Google Cloud und die EU-Richtlinie über Netzwerk- und Informationssicherheit (NIS2)

Google unterstützt Sie bei der Einhaltung der NIS2-Vorschriften, indem wir uns in unseren Verträgen verpflichten, technische, organisatorische und physische Sicherheitsmaßnahmen in Bezug auf unsere Cloud-Dienste zu implementieren und aufrechtzuerhalten. Wir bieten Ihnen auch zusätzliche Sicherheitsprodukte und ‑funktionen, mit denen Sie Ihre Cloud-Umgebungen schützen können. Google veröffentlicht Dokumentationen und Ressourcen, die Sie bei der Sicherheitsbewertung unserer Google Cloud- und Workspace-Dienste unterstützen.

Unten finden Sie Informationen dazu, wie unsere Verträge, Kontrollen und Prozesse die Erfüllung der Anforderungen an die Beschaffung von Zulieferern und Dienstleistern unterstützen, die in Artikel 21 Absatz 2 der NIS2-Richtlinie und in den Punkten 5.1 und 6.1 des Anhangs der EU-Durchführungsverordnung enthalten sind.

Cybersicherheit in Google Cloud und Workspace

Die Sicherheit von Google Cloud und Workspace wird im Zusatz zur Verarbeitung von Cloud-Daten erläutert. Darin werden die Sicherheit der Rechenzentren, der Hardware, der Software und der Netzwerke beschrieben, die die Dienste unterstützen. Aufgrund der n:1-Beziehung unserer Dienste bietet Google allen Kunden dieselbe robuste Sicherheitsleistung. Wir stellen unseren Kunden detaillierte Informationen zu unseren Sicherheitsmaßnahmen zur Verfügung, damit sie diese nachvollziehen und in ihre eigenen Anforderungen an die Akquisition einfließen lassen können.

Weitere Informationen finden Sie hier: 

• Google Cloud Trust Center 
• Sicherheit bei Google 
• Das Sicherheitsdesign der Infrastruktur von Google 
• Sicherheitsressourcen

Sie definieren die Sicherheit Ihrer Daten und Anwendungen in der Cloud. Für Google ist die Sicherheit Ihrer Daten von höchster Bedeutung. Wir ergreifen proaktiv die folgenden Maßnahmen, um Sie zu unterstützen: 

• Verschlüsselung inaktiver Daten: Google verschlüsselt inaktive Kundendaten standardmäßig, ohne dass ein Eingreifen Ihrerseits erforderlich ist. Weitere Informationen finden Sie unter Verschlüsselung inaktiver Daten und Whitepaper zur Verschlüsselung in Google Workspace.
• Verschlüsselung während der Übertragung. Google verschlüsselt und authentifiziert alle Daten auf einer oder mehreren Netzwerkebenen, wenn Daten außerhalb der physischen Grenzen übertragen werden, die von Google oder im Auftrag von Google kontrolliert werden. Weitere Informationen finden Sie unter Verschlüsselung bei der Übertragung in Google Cloud und im Whitepaper zur Verschlüsselung in Google Workspace. 

Sie können Google Cloud Security-Produkte verwenden, um die Sicherheit Ihrer Daten zu verbessern und zu überwachen. Informationen zu den Google Cloud Security-Produkten finden Sie unter Cloud-Sicherheitsprodukte. 

Außerdem veröffentlicht Google Leitfäden und Ressourcen zu Best Practices für Cloud-Sicherheit unter Best Practices für Google Cloud-Sicherheit und auf unserer Seite Sicherheit und Datenschutz in Google Workspace.

Google stellt Service Level Agreements (SLAs) zur Verfügbarkeit seiner Cloud-Dienste bereit. Sie finden sie unter Service Level Agreements (SLAs) der Google Cloud Platform und Google Workspace-Service Level Agreement. Kunden können die Leistung der Dienste von Google (einschließlich der Service Level Agreements) mithilfe der Funktionen der Dienste laufend überwachen. Google pflegt Dashboards mit Informationen zum Status der Google Cloud-Dienste unter https://status.cloud.google.com und der Workspace-Dienste unter https://www.google.com/appsstatus/dashboard/ und stellt sie seinen Kunden zur Verfügung. Die Status-Dashboards dienen nur zu Informationszwecken.

Fachkenntnisse und Schulungen für Mitarbeiter

Die Qualifikation und Schulung der Google-Mitarbeiter wird im Anhang 2 „Sicherheitsmaßnahmen“ des Zusatzes zur Verarbeitung von Cloud-Daten erläutert. Das Personal von Google muss die Vertraulichkeits- und Datenschutzrichtlinien von Google einhalten, nimmt an Sicherheitsschulungen teil und muss zusätzliche Auflagen erfüllen, die seiner Rolle entsprechen. Die Mitarbeiter von Google sind außerdem verpflichtet, sich in Übereinstimmung mit unseren Richtlinien über Vertraulichkeit, Geschäftsethik, angemessene Nutzung und professionelle Standards zu verhalten. 

Hintergrundprüfung von Mitarbeitern

Die Hintergrundprüfung von Google-Mitarbeitern ist im Anhang 2: Sicherheitsmaßnahmen des Zusatzes zur Verarbeitung von Cloud-Daten beschrieben. Google führt im angemessenen Umfang Hintergrundüberprüfungen durch, soweit dies im Einklang mit anwendbarem Recht, insbesondere mit anwendbarem, vor Ort geltendem Arbeitsrecht und anwendbaren gesetzlichen Bestimmungen steht.

Benachrichtigung über Vorfälle

Die Verpflichtungen von Google zur Benachrichtigung über Vorfälle sind in Abschnitt 7.2 des Zusatzes zur Verarbeitung von Cloud-Daten festgelegt. Google benachrichtigt Kunden unverzüglich, nachdem Google von einem Datenvorfall erfahren hat, und ergreift umgehend angemessene Schritte, um Schäden zu minimieren und Kundendaten zu schützen. Weitere Informationen finden Sie unter Data Incident Response Process.

Prüfberichte

Google erkennt an, dass Sie eine unabhängige Überprüfung unserer Sicherheits-, Datenschutz- und Compliancekontrollen erwarten. Um diesen Erwartungen gerecht zu werden, unterziehen wir uns regelmäßig Prüfungen durch verschiedene unabhängige Dritte. Google verpflichtet sich, während der Laufzeit unseres Vertrags mit Ihnen folgende wichtige internationale Standards einzuhalten: 

• ISO/IEC 27001 (Managementsysteme für die Informationssicherheit) 
• SOC 2 
• SOC 3

sowie alle weiteren Zertifizierungen, die in Anhang 4 des Zusatzes zur Verarbeitung von Cloud-Daten beschrieben sind. Sie können die aktuellen Zertifizierungen und Prüfberichte von Google jederzeit einsehen. Die Übersicht über Complianceberichte bietet Ihnen einfachen On-Demand-Zugriff auf diese wichtigen Compliance-Ressourcen.

Handhabung von Sicherheitslücken

Der interne Prozess für das Sicherheitslückenmanagement von Google sucht aktiv nach Sicherheitsbedrohungen in allen Technologie-Stacks. Dazu wird eine Kombination aus kommerziellen, Open-Source- und zweckgebundenen internen Tools eingesetzt. Sicherheitslücken, die wir behoben haben, werden in den Google Cloud-Sicherheitsbulletins veröffentlicht. Weitere Informationen zum Sicherheitslückenmanagement finden Sie in der Google-Sicherheitsübersicht.

Unterauftragsverarbeiter: Internetsicherheit

Die Cybersicherheitsanforderungen von Google an seine Unterauftragsverarbeiter sind in Abschnitt 11 und Anhang 2: "Sicherheitsmaßnahmen" des Zusatzes zur Verarbeitung von Cloud-Daten aufgeführt. Vor dem Onboarding führt Google eine Prüfung der Sicherheits- und Datenschutzpraktiken von Unterauftragsverarbeitern durch, um sicherzustellen, dass die Unterauftragsverarbeiter ein Sicherheits- und Datenschutzniveau bieten, das ihrem Zugriff auf Daten und dem Umfang der beauftragten Dienstleistungen angemessen ist. Wenn Google die vom Unterauftragsverarbeiter dargelegten Risiken einschätzen kann, ist der Unterauftragsverarbeiter verpflichtet, angemessene Sicherheits-, Vertraulichkeits- und Datenschutzvereinbarungen abzuschließen.

Abrufen und Löschen von Daten

Die Themen Abrufen und Löschen von Kundendaten nach Vertragsbeendigung werden in den Abschnitten 6 und 9 des Zusatzes zur Verarbeitung von Cloud-Daten behandelt. Google ermöglicht es Kunden, Kundendaten in einer Weise zu exportieren, die mit der Funktionalität der Dienste vereinbar ist. Google löscht die Kundendaten am Ende der Laufzeit gemäß Abschnitt 6 aus den Google-Systemen.

Google wird seine Funktionen bei künftigen gesetzlichen Änderungen anpassen und weiterentwickeln.