Hier werden die wesentlichen Änderungen des aktualisierten Mindeststandards gegenüber der jeweiligen Vorgängerversion aufgeführt. Um die Liste übersichtlich zu halten und einen Abgleich zu erleichtern, werden dabei nur größere inhaltliche Änderungen aufgelistet. Strukturelle und sprachliche Anpassungen sowie kleinere Aktualisierungen (z. B. Versionsänderung bei referenzierten Dokumenten) werden daher nicht oder nur zusammengefasst beschrieben.

Version 2.1 vom 15.12.2022

Allgemein

• Neues standardisiertes Vorwort
• Aktualisierung von Literaturverweisen (insbes. bzgl. IT-Grundschutz-Kompendium, Edition 2022)
• Änderung zu genderneutralen Bezeichnungen

Kapitel 1

• Ergänzung der Definition "Mitnutzung"
• Korrektur eines internen Verweises
• Änderungen im Unterkapitel "1.2 Modalverben" (MST-Standard)

Kapitel 2

• Ergänzung mehrerer Anforderungen um Fußnoten auf IT-Grundschutz-Anforderungen (→ Referenztabelle)

• NCD.2.1.01:

  • Begriffsänderung "Strategie für die Cloud-Nutzung" (gemäß IT-Grundschutz-Kompendium), auch im weiteren Dokument
  • Begriffsänderung "Richtlinie zur Risikoanalyse" (gemäß BSI-Standard 200-3, inkl. neuer Fußnote dazu), auch im weiteren Dokument
  • Buchstaben c und d: Unbestimmter Artikel ("ein externer Cloud-Dienst")

• NCD.2.1.03:

  • Buchstabe c: Satzumstellung zur Vorbeugung von Missverständnissen

• NCD.2.1.03:

  • Buchstabe c: Satzumstellung zur Vorbeugung von Missverständnissen
  • Buchstabe e: Einfügen einer Fußnote zu "dienstlichen Daten" (hierher verschoben aus Kapitel 1)
  • Buchstabe f: Ergänzung von "Betriebs- und Geschäftsgeheimnissen" in Datenkategorie 1 (auch in Buchstabe h)

• Kapitel 2.2, Einleitung:

  • Ergänzender Satz zur Nutzung des neuen "EVB-IT Cloud" (inkl. Fußnote und Literaturverweis/Link)

• NCD.2.2.01:

  • Buchstabe e (Fußnote): Korrektur der Quellenangabe im C5
  • Buchstabe i: Ergänzung um Dokumentationspflicht bzgl. Risikobehandlung

• NCD.2.2.02:

  • Anforderungstitel leicht verändert

    • Ebenso in: NCD.2.2.03, NCD.2.2.04, NCD.2.2.06, NCD.2.2.07
  • Buchstabe a (Fußnote): Korrektur der Quellenangabe im C5
  • Buchstabe b, Unterpunkt ii: Begriffskorrektur zu "Subdienstleistungsunternehmen"
  • Buchstabe d: Begriffsvereinheitlichung zu "Cloud-Diensteanbieter"

• NCD.2.2.04:

  • Buchstabe b: Begriffsvereinheitlichung zu "Cloud-Diensteanbieter"

• NCD.2.2.05:

  • Anforderungstitel korrigiert (nach Änderung in Version 2.0)

• NCD.2.3.01:

  • Anforderungstitel leicht verändert

    • Ebenso in: NCD.2.3.02, NCD.2.3.03, NCD.2.3.04
  • Buchstabe b: Korrektur zu "C5-Bericht"
  • Buchstabe b (Fußnote): Ergänzung des Hinweises und Korrektur des Verweises

• NCD.2.3.04:

  • Buchstabe a: Unterpunkte als Liste formatiert, nicht mehr als Aufzählung

• NCD.2.3.05:

  • Anforderungstitel geändert in "Multi-Faktor-Authentisierung"
  • Buchstaben a und b: Änderung zu "Multi-Faktor-Authentisierung"

• NCD.2.4.01:

  • Anforderungstitel leicht verändert

    • Ebenso in: NCD.2.4.02

• Kapitel 2.5:

  • Kleine Ergänzung der Fußnote 41 bzgl. Mitnutzung

• NCD.2.5.01:

  • Buchstabe f: Neue Anforderung bzgl. Löschfristen bei der Mitnutzung (Ergänzung stammt noch aus dem Konsultationsverfahren zu Version 2.0)
  • Buchstabe g: Bisheriger Buchstabe f, Verschiebung durch Einfügung oben

Version 2.0 vom 07.07.2021

Allgemein

• Anforderungen zur Mitnutzung externer Cloud-Dienste sind jetzt im Kapitel 2.5 aufgeführt, der bisher eigenständig geführte Mindeststandard hierzu entfällt.
• Der jährliche Informationsaustausch zum 31.01. ist entfallen.
• Der Anwendungsbereich in Kapitel 1 ist konkretisiert, insbesondere durch den Fokus auf die Verarbeitung dienstlicher Daten.
• Die Sicherheitsanforderungen sind an den neuen Kriterienkatalog Cloud Computing (C5:2020) des BSI angepasst.
• Die Sicherheitsanforderungen sind mit dem IT-Grundschutz-Baustein OPS.2.2 „Cloud-Nutzung“ stärker verzahnt.
• In den Sicherheitsanforderungen werden Modal-Verben (MUSS, SOLL etc.) nun durchgängig genutzt, analog zum IT-Grundschutz-Kompendium.

Sicherheitsanforderungen

Planungsphase

• Die Anforderungen NCD.2.1.01 bis 04 beschreiben auf der Basis des IT-Grundschutz-Bausteins OPS.2.2 "Cloud-Nutzung" die grundlegenden Schritte bei der Planung der Nutzung externer Cloud-Dienste.
• Diese Anforderungen waren in der Version 1.0 noch nicht enthalten.

Beschaffungsphase

• Die Anforderungen NCD.2.2.01 bis 07 beschreiben die notwendigen Schritte bei der Beschaffung externer Cloud-Dienste.
• Diese Anforderungen ersetzen bzw. ergänzen die Anforderungen CD.01 bis 13 aus der Version 1.0 des Mindeststandards zur Nutzung externer Cloud-Dienste.

Einsatzphase

• Die Anforderungen NCD.2.3.01 bis 05 beschreiben die notwendigen Schritte beim Einsatz externer Cloud-Dienste.
• Diese Anforderungen ersetzen bzw. ergänzen die Anforderungen CD.14 bis 18 aus der Version 1.0 des Mindeststandards zur Nutzung externer Cloud-Dienste.

Beendigungsphase

• Die Anforderungen NCD.2.4.01 und 02 beschreiben die notwendigen Schritte bei der Beendigung der Nutzung externer Cloud-Dienste.
• Diese Anforderungen ersetzen bzw. ergänzen die Anforderungen CD.19 und 20 aus der Version 1.0 des Mindeststandards zur Nutzung externer Cloud-Dienste.

Mitnutzung

• Die Anforderung NCD.2.5.01 beschreibt die notwendigen Schritte bei der Mitnutzung externer Cloud-Dienste.
• Diese Anforderungen ersetzen bzw. ergänzen die Anforderungen MCD.2.1.01 bis 21 sowie MCD.2.2.01 bis 03 aus der Version 1.0 des Mindeststandards zur Mitnutzung externer Cloud-Dienste.
• Ergänzend zur Version 1.0 erfolgt hier der Verweis auf die Anforderungen NCD.2.1.01 sowie NCD.2.1.03.