Branche · Öffentlicher Sektor
DecisionOS für den öffentlichen Sektor
Der öffentliche Sektor trifft IT-Entscheidungen unter einer Kombination aus NIS2 (BSI-Gesetz-Novelle), UP KRITIS, BSI IT-Grundschutz, BSI C5, Onlinezugangsgesetz und der jeweiligen Landes-eGovernment-Gesetzgebung. DecisionOS strukturiert solche Entscheidungen entlang dieser Rahmenwerke und produziert ein Memo, das vor Rechnungshof, interner Revision und Aufsicht bestand hat.
TL;DR
Öffentlicher Sektor: NIS2 + UP KRITIS + BSI-Grundschutz + C5 gleichzeitig. Ein Memo-Format, das alle Prüfer bedient.
Regulatorik im Überblick
Regulatorischer Kontext
Die deutsche Umsetzung von NIS2 über die BSIG-Novelle erweitert den Kreis der betroffenen öffentlichen Einrichtungen deutlich. Gleichzeitig bleibt UP KRITIS als Koordinierungsrahmen für kritische Infrastrukturen relevant.
BSI IT-Grundschutz ist in vielen Bundes- und Landesbehörden die gelebte Prüfgrundlage. Jede IT-Entscheidung muss sich gegen die relevanten Bausteine mappen lassen, damit Sicherheitskonzepte und Risikoanalysen überhaupt akzeptiert werden.
BSI C5 ist der de-facto-Standard für Cloud-Dienste im öffentlichen Kontext. Für Sovereign-Cloud-Entscheidungen ist C5 Testat ein harter Dealbreaker.
Typische Entscheidungen
Dealbreaker (nicht verhandelbar)
Datenhoheit nach BSI C5 / EVB-IT
Öffentliche Auftraggeber fordern regelmäßig EU-Hosting plus operationelle Kontrolle. Hyperscaler-Optionen nur mit Sovereign-Overlay.
BSI IT-Grundschutz-konform dokumentierbar
Bausteine und Maßnahmen müssen auf die gewählte Lösung mappen. Ohne Mapping keine Abnahme.
NIS2-Verantwortlichkeit nach BSIG-Novelle
Behördenleitung trägt die Verantwortung und muss die Entscheidung mitsignieren können.
Vergaberechtskonforme Dokumentation
UVgO / GWB / VGV benötigen nachvollziehbare Auswahlentscheidung. Das Memo ist Teil der Vergabeakte.
Wo DecisionOS Mehrwert schafft
Das Memo lässt sich als Teil der Vergabeakte und als Input für das Sicherheitskonzept nach IT-Grundschutz direkt einsetzen.
Die klare Trennung von Dealbreakern und gewichteten Kriterien passt auf das Vergabe-Muster Eignungs- vs. Zuschlagskriterien (UVgO / VgV).
Die integrierte Stakeholder-Logik (Fachbereich, CISO-Äquivalent, Datenschutz, Haushalt) ersetzt informelle Abstimmungswege und produziert explizite Signaturen.
Typische Entscheidungen
Sovereign-Cloud-Strategie und Portierung von Fachverfahren.
Rahmenvertrag für IT-Sicherheitsdienstleistungen (MDR/SOC).
Plattform-Auswahl für digitale Verwaltungsleistungen (OZG 2.0).
Modernisierung zentraler Verzeichnisdienste und Identitätsinfrastruktur.
Hosting und Datenhoheit
DecisionOS wird ausschließlich in Deutschland gehostet. Auftragsverarbeitungsvertrag nach Art. 28 DSGVO verfügbar, keine Drittstaaten-Datenflüsse. Für sensitive öffentliche Workloads kann ein dediziertes Deployment (on-premise-nahe Cloud) geprüft werden.
FAQ
Ist DecisionOS vergaberechtskonform einsetzbar?
DecisionOS ist ein Werkzeug zur Entscheidungsvorbereitung. Die formale Vergabe läuft weiterhin über die Vergabestelle und die dort verwendeten Systeme. Das Memo liefert die nachvollziehbare Auswahlbegründung für die Vergabeakte.
Wie verhält sich DecisionOS zu BSI IT-Grundschutz?
DecisionOS ersetzt kein IT-Grundschutz-Tooling. Es strukturiert die Entscheidungen, deren Ergebnis dann in Sicherheitskonzept, Risikoanalyse und Strukturanalyse einfließt.
Gibt es ein dediziertes Deployment für besonders sensitive Workloads?
Ja, ein dediziertes Deployment mit enger operationaler Kontrolle ist möglich und wird für öffentliche Auftraggeber mit erhöhten Sovereignty-Anforderungen individuell skopt.
Welche Sovereign-Cloud-Anforderungen kann DecisionOS für Behörden adressieren?
Die Sovereign-Cloud-Entscheidung wird als eigenes Decision Memo geführt, mit dezidierten Kriterien für Schlüsselkontrolle (BYOK/HYOK), Personal-Souveränität, GAIA-X-Konformität und BSI-C5-Mapping. Auch das EVB-IT-Cloud-konforme Vergabe-Verfahren findet im Memo die strukturierte Begründungstiefe wieder.
Wie fügt sich DecisionOS in eine BSI-IT-Grundschutz-Vergabe ein?
Das Memo erfasst die Auswahl gegen die relevanten Bausteine (CON.8, OPS.2, NET.4 etc.), benennt Restrisiken und ordnet sie der Risikobehandlung zu. Vergabestellen erhalten damit ein zusätzliches Begründungs-Artefakt zur Vergabeakte, das im Falle einer Rüge strukturierte Verteidigung liefert.
Passende Entscheidungs-Guides
Infrastructure
How to make a sovereign cloud migration decision
Compliance
How to reach NIS2 readiness as a mid-market or enterprise operator
Infrastructure
How to decide on IT outsourcing, a structured framework
Security
How to choose an IAM, IGA and PAM stack
Backup, Recovery und Disaster Recovery
Backup- und DR-Lösung auswählen: strukturiert unter NIS2, DORA und BAIT
Verwandte Vergleiche
DecisionOS vs LeanIX
LeanIX tracks your portfolio. DecisionOS decides what changes.
DecisionOS vs strategy consulting
Consultants structure your decision once. DecisionOS structures every decision.
DecisionOS vs ServiceNow GRC
ServiceNow runs your GRC programme. DecisionOS runs the decisions inside it.
DecisionOS vs. ChatGPT, Claude, Gemini & Co. für strukturierte Enterprise-Entscheidungen
Generische LLMs erforschen. DecisionOS entscheidet und dokumentiert auditfähig.
Relevante Branchen
Banken & Finanzdienstleister
Banken entscheiden unter DORA, MaRisk, BAIT gleichzeitig. DecisionOS liefert das Memo, das alle drei Prüfer akzeptieren.
Versicherungen
Versicherer entscheiden unter DORA + Solvency II + VAIT gleichzeitig. Ein Memo-Format für alle drei.
Öffentlicher Sektor
Öffentlicher Sektor: NIS2 + UP KRITIS + BSI-Grundschutz + C5 gleichzeitig. Ein Memo-Format, das alle Prüfer bedient.
Gesundheitswesen
Gesundheitswesen: KRITIS + NIS2 + B3S + DSGVO Art. 9. DecisionOS macht das Memo prüfbar.
Energieversorger
Energieversorger: KRITIS + IT-SiG 2.0 + NIS2 + branchenspezifische Sicherheit. Memo muss vor BSI und BNetzA bestehen.