EUCS-Cloud-Zertifizierungsnachweise für Audits 2026

Das Licht des Projektors im Besprechungsraum fiel auf Amelias Gesicht, während sie auf eine Folie mit dem Titel „Compliance-Horizont 2026“ blickte. Als CISO eines schnell wachsenden Fintechs hatte sie drei Akronyme auf dem Bildschirm und dahinter ein wiederkehrendes operatives Problem: NIS2, DORA und GDPR verwiesen alle auf dieselben Cloud-Plattformen.

Der DORA-Auditor verlangte Nachweise zum Management von IKT-Drittparteienrisiken für die Cloud-Services, auf denen Zahlungsanwendungen betrieben wurden. Die zuständige NIS2-Behörde hatte das Unternehmen als wichtige Einrichtung eingestuft und fragte, wie die Lieferkettensicherheit gesteuert wird. Der Datenschutzbeauftragte bereitete eine GDPR-Prüfung vor, die sich auf die Sicherheit von Auftragsverarbeitern, Datenresidenz und die Vorbereitung auf Datenschutzverletzungen konzentrierte. Anschließend leitete die Beschaffung eine kurze E-Mail eines Cloud-Analytics-Anbieters weiter:

„Wir bereiten uns auf die EUCS-Zertifizierung vor. Kann dies Ihre Lieferantensicherheitsprüfung ersetzen?“

Für einen stark ausgelasteten CISO, Compliance-Verantwortlichen oder Gründer lautet die verlockende Antwort: ja. Eine europäische Zertifizierung für Cloud-Cybersicherheit klingt genau nach dem Nachweisobjekt, das Fragebögen reduziert, Auditoren beruhigt und Kunden überzeugt.

Die bessere Antwort ist präziser: EUCS-Cloud-Zertifizierung kann zu einem belastbaren Nachweis zur Sicherheit und Vertrauenswürdigkeit von Cloud-Anbietern werden, aber nur, wenn sie in Ihre eigene ISO/IEC 27001:2022-Risikobeurteilung, Anwendbarkeitserklärung (SoA), Ihr Lieferantenregister, Register für Cloud-Services, Ihre vertraglichen Kontrollen, Incident-Playbooks und GDPR-Rechenschaftsnachweise eingeordnet wird.

Diese Unterscheidung ist wesentlich. NIS2 macht Lieferkettensicherheit und die Resilienz digitaler Infrastrukturen zu einem Aufsichtsthema. DORA stellt klar, dass Finanzunternehmen für IKT-Drittparteienrisiken verantwortlich bleiben, auch wenn Cloud-Services ausgelagert werden. GDPR verlangt von Verantwortlichen und Auftragsverarbeitern, eine rechenschaftspflichtige, rechtmäßige und sichere Verarbeitung nachzuweisen. ISO/IEC 27001:2022 verlangt ein abgegrenztes, risikobasiertes Managementsystem, das gesetzliche, regulatorische, vertragliche und Drittparteienabhängigkeiten berücksichtigt.

EUCS beseitigt diese Verpflichtungen nicht. EUCS liefert ein strukturiertes Nachweisobjekt, das bewertet, normalisiert, hinterfragt und wiederverwendet werden kann.

Der Ansatz von Clarysec ist einfach: Behandeln Sie EUCS als hochwertigen Input für die Lieferantensicherheit, nicht als Abkürzung zur Compliance. In Zenith Controls: The Cross-Compliance Guide beginnt der Cluster zur Cloud-Absicherung mit ISO/IEC 27002:2022-Maßnahme 5.23, Informationssicherheit bei der Nutzung von Cloud-Services, und verbindet ihn mit 5.20, Berücksichtigung von Informationssicherheit in Lieferantenvereinbarungen, sowie 5.22, Überwachung, Überprüfung und Änderungsmanagement von Lieferantendiensten. Diese drei Maßnahmen bilden das Rückgrat für eine belastbare Prüfung von EUCS-Nachweisen.

Warum Cloud-Absicherung unter NIS2, DORA und GDPR an ihre Grenzen kommt

Bis 2026 ist Cloud-Absicherung längst kein reiner Beschaffungs-Workflow mehr. Sie ist ein Thema für Leitungsorgan, Aufsicht und Audit.

Die NIS2-Richtlinie, Directive (EU) 2022/2555, erweitert die Cybersicherheitspflichten wesentlicher und wichtiger Einrichtungen. Ihr Geltungsbereich umfasst viele Sektoren, die stark auf Cloud Computing angewiesen sind; zur digitalen Infrastrukturlandschaft gehören Cloud-Computing-Dienste, Rechenzentrumsdienste, Content Delivery Networks, Vertrauensdiensteanbieter, DNS-Diensteanbieter und TLD-Namensregister. Managed Service Provider und Managed Security Service Provider stehen ebenfalls im Fokus.

Article 21 verlangt geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen, darunter Risikoanalyse, Verfahren zum Umgang mit Informationssicherheitsvorfällen, Aufrechterhaltung des Geschäftsbetriebs, Lieferkettensicherheit, sichere Beschaffung und Entwicklung, Umgang mit Schwachstellen, Wirksamkeitsbewertung, Cyberhygiene, Kryptografie, Zugriffskontrolle, Asset-Management und Authentifizierung. Article 23 schafft gestufte Erwartungen an die Vorfallmeldung, einschließlich Frühwarnung innerhalb von 24 Stunden und Vorfallmeldung innerhalb von 72 Stunden, vorbehaltlich der Richtlinie und der nationalen Umsetzung. Article 24 erlaubt den Mitgliedstaaten unter bestimmten Umständen, die Nutzung von IKT-Produkten, -Diensten oder -Prozessen zu verlangen, die nach europäischen Cybersicherheitszertifizierungsschemata zertifiziert sind. Article 25 fördert die Nutzung einschlägiger europäischer und internationaler Normen.

DORA, Regulation (EU) 2022/2554, ist für Finanzunternehmen noch direkter. Seit dem 17. Januar 2025 verlangt DORA von Finanzorganisationen, IKT-Risiken zu steuern, schwerwiegende IKT-bezogene Vorfälle zu melden, die digitale operationale Resilienz zu testen und IKT-Drittparteienrisiken zu steuern. Für Unternehmen in seinem Geltungsbereich wirkt DORA als sektorspezifischer Rechtsakt der Union für entsprechende Cybersicherheitspflichten, die sich mit nationalen NIS2-Regeln überschneiden.

DORA lässt keine Auslagerung der Rechenschaftspflicht zu. Articles 28 to 30 verlangen von Finanzunternehmen, Due Diligence durchzuführen, Konzentrationsrisiken zu bewerten, Register vertraglicher Vereinbarungen zu führen, verbindliche vertragliche Schutzmaßnahmen aufzunehmen, Audit- und Zugangsrechte zu sichern, Unterstützung bei Vorfällen sicherzustellen, mit zuständigen Behörden zusammenzuarbeiten und Exit-Strategien für IKT-Services aufrechtzuerhalten, die kritische oder wichtige Funktionen unterstützen.

GDPR, Regulation (EU) 2016/679, ergänzt die Ebene der Rechenschaftspflicht und des Datenschutzes. Article 5 verlangt von Verantwortlichen, Datenschutzgrundsätze einzuhalten und die Einhaltung nachweisen zu können. Article 28 regelt Beziehungen zu Auftragsverarbeitern und verlangt ausreichende Garantien der Auftragsverarbeiter. Article 32 verlangt geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Das Ergebnis ist ein Konvergenzproblem. Ein einzelner Cloud-Anbieter kann unter DORA eine kritische IKT-Drittpartei, in einer NIS2-Lieferkette ein direkter Lieferant und unter GDPR ein Auftragsverarbeiter oder Unterauftragsverarbeiter sein. Wenn die Absicherung über voneinander getrennte Fragebögen, Zertifizierungs-PDFs und Vertragsordner verwaltet wird, wird jedes Audit zur Rekonstruktion.

EUCS kann dieses Chaos reduzieren, aber nur, wenn es in ein gesteuertes Nachweismodell integriert wird.

Was EUCS nachweisen kann – und was nicht

Das EU Cybersecurity Certification Scheme for Cloud Services, allgemein als EUCS bezeichnet, soll einen europäischen Mechanismus zur Cloud-Absicherung im Rahmen des breiteren EU-Cybersicherheitszertifizierungsrahmens bereitstellen. Der praktische Wert liegt nicht allein im Label. Entscheidend sind der zugrunde liegende Zertifikatsumfang, die Vertrauenswürdigkeitsstufe, die bewerteten Services, Regionen, Rechtsträger, Bewertungsgrenzen, Gültigkeitsdauer und das Überwachungsmodell.

Die richtige Frage zur Cloud-Absicherung lautet nicht einfach: „Hat dieser Anbieter EUCS?“ Sie lautet:

• Welche konkreten Cloud-Services sind abgedeckt?
• Welche Regionen, Datenstandorte und Rechtsträger sind abgedeckt?
• Welche Vertrauenswürdigkeitsstufe gilt?
• Welche Bewertungsmethode wurde angewendet?
• Welche Annahmen zur geteilten Verantwortung verbleiben beim Kunden?
• Welche Nachweise dürfen gegenüber Kunden, Aufsichtsbehörden und Auditoren offengelegt werden?
• Wie wirkt sich das Zertifikat auf Auditrechte, Vorfallbenachrichtigung, Transparenz zu Unterauftragnehmern und Exit-Planung aus?

Ein Cloud-Zertifikat deckt selten Ihre Konfiguration ab. Wenn Ihre Organisation MFA deaktiviert, Speicher exponiert, übermäßige administrative Zugriffsberechtigungen vergibt, privilegierten Zugriff nicht protokolliert oder Regionen falsch konfiguriert, rettet die Zertifizierung des Anbieters Ihr Audit nicht.

Deshalb gehört EUCS in eine Nachweismatrix, nicht auf ein Podest. EUCS kann die anbieterseitige Absicherung unterstützen, aber Ihre Organisation muss weiterhin ihre eigenen Governance-, Konfigurations-, Vertrags- und Überwachungskontrollen nachweisen.

Der Zenith Blueprint: An Auditor’s 30-Step Roadmap macht dies in der Phase Risikomanagement, Step 13, Risikobehandlungsplanung und Anwendbarkeitserklärung, deutlich:

Die SoA ist im Ergebnis ein Brückendokument: Sie verknüpft Ihre Risikobeurteilung und Risikobehandlung mit den tatsächlich vorhandenen Kontrollen. Durch ihre Erstellung prüfen Sie zugleich, ob Kontrollen übersehen wurden.

Genau dieses Denkmodell ist für EUCS richtig. Das Zertifikat ist ein Lieferantennachweis. Ihre Anwendbarkeitserklärung (SoA) erläutert, warum die zugehörigen Kontrollen anwendbar sind, wie Ihre Organisation ihren Anteil an der geteilten Verantwortung umgesetzt hat, welche Lieferantennachweise anerkannt wurden und welche Restrisiken verbleiben.

Das ISO 27001-Rückgrat für EUCS-Nachweise

ISO/IEC 27001:2022 gibt EUCS einen festen Platz. Die Norm verlangt, dass Organisationen interne und externe Themen verstehen, interessierte Parteien und Anforderungen identifizieren, den ISMS-Geltungsbereich definieren, Führungsverantwortlichkeiten zuweisen, Risiken beurteilen, Kontrollen auswählen, eine Anwendbarkeitserklärung (SoA) pflegen und sich kontinuierlich verbessern.

Für die Cloud-Absicherung sollte EUCS mindestens in sechs ISMS-Artefakten verankert werden.

Die Richtlinienbibliothek von Clarysec überführt diese Anforderungen in betriebliche Disziplin.

Die SME-Cloud Usage Policy - SME, Abschnitt Governance-Anforderungen, clause 5.2, setzt eine Baseline für genehmigte Cloud-Services:

Genehmigte Cloud-Services müssen die folgenden Baseline-Kriterien erfüllen: 5.2.1 Der Anbieter verfügt über einen starken Ruf in Bezug auf Verfügbarkeit und Sicherheit 5.2.2 Multi-Faktor-Authentifizierung (MFA) wird unterstützt und kann aktiviert werden 5.2.3 Datenresidenz und Datenschutzpraktiken erfüllen die anwendbaren gesetzlichen Anforderungen (z. B. GDPR) 5.2.4 Der Service stellt sichere Zugriffskontrollen, Protokollierung und Datenschutzfunktionen bereit

Ein EUCS-Zertifikat kann 5.2.1 sowie Teile von 5.2.3 und 5.2.4 unterstützen. Es weist nicht nach, dass in Ihrem Tenant MFA aktiviert, Protokollierung konfiguriert, Datenresidenz durchgesetzt oder administrativer Zugriff überprüft wurde.

