Branche · Telekommunikation
DecisionOS für Telekommunikationsanbieter
Telekommunikationsanbieter stehen unter einer spezifisch dichten Regulatorik: NIS2 (BSIG-Novelle), TKG §165 (Sicherheitsanforderungen an öffentliche Telekommunikationsnetze und -dienste), BSI-Sicherheitskatalog und zunehmend auch DORA-relevante Anforderungen bei Finanzdienstleistungen im Portfolio. DecisionOS liefert ein Decision-Memo-Format, das alle diese Rahmen gleichzeitig bedient und vor BNetzA-Prüfungen und BSI-Nachweisen bestand hat.
TL;DR
Telko entscheidet unter NIS2 + TKG §165 + BSI-Sicherheitskatalog gleichzeitig. Ein Memo, das alle Prüfer akzeptieren.
Regulatorik im Überblick
Regulatorischer Kontext
Telekommunikationsanbieter in Deutschland operieren unter TKG §165 (Sicherheit), dem BSI-Sicherheitskatalog (Kat. A für alle öffentlichen Netze, Kat. B für Betreiber mit erhöhtem Gefährdungspotenzial) und mit der BSIG-Novelle unter NIS2.
Die 2021er TKG-Novelle hat zusätzlich ein Untersagungsverfahren für kritische Komponenten eingeführt. Entscheidungen über Kernnetzkomponenten, Transportnetze und Security-Systeme müssen explizit gegen diese Kategorie geprüft und dokumentiert sein.
Anbieter, die B2B-Dienste für Banken oder Versicherer betreiben, sehen sich zusätzlich mit DORA Art. 28 konfrontiert, sobald sie als ICT-Drittanbieter qualifizieren. Das Memo muss also anschlussfähig an das Kunden-DORA-Register sein.
Typische Entscheidungen
Dealbreaker (nicht verhandelbar)
BSI-Sicherheitskatalog-Kompatibilität
Kat. A bzw. B definieren harte Mindestanforderungen an Netzkomponenten und Betriebsprozesse. Lösungen, die nicht mappen, sind strukturell ausgeschlossen.
EU-Datenresidenz für Verbindungs- und Verkehrsdaten
TKG und DSGVO setzen enge Schranken. Ausländisches Hosting ist bei CDR-relevanten Systemen kaum tragfähig.
Nachweisbare Integration in Meldewesen
§168 TKG plus NIS2-Incident-Meldung. Ungetestete Prozesse reißen bei BNetzA-Prüfungen.
Klare Abgrenzung zwischen kritischen Komponenten und Peripherie
Seit der TKG-Novelle gilt ein formales Untersagungsrecht für kritische Komponenten. Die Auswahl muss diese Grenze sauber abbilden.
Wie DecisionOS fit ist
Die Trennung von Dealbreakern und gewichteten Kriterien passt direkt auf die TKG-Logik: Kat. A- und Kat. B-Mindestanforderungen werden als Ausschlusskriterien abgebildet, nicht als zu gewichtende Punkte.
Die Stakeholder-Logik bindet Netzbetrieb, Informationssicherheit, Regulatory Affairs und Datenschutz gleichberechtigt ein. In Telkos ist das kein Nice-to-have, sondern die Realität jeder materiellen Entscheidung.
Institutionelle Decision Memory ist in dieser Branche besonders wertvoll, weil Netzkomponenten-Entscheidungen über 7 bis 10 Jahre tragen und die Rekonstruierbarkeit über Personalwechsel hinweg explizit geprüft wird.
Typische Entscheidungen
Auswahl von Security-Komponenten für Kernnetze unter der Kategorie-kritische-Komponenten-Prüfung.
Cloud-Auslagerung von OSS/BSS-Systemen mit harter Datenresidenz-Anforderung für Verkehrsdaten.
EDR/XDR-Rollout über die operative IT mit sauberer Trennung zur Netzwerk-Security-Ebene.
Rahmenverträge für IT-Security-Managed-Services mit OT-Relevanz (5G-Infrastruktur).
Hosting und Datenhoheit
DecisionOS läuft ausschließlich in der EU (Hetzner, Nürnberg). Für TKG-regulierte Workloads der regulatorische Default. Ein dediziertes Deployment mit strenger Datenhoheit ist für sensitive Kernnetz-Entscheidungen auf Anfrage verfügbar.
FAQ
Deckt DecisionOS die TKG-Sicherheitskatalog-Anforderungen ab?
DecisionOS ist kein BSI-Katalog-Compliance-Tool. Es strukturiert jedoch Entscheidungen so, dass sie gegen Kat. A- und Kat. B-Anforderungen mappbar sind und das Memo als Evidenz für die Katalog-Prüfung dienen kann.
Kann DecisionOS das Untersagungsverfahren für kritische Komponenten unterstützen?
Indirekt ja: das Memo dokumentiert die Auswahlkriterien, Dealbreaker und Evidenz, die die BNetzA bei einer Untersagungsprüfung erwartet. Die formale Anzeige läuft weiterhin über die etablierten regulatorischen Prozesse.
Ist DecisionOS relevant für kleinere Anbieter oder nur für große Carrier?
Der Nutzen skaliert mit der Regulierungsintensität. Für kleinere Anbieter ohne Kat. B-Einstufung ist der Hebel geringer, für Kat. B-Betreiber, Backbone-Carrier und große Geschäftskundenanbieter ist er hoch.