Das Sicherheitsgatter der öffentlichen Beschaffung
Die Beschaffungsprozesse der Regierung für Technologietools sind am systematischsten durch Sicherheitszertifizierungen geregelt. US-Bundesverträge für Cloud-Dienste erfordern eine FedRAMP (Federal Risk and Authorization Management Program)-Zulassung — ein Prozess, der typischerweise 12–24 Monate dauert und Hunderttausende von Dollar für die Einhaltung der Vorschriften kostet. Die meisten Softwareanbieter streben keine FedRAMP-Zulassung an, was sie effektiv von der US-Beschaffung ausschließt.
Für EU-Behörden ist der gleichwertige Standard ISO 27001, oft kombiniert mit länderspezifischen Zertifizierungen (Deutschlands BSI C5 für Cloud-Dienste, Frankreichs SecNumCloud für sensible Regierungsdaten). Die Beschaffung der britischen Regierung für Software, die personenbezogene Daten verarbeitet, erfordert typischerweise ISO 27001 als Grundlage, wobei Cyber Essentials oder Cyber Essentials Plus als zusätzliche Anforderung für Tools mit direktem Zugang zu Regierungssystemen gelten.
Die praktische Implikation: Ein SaaS-Tool ohne ISO 27001-Zertifizierung ist typischerweise nicht für die Berücksichtigung in der Beschaffung der EU und des Vereinigten Königreichs geeignet, unabhängig von seinen funktionalen Fähigkeiten, Preisen oder seinem Ruf. Das Sicherheitsgatter wird vor der funktionalen Bewertung angewendet.
Märkte der staatlichen und lokalen Regierung
Staatliche und lokale Regierungsbehörden sowie internationale Regierungsorganisationen (EU-Agenturen, UN-Organe, NATO) haben typischerweise flexiblere Beschaffungsregeln als nationale Regierungen. Viele akzeptieren ISO 27001 als ihre Sicherheitsgrundlage, anstatt länderspezifische Zertifizierungsprogramme zu verlangen.
Für lokale Regierungsbehörden, die personenbezogene Daten von Einwohnern verarbeiten — Stadtverwaltungen, regionale Behörden, öffentliche Gesundheitsorganisationen — erfordert die Einhaltung der DSGVO die Auswahl von Datenverarbeitern, die geeignete technische Maßnahmen umsetzen. Die ISO 27001-Zertifizierung ist der Standardmechanismus zur Demonstration dieser Maßnahmen in Beschaffungskontexten der Regierung.
Die Anforderung an staatliche Verträge im Nachgang
Organisationen, die Regierungsverträge halten, haben häufig "Prime Contract"-Datenschutzanforderungen, die auf ihre Subunternehmer und Technologielieferanten übertragen werden. Ein Verteidigungsauftragnehmer, der regierungsnahe Daten verarbeitet, kann unter seinem Hauptvertrag verpflichtet sein, nur ISO 27001-zertifizierte Software zur Datenverarbeitung zu verwenden. Ein Dienstleister einer EU-Agentur kann ähnlichen Anforderungen für Tools begegnen, die Projektdaten berühren.
Dieser Fluss von Hauptverträgen bedeutet, dass die ISO 27001-Zertifizierung nicht nur direkte Beschaffungsmöglichkeiten für die Regierung eröffnet, sondern auch den viel größeren indirekten Regierungsmarkt — Technologielieferanten für Hauptauftragnehmer, Beratungsunternehmen, die Regierungsmandanten bedienen, und Technologiehändler, deren Kunden regierungsnahe Organisationen umfassen.
Ein digitales Transformationsprogramm einer britischen Regierungsbehörde, das ISO 27001 für alle Anbieter verlangt, kann das Tool sofort genehmigen, ohne eine separate Sicherheitsbewertung. Die Zertifizierung ist das Nachweispaket. Projektzeitpläne werden nicht durch Verzögerungen bei der Sicherheitsbewertung des Anbieters verlängert.
Quellen: