach ISO 27001; im öffentlichen Sektor häufig nach BSI-Grundschutz aufgebaut.

Zentrales Dokument eines ISO-27001-zertifizierten ISMS. Beschreibt Scope, Risikomanagement-Methodik, Statement of Applicability (SoA) und das Zusammenspiel der mitgeltenden Richtlinien.

Internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Aktuelle Fassung 2022 nennt 93 Maßnahmen in Annex A. Zertifizierung durch akkreditierte Stellen (z. B. DEKRA, DQS, TÜV) ist Marktstandard für B2B-Vertrauen und wird in NIS2/DORA als „state of the art“ anerkannt.

Praxis-Leitfaden zur Auswahl und Umsetzung der ISO-27001-Maßnahmen. Beschreibt die 93 Controls aus Annex A detailliert. Nicht zertifizierbar, aber zentrale Referenz für die ISMS-Implementierung.

Deutsches Artikelgesetz vom 18. Mai 2021. Erweiterte BSI-Befugnisse, führte die Kategorie „Unternehmen im besonderen öffentlichen Interesse“ (UBI) ein und brachte Pflichten zu Systemen zur Angriffserkennung (SzA) für KRITIS. Wird durch NIS2UmsuCG weitgehend abgelöst.

Zwei oder mehr Stellen, die gemeinsam Zwecke und Mittel einer Verarbeitung festlegen (Art. 26 DSGVO). Erfordert eine schriftliche Vereinbarung über die jeweiligen Pflichten. Typische Fälle: Facebook-Fanpages, Co-Marketing-Aktionen.

Anlagen, Systeme oder Teile davon, die für das Funktionieren des Gemeinwesens kritisch sind. In Deutschland operationalisiert über die BSI-KritisV mit sektorspezifischen Schwellenwerten. Mit NIS2UmsuCG wird der Begriff zu „Betreiber kritischer Anlagen“ geschärft.

10 Sektoren: Energie, Wasser, Ernährung, IT/TK, Gesundheit, Finanzen, Transport, Medien, Staat, Entsorgung.

Authentifizierung mit mindestens zwei unabhängigen Faktoren: Wissen (Passwort), Besitz (Token, Smartphone), Inhärenz (Biometrie). Phishing-resistente Verfahren wie FIDO2/Passkeys sind State-of-the-Art. NIS2 nennt MFA explizit in Art. 21 als Mindestmaßnahme.

EU-Verordnung 2023/1114 für Krypto-Märkte, in Kraft seit 30. Dezember 2024. Reguliert Emittenten von Krypto-Assets und Krypto-Dienstleister (CASPs). Direkt anwendbar; in Deutschland flankiert vom KMAG und durch BaFin beaufsichtigt.

Erste EU-Cybersicherheits-Richtlinie 2016/1148. In Deutschland durch das BSIG und IT-SiG umgesetzt. Wurde mit Wirkung zum 18. Oktober 2024 durch NIS2 ersetzt.

EU-Richtlinie 2022/2555 vom 14. Dezember 2022 zur Cybersicherheit. Ersetzt NIS1 und weitet den Anwendungsbereich auf 18 Sektoren in zwei Stufen aus („wesentlich“ / „wichtig“). Betroffene Unternehmen müssen Mindestmaßnahmen umsetzen und Incidents binnen 24 h (Frühwarnung) / 72 h (Meldung) / 1 Monat (Abschlussbericht) melden.

EU-Frist 17. Oktober 2024 — NIS2UmsuCG am 6. Dezember 2025 in Kraft getreten (BGBl. 2025 I Nr. 396).

Deutsches Artikelgesetz zur Umsetzung der NIS2-Richtlinie. Reformiert vor allem das BSIG. Stand Mai 2026: in Kraft seit 6. Dezember 2025 (BGBl. 2025 I Nr. 396). Registrierungs- und Meldepflichten gelten — Selbst-Registrierung beim BSI binnen 3 Monaten ab Geltungsbeginn.

Prozess zur strukturierten Verteilung und Installation von Software-Updates. Standard-Service-Levels: kritische Patches binnen 14–30 Tagen, hohe innerhalb von 60–90 Tagen, basierend auf CVSS-Score. Bestandteil der NIS2-Mindestmaßnahmen.

Methodische Sicherheitsprüfung durch simulierte Angriffe. Etablierte Rahmenwerke: OWASP WSTG (Web), OSSTMM, PTES, BSI-Studie „Durchführungskonzept für Penetrationstests“. Häufig jährlich für ISMS-Reife verlangt; bei DORA in Form von TLPT für signifikante Institute.

Deutsches Gesetz, das die außergerichtliche Rechtsberatung regelt. § 2 RDG definiert Rechtsdienstleistung als „jede Tätigkeit in konkreten fremden Angelegenheiten, sobald sie eine rechtliche Prüfung des Einzelfalls erfordert“. Self-Service-Tools dürfen daher nur „vorläufige Einordnung“ liefern und keine konkrete Rechtsberatung.

Für ComplyCheck zentral: erklärt die durchgängigen „keine Rechtsberatung“-Disclaimer.

Systematischer Prozess zur Identifikation, Bewertung und Behandlung von Risiken. Im Compliance-Kontext insbesondere geregelt durch ISO 31000 (Methode), ISO 27005 (Informationssicherheit) und DORA Art. 6 (IKT-Risiken).

Maximal akzeptierter Datenverlust nach einem Vorfall, in Zeit gemessen (z. B. „RPO 1 Stunde“ → höchstens 1 h Datenverlust). Bestimmt die Backup-Frequenz. Komplementär zum RTO.

Maximal akzeptierte Wiederanlaufzeit nach einem Vorfall (z. B. „RTO 4 Stunden“ → Dienst muss binnen 4 h wieder verfügbar sein). Bestimmt Architektur und Failover-Strategie. Komplementär zum RPO.