Für größere Organisationen legt die Enterprise-Richtlinie zur Nutzung von Cloud-Diensten, Abschnitt Governance-Anforderungen, clause 5.2, die Messlatte höher:

Jede Cloud-Nutzung muss vor Aktivierung einer risikobasierten Due Diligence unterzogen werden, einschließlich Anbieterbewertung, Validierung der Einhaltung gesetzlicher Anforderungen und Prüfungen zur Kontrollvalidierung.

Dieser Satz ist die Richtlinienposition, der jede EUCS-Prüfung folgen sollte: Anbieterbewertung, Validierung der gesetzlichen Compliance und Kontrollvalidierung – keine blinde Anerkennung.

EUCS ISO 27001, NIS2, DORA und GDPR zuordnen

EUCS wird auditfähig, wenn Zertifikatsfakten Verpflichtungen zugeordnet werden. Ein CISO sollte eine Cloud-Absicherungsmatrix für mehrere Frameworks erstellen, die Anbieternachweise in wiederverwendbare Kontrollnachweise übersetzt.

Diese Tabelle dient nicht nur der Compliance-Dokumentation. Sie ist die Brücke zwischen der Absicherung durch den Anbieter und der Rechenschaftspflicht Ihrer Organisation.

NIS2 fragt, ob Ihre Einrichtung geeignete und verhältnismäßige Maßnahmen getroffen hat. DORA fragt, ob Ihr Finanzunternehmen IKT-Drittparteienrisiken durch Due Diligence, Verträge, Überwachung und Exit-Planung steuert. GDPR fragt, ob die Verarbeitung personenbezogener Daten rechtmäßig, sicher und nachweisbar ist. ISO/IEC 27001:2022 fragt, ob all dies in ein risikobasiertes Managementsystem integriert ist.

Ein praktisches Beispiel: EUCS-Prüfung für einen Cloud-Analytics-Anbieter

Zurück zu Amelias Fintech, Northstar Pay. Das Unternehmen möchte eine Cloud-Analytics-Plattform für Betrugserkennung und Transaktionsberichte einführen. Der Anbieter legt ein EUCS-Zertifikat vor und behauptet, dies müsse die Sicherheitsprüfung erfüllen.

Clarysec würde die Nachweisprüfung in sechs Schritten strukturieren.

Step 1: Register für Cloud-Services aktualisieren

Die Cloud Usage Policy - SME, Abschnitt Governance-Anforderungen, clause 5.3, verlangt ein Register, das Name des Cloud-Services, Zweck, verantwortlichen Eigentümer, Datentypen, Land oder Region, Zugriffsberechtigungen, administrative Konten, Vertragsdetails, Verlängerungstermine und Supportkontakte erfasst.

Für Unternehmen beginnt die Richtlinie zur Nutzung von Cloud-Diensten, Abschnitt Governance-Anforderungen, clause 5.1, mit der Verantwortlichkeit:

Die Organisation muss ein zentrales Register für Cloud-Services führen, das dem CISO zugeordnet ist und Folgendes enthält:

Northstar Pay erfasst den Service vor der Genehmigung, nicht erst nach der Produktivsetzung.

Step 2: Zertifikatsumfang validieren

Das Team prüft, ob das EUCS-Zertifikat den konkreten Analytics-Service, das Bereitstellungsmodell, die Region und den Rechtsträger abdeckt, den Northstar Pay nutzen wird. Wenn das Zertifikat Infrastrukturdienste abdeckt, das Analytics-Modul jedoch ausschließt, ist der Nachweiswert begrenzt.

An dieser Stelle scheitern viele Audits. Der Anbieter sagt „zertifiziert“, aber der Kunde kann nicht zeigen, dass das Zertifikat für den Service gilt, der regulierte Daten verarbeitet.

Step 3: EUCS Risikobehandlung und SoA zuordnen

Unter Nutzung von Zenith Blueprint, Step 13, ordnet Northstar Pay das Zertifikat dem Risikoregister und der Anwendbarkeitserklärung (SoA) zu.

Die SoA erfasst anschließend die ISO/IEC 27002:2022-Maßnahmen 5.20, 5.22 und 5.23 als anwendbar, weil die Organisation Cloud-Services für regulierte Verarbeitung und wichtige Analytics-Workflows nutzt.

