Google Cloud und die EU-Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS2)

Google unterstützt Sie bei der Einhaltung der NIS2-Richtlinie, indem wir uns in unseren Verträgen verpflichten, technische, organisatorische und physische Sicherheitsmaßnahmen in Bezug auf unsere Cloud-Dienste umzusetzen und aufrechtzuerhalten. Außerdem bieten wir Ihnen zusätzliche Sicherheitsprodukte und ‑funktionen, mit denen Sie Ihre Cloud-Umgebungen schützen können. Google veröffentlicht Dokumentationen und Ressourcen, die Sie bei der Sicherheitsbewertung unserer Google Cloud- und Workspace-Dienste unterstützen.

Unten finden Sie Informationen dazu, wie unsere Verträge, Kontrollen und Prozesse die Erfüllung der Anforderungen an die Beschaffung von Zulieferern und Dienstleistern unterstützen, die in Artikel 21 Absatz 2 der NIS2-Richtlinie und in den Punkten 5.1 und 6.1 des Anhangs der EU-Durchführungsverordnung enthalten sind.

Cybersicherheit in Google Cloud und Workspace

Die Sicherheit in Google Cloud und Workspace wird im Zusatz zur Verarbeitung von Cloud-Daten beschrieben. Darin wird die Sicherheit der Rechenzentren, Hardware, Software und Netzwerke erläutert, die die Dienste unterstützen. Aufgrund der n:1-Beziehung unserer Dienste bietet Google allen Kunden dieselbe robuste Sicherheitsleistung. Wir stellen Kundenunternehmen detaillierte Informationen zu unseren Sicherheitsmaßnahmen zur Verfügung, damit sie diese nachvollziehen und in ihre eigenen Anforderungen einfließen lassen können.

Weitere Informationen finden Sie hier: 

• Google Cloud Trust Center 
• Sicherheit bei Google 
• Das Sicherheitsdesign der Infrastruktur von Google 
• Sicherheitsressourcen

Sie definieren die Sicherheit Ihrer Daten und Anwendungen in der Cloud. Für Google ist die Sicherheit Ihrer Daten von höchster Bedeutung. Wir ergreifen die folgenden proaktiven Maßnahmen, um Sie zu unterstützen: 

• Verschlüsselung inaktiver Daten: Google verschlüsselt inaktive Kundendaten standardmäßig, ohne dass ein Eingreifen Ihrerseits erforderlich ist. Weitere Informationen finden Sie unter Verschlüsselung ruhender Daten in Google Cloud und im Whitepaper zur Verschlüsselung in Google Workspace.
• Verschlüsselung während der Übertragung. Google verschlüsselt und authentifiziert alle Daten auf einer oder mehreren Netzwerkebenen, wenn Daten außerhalb der physischen Grenzen übertragen werden, die von Google oder im Auftrag von Google kontrolliert werden. Weitere Informationen finden Sie unter Verschlüsselung bei der Übertragung in Google Cloud und im Whitepaper zur Verschlüsselung in Google Workspace. 

Sie können Google Cloud Security-Produkte verwenden, um die Sicherheit Ihrer Daten zu verbessern und zu überwachen. Informationen zu den Google Cloud Security-Produkten finden Sie unter Cloud-Sicherheitsprodukte. 

Google veröffentlicht außerdem Leitfäden und Ressourcen zu Best Practices für die Cloud-Sicherheit unter Best Practices für die Sicherheit von Google Cloud und auf unserer Seite Sicherheit und Datenschutz in Google Workspace.

Google bietet Service Level Agreements zur Verfügbarkeit unserer Cloud-Dienste an. Sie finden sie unter Service Level Agreements (SLAs) der Google Cloud Platform und Google Workspace-Service Level Agreement. Kundenunternehmen können die Leistung der Dienste (einschließlich der SLAs) von Google mithilfe der Funktionen der Dienste laufend überwachen. Google pflegt Dashboards mit Informationen zum Status der Google Cloud-Dienste unter https://status.cloud.google.com und der Workspace-Dienste unter https://www.google.com/appsstatus/dashboard/ und stellt sie seinen Kunden zur Verfügung. Die Status-Dashboards dienen nur zu Informationszwecken.

Personal Skills and Training

Die Fähigkeiten und das Training von Google-Mitarbeitern sind im Anhang 2: Sicherheitsmaßnahmen des Zusatzes zur Verarbeitung von Cloud-Daten beschrieben. Mitarbeiterinnen und Mitarbeiter von Google müssen die Vertraulichkeits- und Datenschutzbestimmungen von Google einhalten, erhalten Sicherheitsschulungen und müssen zusätzliche Anforderungen erfüllen, die ihrer Rolle entsprechen. Sie sind außerdem verpflichtet, sich in Übereinstimmung mit den Richtlinien des Unternehmens in Bezug auf Vertraulichkeit, Geschäftsethik, angemessene Nutzung und professionelle Standards zu verhalten. 

Hintergrundprüfung von Personal

Die Hintergrundprüfung von Google-Mitarbeitern ist im Anhang 2: Sicherheitsmaßnahmen des Zusatzes zur Verarbeitung von Cloud-Daten beschrieben. Google führt im angemessenen Umfang Hintergrundüberprüfungen durch, soweit dies im Einklang mit anwendbarem Recht, insbesondere mit anwendbarem, vor Ort geltendem Arbeitsrecht und anwendbaren gesetzlichen Bestimmungen steht.

Benachrichtigung über Vorfälle

Die Verpflichtungen von Google zur Benachrichtigung über Vorfälle sind in Abschnitt 7.2 des Zusatzes zur Verarbeitung von Cloud-Daten festgelegt. Google benachrichtigt Kundenunternehmen unverzüglich, nachdem Google von einem Datenvorfall erfahren hat, und ergreift umgehend angemessene Schritte, um Schäden zu minimieren und Kundendaten zu schützen. Weitere Informationen finden Sie unter Datenvorfall-Reaktionsprozess.

Prüfberichte

Google erkennt an, dass Sie eine unabhängige Überprüfung unserer Sicherheits-, Datenschutz- und Compliancekontrollen erwarten. Um diesen Erwartungen gerecht zu werden, unterziehen wir uns regelmäßig Prüfungen durch verschiedene unabhängige Dritte. Google verpflichtet sich, während der Laufzeit unseres Vertrags mit Ihnen folgende wichtige internationale Standards einzuhalten: 

• ISO/IEC 27001 (Managementsysteme für die Informationssicherheit) 
• SOC 2 
• SOC 3

Sowie alle weiteren in Anhang 4 des Zusatzes zur Verarbeitung von Cloud-Daten beschriebenen Zertifizierungen. Sie können die aktuellen Zertifizierungen und Prüfberichte von Google jederzeit einsehen. Die Übersicht über Complianceberichte bietet Ihnen einfachen On-Demand-Zugriff auf diese wichtigen Compliance-Ressourcen.

Handhabung von Sicherheitslücken

Der interne Prozess für die Verwaltung von Sicherheitslücken von Google sucht aktiv nach Sicherheitsbedrohungen in allen Technologie-Stacks. Dazu wird eine Kombination aus kommerziellen, Open-Source- und zweckgebundenen internen Tools eingesetzt. Von uns behobene Sicherheitslücken werden in den Google Cloud-Sicherheitsbulletins veröffentlicht. Weitere Informationen zur Verwaltung von Sicherheitslücken finden Sie in der Google-Sicherheitsübersicht.

Cybersecurity von Unterauftragsverarbeitern

Die Cybersicherheitsanforderungen von Google an seine Unterauftragsverarbeiter sind in Abschnitt 11 und Anhang 2: "Sicherheitsmaßnahmen" des Zusatzes zur Verarbeitung von Cloud-Daten aufgeführt. Vor dem Onboarding führt Google eine Prüfung der Sicherheits- und Datenschutzpraktiken von Unterauftragsverarbeitern durch, um sicherzustellen, dass die Unterauftragsverarbeiter ein Sicherheits- und Datenschutzniveau bieten, das ihrem Zugriff auf Daten und dem Umfang der beauftragten Dienstleistungen angemessen ist. Wenn Google die vom Unterauftragsverarbeiter dargelegten Risiken einschätzen kann, ist der Unterauftragsverarbeiter verpflichtet, angemessene Sicherheits-, Vertraulichkeits- und Datenschutzvereinbarungen abzuschließen.

Daten abrufen und löschen

Abrufen und Löschen von Kundendaten bei Vertragsende sind in den Abschnitten 6 und 9 des Zusatzes zur Verarbeitung von Cloud-Daten geregelt. Google ermöglicht es Kundenunternehmen, Kundendaten in einer Weise zu exportieren, die mit der Funktionalität der Dienste vereinbar ist. Google löscht Kundendaten aus den Google-Systemen am Ende der Laufzeit, wie in Abschnitt 6 beschrieben.

Wir werden unsere Funktionen bei künftigen gesetzlichen Änderungen anpassen und weiterentwickeln.