Branche · Öffentlicher Sektor
DecisionOS für den öffentlichen Sektor
Der öffentliche Sektor trifft IT-Entscheidungen unter einer Kombination aus NIS2 (BSI-Gesetz-Novelle), UP KRITIS, BSI IT-Grundschutz, BSI C5, Onlinezugangsgesetz und der jeweiligen Landes-eGovernment-Gesetzgebung. DecisionOS strukturiert solche Entscheidungen entlang dieser Rahmenwerke und produziert ein Memo, das vor Rechnungshof, interner Revision und Aufsicht bestand hat.
TL;DR
Öffentlicher Sektor: NIS2 + UP KRITIS + BSI-Grundschutz + C5 gleichzeitig. Ein Memo-Format, das alle Prüfer bedient.
Regulatorik im Überblick
Regulatorischer Kontext
Die deutsche Umsetzung von NIS2 über die BSIG-Novelle erweitert den Kreis der betroffenen öffentlichen Einrichtungen deutlich. Gleichzeitig bleibt UP KRITIS als Koordinierungsrahmen für kritische Infrastrukturen relevant.
BSI IT-Grundschutz ist in vielen Bundes- und Landesbehörden die gelebte Prüfgrundlage. Jede IT-Entscheidung muss sich gegen die relevanten Bausteine mappen lassen, damit Sicherheitskonzepte und Risikoanalysen überhaupt akzeptiert werden.
BSI C5 ist der de-facto-Standard für Cloud-Dienste im öffentlichen Kontext. Für Sovereign-Cloud-Entscheidungen ist C5 Testat ein harter Dealbreaker.
Typische Entscheidungen
Dealbreaker (nicht verhandelbar)
Datenhoheit nach BSI C5 / EVB-IT
Öffentliche Auftraggeber fordern regelmäßig EU-Hosting plus operationelle Kontrolle. Hyperscaler-Optionen nur mit Sovereign-Overlay.
BSI IT-Grundschutz-konform dokumentierbar
Bausteine und Maßnahmen müssen auf die gewählte Lösung mappen. Ohne Mapping keine Abnahme.
NIS2-Verantwortlichkeit nach BSIG-Novelle
Behördenleitung trägt die Verantwortung und muss die Entscheidung mitsignieren können.
Vergaberechtskonforme Dokumentation
UVgO / GWB / VGV benötigen nachvollziehbare Auswahlentscheidung. Das Memo ist Teil der Vergabeakte.
Wo DecisionOS Mehrwert schafft
Das Memo lässt sich als Teil der Vergabeakte und als Input für das Sicherheitskonzept nach IT-Grundschutz direkt einsetzen.
Die klare Trennung von Dealbreakern und gewichteten Kriterien passt auf das Vergabe-Muster Eignungs- vs. Zuschlagskriterien (UVgO / VgV).
Die integrierte Stakeholder-Logik (Fachbereich, CISO-Äquivalent, Datenschutz, Haushalt) ersetzt informelle Abstimmungswege und produziert explizite Signaturen.
Typische Entscheidungen
Sovereign-Cloud-Strategie und Portierung von Fachverfahren.
Rahmenvertrag für IT-Sicherheitsdienstleistungen (MDR/SOC).
Plattform-Auswahl für digitale Verwaltungsleistungen (OZG 2.0).
Modernisierung zentraler Verzeichnisdienste und Identitätsinfrastruktur.
Hosting und Datenhoheit
DecisionOS wird ausschließlich in Deutschland gehostet (Hetzner, Nürnberg). Auftragsverarbeitungsvertrag nach Art. 28 DSGVO verfügbar, keine Drittstaaten-Datenflüsse. Für sensitive öffentliche Workloads kann ein dediziertes Deployment (on-premise-nahe Cloud) geprüft werden.
FAQ
Ist DecisionOS vergaberechtskonform einsetzbar?
DecisionOS ist ein Werkzeug zur Entscheidungsvorbereitung. Die formale Vergabe läuft weiterhin über die Vergabestelle und die dort verwendeten Systeme. Das Memo liefert die nachvollziehbare Auswahlbegründung für die Vergabeakte.
Wie verhält sich DecisionOS zu BSI IT-Grundschutz?
DecisionOS ersetzt kein IT-Grundschutz-Tooling. Es strukturiert die Entscheidungen, deren Ergebnis dann in Sicherheitskonzept, Risikoanalyse und Strukturanalyse einfließt.
Gibt es ein dediziertes Deployment für besonders sensitive Workloads?
Ja, ein dediziertes Deployment mit enger operationaler Kontrolle ist möglich und wird für öffentliche Auftraggeber mit erhöhten Sovereignty-Anforderungen individuell skopt.