Step 4: Vertragsklauseln und Auditrechte bestätigen

Die SME-Third-Party and Supplier Security Policy - SME, Abschnitt Governance-Anforderungen, clause 5.3, verlangt verbindliche Vertragsklauseln:

Verträge müssen verbindliche Klauseln enthalten zu: 5.3.1 Vertraulichkeit und Geheimhaltung 5.3.2 Verpflichtungen zur Informationssicherheit 5.3.3 Fristen zur Meldung von Datenschutzverletzungen (z. B. innerhalb von 24–72 Stunden) 5.3.4 Auditrechten oder Verfügbarkeit von Nachweisen der Einhaltung 5.3.5 Beschränkungen für weitere Unterauftragsvergabe ohne Genehmigung 5.3.6 Beendigungsbedingungen, einschließlich sicherer Datenrückgabe oder Vernichtung

EUCS-Nachweise und vertragliche Rechte erfüllen unterschiedliche Zwecke. Das Zertifikat unterstützt die Absicherung. Der Vertrag schafft Durchsetzbarkeit.

Die Enterprise-Richtlinie zur Lieferanten- und Drittparteiensicherheit, Abschnitt Anforderungen an die Umsetzung der Richtlinie, clause 6.1.2.2, nennt ausdrücklich:

Prüfung von Auditberichten (z. B. SOC 2, ISO 27001, ISAE 3402)

EUCS gehört in diese Nachweisfamilie, neben anderen Assurance-Berichten. Es darf die Vertragsprüfung, Auditrechte, Unterstützung bei Vorfällen oder Exit-Strategieklauseln, die DORA verlangt, nicht ersetzen.

Step 5: Datenresidenz für regulierte Daten durchsetzen

Die Richtlinie zur Nutzung von Cloud-Diensten, Abschnitt Anforderungen an die Umsetzung der Richtlinie, clause 6.6.2, legt fest:

Anforderungen an die Datenresidenz müssen vertraglich durchgesetzt werden (z. B. EU-only-Speicherung für GDPR-regulierte Daten).

Für GDPR-Rechenschaftspflicht ist ein Zertifikat, das regionale Kontrollen beschreibt, nützlich. Es reicht dennoch nicht aus. Northstar Pay benötigt den Auftragsverarbeitungsvertrag, eine vertragliche EU-only-Speicherklausel, Nachweise zur Tenant-Konfiguration und eine Methode zur Überwachung von Änderungen.

Wenn die Analytics-Plattform Administratoren erlaubt, Regionen auszuwählen, sollte die Auditakte Konfigurations-Screenshots, exportierte Einstellungen oder andere Aufzeichnungen enthalten, die die genehmigte EU-Region belegen.

Step 6: Jährliche und ereignisgesteuerte Überprüfungen einplanen

Die Third-Party and Supplier Security Policy - SME, Abschnitt Anforderungen an die Umsetzung der Richtlinie, clause 6.3.1, verlangt eine jährliche Überprüfung kritischer oder risikobehafteter Lieferanten, um sichere Zugriffsmethoden, gültige Sicherheitszertifizierungen oder aktualisierte Kontrollnachweise, Vorfallhistorie und Einhaltung vertraglicher Anforderungen zu verifizieren.

Die Überprüfung sollte außerdem ausgelöst werden, wenn der Anbieter Unterauftragnehmer, Regionen, Services, Identitätsarchitektur, Verschlüsselungsmodell, Vorfallhistorie oder Zertifikatsstatus ändert. Assurance-Nachweise altern, und Lieferantenrisiko ist nicht statisch.

Das Clarysec-EUCS-Nachweispaket

Ein ausgereiftes EUCS-Assurance-Paket umfasst mehr als die Zertifikats-PDF. Clarysec strukturiert die Nachweise in sieben Abschnitte.

Die Richtlinie zur rechtlichen und regulatorischen Einhaltung, Abschnitt Anforderungen an die Umsetzung der Richtlinie, clause 6.2.1, bringt das Betriebsprinzip auf den Punkt:

Alle gesetzlichen und regulatorischen Verpflichtungen müssen spezifischen Richtlinien, Kontrollen und Verantwortlichen innerhalb des Informationssicherheits-Managementsystems (ISMS) zugeordnet werden.

