Drei Regelwerke greifen ineinander. Sie unterscheiden sich im Geltungsbereich, teilen aber das Prinzip: dem Risiko angemessene, belegbare technische Maßnahmen.

gilt für alleDSGVO Art. 32

Angemessene technische Maßnahmen zum Schutz personenbezogener Daten, inklusive regelmäßiger Überprüfung der Wirksamkeit.

Frist 17.10.2024 · 18 SektorenNIS2

Risikomanagement, Meldepflichten und Leitungsverantwortung für kritische und wichtige Einrichtungen.

ab 17.01.2025 · FinanzsektorDORA

Digitale operationale Resilienz, inklusive regelmäßiger Tests der IKT-Systeme, zu denen APIs zentral gehören.

Von innen nach außen: DSGVO trifft jede Organisation mit personenbezogenen Daten, NIS2 zusätzlich 18 kritische Sektoren, DORA den Finanzsektor.

Was das für APIs konkret heißt

Sie müssen zeigen können, dass relevante Endpunkte getestet wurden, was dabei gefunden wurde und wie es behandelt wird. Ein Score ohne Beleg reicht im Audit nicht. Ein API-Leak ist zudem ein meldepflichtiger Vorfall, mit Fristen und Konsequenzen.

Was auf dem Spiel steht

Die DSGVO ahndet Verstöße gegen die Sicherheit der Verarbeitung (Art. 32) nach der unteren Bußgeldstufe mit bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Schwerere Verstöße reichen bis 20 Mio. Euro oder 4%.

Kern

Prüfer wollen keinen Score, sondern den Beweis: welcher Endpunkt, welche Prüfung, welches Ergebnis, welcher Umgang damit.

Vom Befund zum Nachweis

Genau hier setzt der nachvollziehbare Befund an: Jeder Fund von Venedy bringt sein Protokoll mit, wer was entschieden hat und warum. Aus demselben Protokoll entsteht der Compliance-Nachweis, je Befund nach DORA und NIS2 eingeordnet. Der Beweis fällt als Nebenprodukt der Prüfung an, nicht als separate Fleißarbeit.

Quellen

Weiterlesen