Maschinenlesbare Stückliste aller Software-Komponenten eines Produkts, typischerweise im SPDX- oder CycloneDX-Format. Pflicht nach Cyber Resilience Act, oft auch von Kunden im Rahmen von Lieferketten-Anforderungen gefordert.

Standard Contractual Clauses — von der EU-Kommission verabschiedete Vertragsmuster für die Übermittlung personenbezogener Daten in Drittländer (aktuelle Fassung: Durchführungsbeschluss 2021/914). Müssen mit einem TIA flankiert werden.

Zentrale Plattform für Sammlung, Korrelation und Auswertung sicherheitsrelevanter Log-Daten. Häufige Komponente des „Systems zur Angriffserkennung“ (SzA), das in KRITIS verpflichtend ist (§ 8a Abs. 1a BSIG).

Plattform-Kategorie für automatisierte Incident-Response-Workflows. Verbindet SIEM, EDR und Ticketing zu Playbooks. Steigert Reaktionsgeschwindigkeit und reduziert Analyst-Last.

Prüfstandard des American Institute of Certified Public Accountants (AICPA) für Service-Organisationen. Misst Kontrollen in 5 Trust Service Criteria (Security, Availability, Processing Integrity, Confidentiality, Privacy). Type-I = Designprüfung zu Stichtag, Type-II = Wirksamkeitsprüfung über 6–12 Monate.

US-Marktstandard, in Europa zusätzlich zu ISO 27001 oft von SaaS-Kunden verlangt.

Risikoanalyse nach Schrems-II-Rechtsprechung des EuGH, verpflichtend bei DSGVO-Drittlandtransfers auf Basis von Standardvertragsklauseln. Prüft, ob das Empfängerland einen im Wesentlichen gleichwertigen Schutz bietet. EDSA-Empfehlung 01/2020 konkretisiert die Methodik.

Rahmenwerk der EZB für bedrohungsgeleitete Red-Team-Tests im Finanzsektor. Methodische Grundlage für TLPT nach DORA. Tests dauern typisch 6–12 Monate inkl. Threat-Intelligence-Phase und Replay.

Branchenstandard der deutschen Automobilindustrie (VDA, betrieben durch ENX). Prüfschema basiert auf VDA-ISA-Katalog (abgeleitet aus ISO 27001) und ist Voraussetzung für viele OEM-Lieferanten-Beziehungen. Drei Assessment-Level je nach Schutzbedarf.

Deutsches Gesetz für den Telekommunikationssektor. § 165 TKG verpflichtet Anbieter zur Einhaltung des Standes der Technik bei der IT-Sicherheit. Beaufsichtigt durch BNetzA, mit Meldepflichten für Sicherheitsvorfälle.

Bedrohungsgeleitete Penetrationstests nach DORA Art. 26. Verpflichtend mindestens alle 3 Jahre für signifikante Finanzunternehmen. Methodisch angelehnt an das TIBER-EU-Framework der EZB. Tests laufen unter realen Bedingungen gegen produktive Systeme.

Protokoll zur verschlüsselten Datenübertragung. Aktuell empfohlen: TLS 1.3 (RFC 8446) bzw. TLS 1.2 mit modernen Cipher Suites. BSI TR-02102 konkretisiert die Anforderungen an Algorithmen und Schlüssellängen.

Sicherheitsmaßnahmen nach Art. 32 DSGVO zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus. Klassische Gliederung: Vertraulichkeit (Zutritt, Zugang, Zugriff, Trennung), Integrität (Weitergabe, Eingabe), Verfügbarkeit (Backup, RTO/RPO), Belastbarkeit, Verfahren zur regelmäßigen Überprüfung. TOMs sind AVV-Pflichtanhang.

Deutsches Gesetz vom 1. Dezember 2021, ehemals TTDSG, seit Mai 2024 als TDDDG firmierend. Regelt insbesondere § 25 — die Einwilligungspflicht für nicht-essentielle Cookies und Tracking-Technologien. Setzt die ePrivacy-Richtlinie um.

BaFin-Rundschreiben für Versicherer, analog zum BAIT für Banken. Konkretisiert IT-Risikomanagement und IT-Governance. Wird mit DORA zunehmend von der EU-Verordnung überlagert.

Stelle, die allein oder gemeinsam über Zwecke und Mittel einer Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DSGVO). Trägt die primäre Verantwortung für die DSGVO-Einhaltung, einschließlich Rechenschaftspflicht (Art. 5 Abs. 2).

Strukturierter Prozess zur Identifikation, Bewertung und Behandlung von Schwachstellen. Stützt sich auf CVE/CVSS-Daten, regelmäßige Scans und priorisierte Behebung. Mindestmaßnahme nach NIS2 Art. 21.

Pflicht-Dokumentation aller Verarbeitungen personenbezogener Daten nach Art. 30 DSGVO. Verantwortlicher und Auftragsverarbeiter führen je ein eigenes Verzeichnis. Auch „Verfahrensverzeichnis“ genannt. Auf Anfrage der Aufsicht vorzulegen.

Erweiterung von EDR auf weitere Telemetrie-Quellen (Identity, Cloud, Netzwerk, E-Mail). Ziel ist eine cross-domain-Korrelation, die Angriffe besser sichtbar macht als einzelne Punkt-Lösungen.

Sicherheits-Architekturprinzip: „Never trust, always verify“ — keine implizite Vertrauensstellung anhand der Netzwerkposition. Stützt sich auf Identitäts-zentrierte Zugriffskontrolle, Mikrosegmentierung und kontinuierliche Verifizierung. NIST SP 800-207 ist Referenzdokument.