Das ist der Unterschied zwischen dem Sammeln von Zertifikaten und dem Aufbau eines belastbaren Betriebsmodells für Compliance.

Nachweise zu Vorfällen und Resilienz: wo EUCS nicht ausreicht

NIS2 und DORA machen Vorfallbereitschaft und Resilienz zu einem ernsthaften Test der Cloud-Governance.

Das EUCS-Zertifikat eines Cloud-Anbieters kann zeigen, dass der Anbieter Incident-Management-Kontrollen hat. Ihre Organisation muss dennoch wissen, wer Benachrichtigungen erhält, wie Warnmeldungen triagiert werden, wie Nachweise gesichert werden, wie Auswirkungen auf personenbezogene Daten bewertet werden und wer mit Aufsichtsbehörden, Kunden und interner Führung kommuniziert.

Für NIS2 müssen Benachrichtigungsklauseln des Anbieters Frühwarnungs- und Vorfallmeldepflichten unterstützen. Für DORA müssen Cloud-Vorfälle in Klassifizierung, Eskalation, Meldung und Kundenkommunikation für IKT-bezogene Vorfälle einfließen. Für GDPR muss der Workflow für Datenschutzverletzungen die Bewertung unterstützen, ob eine Verletzung des Schutzes personenbezogener Daten eingetreten ist und ob eine Meldung an die Aufsichtsbehörde oder betroffene Personen erforderlich ist.

NIST CSF 2.0 ist hier als Integrationssprache nützlich. Die Functions GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND und RECOVER helfen Organisationen, gesetzliche Verpflichtungen und technische Kontrollen in operative Ergebnisse zu übersetzen. Die Ergebnisse zur Lieferkette verlangen, dass Lieferanten bekannt, priorisiert, vertraglich gesteuert, überwacht, in die Vorfallplanung einbezogen und bei Beendigung gesteuert werden. Die Ergebnisse zu Reaktion und Wiederherstellung umfassen Triage, Eskalation, Drittparteienkoordination, Benachrichtigung von Interessenträgern, Wiederherstellungsausführung und Verifikation der Wiederherstellung.

Das Zertifikat gehört in die Akte. Das Playbook weist Bereitschaft nach.

Wie Auditoren EUCS-Nachweise prüfen werden

Verschiedene Auditoren betrachten Cloud-Absicherung aus unterschiedlichen Blickwinkeln. Ein Nachweismodell für mehrere Frameworks verhindert, dass dieselben Fakten für jede Prüfung neu zusammengesetzt werden müssen.

Zenith Blueprint, Phase Controls in Action, Step 23, weist darauf hin, dass Cloud-Kontrollen besonders intensiv geprüft werden:

Diese Kontrolle wird häufig besonders kritisch geprüft. Auditoren werden fragen:

✓ „Welche Cloud-Services nutzen Sie?“ ✓ „Wer hat sie genehmigt?“ ✓ „Wie stellen Sie sicher, dass Daten geschützt sind?“

Diese Fragen sind der Kern der EUCS-Absicherung. Ein Zertifikat kann helfen zu beantworten, wie anbieterseitiger Schutz nachgewiesen wird; es kann jedoch nicht beantworten, welche Services genutzt werden oder wer sie genehmigt hat, wenn Ihr Register für Cloud-Services und Ihr Genehmigungs-Workflow nicht aktuell sind.

Häufige Fehler bei der EUCS-Absicherung vermeiden

Der erste Fehler besteht darin, EUCS als universellen Freifahrtschein zu behandeln. Es handelt sich um Nachweise mit einem definierten Umfang. Wenn das Zertifikat den gekauften Service, die Region, das Bereitstellungsmodell oder den Rechtsträger nicht abdeckt, kann sein Assurance-Wert begrenzt sein.

Der zweite Fehler ist die Verwechslung von Anbieter- und Kundenkontrollen. Eine Anbieterzertifizierung weist nicht nach, dass Tenant-MFA, RBAC, Protokollierung, Verschlüsselungseinstellungen, Backups, administrative Berechtigungsüberprüfung oder Überwachung umgesetzt sind.

Der dritte Fehler ist das Übersehen der DORA-Vertragsanforderungen. Finanzunternehmen benötigen schriftliche Rechte und Pflichten, einschließlich Servicebeschreibungen, Datenstandorten, Anforderungen an die Informationssicherheit, Zugangs- und Auditrechten, Service Levels, Unterstützung bei Vorfällen, Zusammenarbeit mit Behörden, Beendigungsrechten und Exit-Strategien für kritische oder wichtige Funktionen.

Der vierte Fehler ist das Ignorieren von GDPR-Nachweisen. Formulierungen zur Datenresidenz, Transparenz zu Unterauftragsverarbeitern, Behandlung von Datenschutzverletzungen, rechtmäßige Verarbeitung und Rechenschaftsaufzeichnungen bleiben notwendig. EUCS kann Sicherheitsnachweise nach Article 32 unterstützen, definiert aber weder Ihre Rechtsgrundlage noch Ihren Verarbeitungszweck oder Ihre Aufbewahrungsregeln.

Der fünfte Fehler ist die fehlende Überwachung des Zertifikatsstatus. Wenn die Zertifizierung abläuft, sich der Umfang ändert, Überwachungsfeststellungen auftreten oder der Anbieter seine Architektur ändert, muss Ihre Lieferantenrisikoüberprüfung diese Änderung erfassen.

Praktische EUCS-Prüfcheckliste für 2026

Verwenden Sie diese Checkliste, bevor Sie EUCS als Nachweis zur Sicherheit und Vertrauenswürdigkeit eines Cloud-Anbieters akzeptieren:

• Zertifizierungsschema, Vertrauenswürdigkeitsstufe, Zertifikatsinhaber und Gültigkeitsdauer bestätigen.
• Konkrete Services, Regionen, Bereitstellungsmodelle und Rechtsträger im Geltungsbereich bestätigen.
• Zertifikatsumfang mit dem Eintrag in Ihrem Register für Cloud-Services vergleichen.
• Nachweise den ISO/IEC 27002:2022-Maßnahmen 5.20, 5.22 und 5.23 zuordnen.
• Risikoregister und SoA mit Zertifikatsnachweisen und Restrisiko aktualisieren.
• Kundenseitige Kontrollen validieren, insbesondere Identität, MFA, Protokollierung, Verschlüsselung, Backups und Administratorzugriff.
• Datenresidenz-, Unterauftragsverarbeiter-, Benachrichtigungs-, Auditnachweis- und Beendigungsklauseln bestätigen.
• Vorfallbenachrichtigungswege mit den Zeitvorgaben von NIS2, DORA und GDPR verknüpfen.
• Konzentrationsrisiko und Exit-Strategie für kritische oder wichtige Services überprüfen.
• Jährliche Überprüfung und ereignisgesteuerte Neubewertung einplanen.

EUCS-Nachweise in Ihrem ISMS wirksam machen

EUCS-Cloud-Zertifizierung kann die Nachweislage zur Sicherheit und Vertrauenswürdigkeit von Cloud-Anbietern im Jahr 2026 wesentlich verbessern. Sie kann Fragebogenmüdigkeit reduzieren, Lieferanten-Due-Diligence stärken und Nachweise für ISO 27001, NIS2, DORA und GDPR unterstützen. Belastbar wird sie aber erst, wenn sie in Ihr Governance-System eingeordnet wird.

Clarysec unterstützt Organisationen dabei, Cloud-Zertifizierungsnachweise über Zenith Blueprint, Zenith Controls, Richtlinie zur Nutzung von Cloud-Diensten, Cloud Usage Policy - SME, Third-Party and Supplier Security Policy - SME, Richtlinie zur Lieferanten- und Drittparteiensicherheit und Richtlinie zur rechtlichen und regulatorischen Einhaltung in auditfähige Compliance-Prozesse zu überführen.

Wenn Ihre Roadmap für 2026 EUCS, NIS2-Bereitschaft, IKT-Drittparteienrisiko nach DORA, GDPR-Cloud-Verarbeitung oder ISO/IEC 27001:2022-Zertifizierung umfasst, beginnen Sie mit einer praktischen Maßnahme: Erstellen Sie Ihr Register für Cloud-Services, hinterlegen Sie Nachweise zur Anbieterabsicherung und ordnen Sie jeden kritischen Cloud-Service Risiken, Verträgen, Kontrollen und Verantwortlichen zu. Genau dort wird Cloud-Absicherung belastbar.