Sektor

Dienstleistung & Beratung

BSI C5 · GDPR · DORA (bei Finanzbezug) · ISO 27001 · Berufsrechtliche Pflichten nach HGB / BGB.

Sektorale Risiken

Mandantendaten in nicht-europäischen Kollaborationsplattformen
Beratungsprojekte werden über US-jurisdizierte Tools (Kollaboration, Dokumentenmanagement, Videokonferenz) abgewickelt. Mandantengeheimnis und Vertraulichkeit sind strukturell gefährdet.
Subunternehmer-Ketten ohne Souveränitätsprüfung
Große Beratungs- und Dienstleistungsprojekte involvieren mehrere Subunternehmerebenen. Die Lieferkettentransparenz endet typischerweise nach der ersten Ebene.
Know-how-Exfiltration über Beraterzugänge
Berater erhalten weitreichende Zugänge zu Kundensystemen, Prozessen und Daten. Fehlende Exit- und Zugriffsprotokollierung birgt strukturelle Exfiltrationsrisiken.
Cloud-Transformationsprojekte mit implizitem Lock-in
Beratungsleistungen zur Cloud-Migration werden von Anbietern erbracht, die gleichzeitig die Zielplattform vertreiben. Interessenkonflikt und technische Abhängigkeit sind nicht immer transparent.
Audit- und Prüfungsabhängigkeit
Prüfungs- und Zertifizierungsleistungen konzentrieren sich auf wenige Anbieter. Die Unabhängigkeit und die Souveränität des Prüfprozesses selbst sind ein Governance-Risiko.

Regelwerk	Status	Wesentliche Anforderung	Anschluss an EDSO
BSI C5	Empfehlung	Cloud-Betriebssicherheit	Anker für D2
GDPR	EU-Verordnung	Auftragsverarbeitung, Drittlandstransfer	Anker für D1 und D2
DORA	verbindlich	Kritische IKT-Drittparteien (bei Finanzmandaten)	Anker für D4 bei Finanzbezug
ISO 27001	Standard	Informationssicherheitsmanagement	Anker für D6
Berufsrechtliche Pflichten (HGB / BGB)	gesetzlich	Sorgfalt, Geheimnisschutz	Anker für D1

Anwendungsfall	Gesamt	D1	D2	D3	D4	Begründung
Beratung kritischer Infrastruktur (KRITIS)	L3	L3	L3	L3	L3	NIS2-Bezug, hohe Verantwortung.
Cloud-Transformationsprojekt (Systemintegrator)	L3	L3	L3	L3	L3	Datenhoheit und Lieferkettentransparenz erforderlich.
Audit-Unterstützung / ISMS-Beratung	L3	L3	L3	L2	L2	Vertrauensposition, Governance-Pflichten.
Standard-IT-Beratung (Projektgeschäft)	L2	L2	L2	L2	L2	Geringes systemisches Risiko, Standardnachweise.
Marketing- / Design-Agentur	L2	L2	L2	L2	L2	Geringes Souveränitätsrisiko.

Szenario: Ein Systemhaus berät einen Energieversorger bei der SAP-S/4HANA-Migration.
Risiken: Zugriff auf kritische Geschäftsprozesse, Subunternehmer in Drittstaaten, Cloud-Hosting der Migrationsumgebung.
EDSO-Anwendung: L3 zwingend; D4 = L3 für Subunternehmertransparenz.
Vorgehen: Self-Assessment des Beraters, Register-Eintrag, vertragliche Souveränitätsklauseln.

Szenario: Ein IT-Dienstleister führt die Migration eines Produktionsunternehmens in eine europäische Cloud durch.
Risiken: Mischbetrieb, Datenreste, nicht-dokumentierte Subunternehmer, impliziter Lock-in.
EDSO-Anwendung: L3 für den Transformationsanbieter; D3 = L3 für dokumentierte Schnittstellen und Wechselpfade.
Vorgehen: Level-Rechner, Lückenanalyse, Pilotzertifizierung nach Projektabschluss.

Szenario: Ein Beratungshaus unterstützt den internen Audit eines Versicherers bei der VAIT-Umsetzung.
Risiken: Audit-Ergebnisse in US-Kollaborationsplattformen, Beraterzugang zu sensiblen Systemen, fehlende Exit-Dokumentation.
EDSO-Anwendung: L3; D2 = L3 für Mandantendaten, D6 = L3 für Audit-Unabhängigkeit.
Vorgehen: Vertragliche Auflagen, Self-Assessment, Register-Veröffentlichung als Referenz.

Mit voreingestellten Sektor-Parametern

Anbieter und Dienste mit Sektor-Filter

Sektor voreingestellt, in ca. 20 Minuten

EDSO für IT-Dienstleister und Berater — Praxisleitfaden für IT-Beratungshäuser mit Mandantenschutz und Lieferkettentransparenz.
Beratungs-Lastenheft EDSO L3 — Vergabe-Vorlage für Beratungsleistungen mit Souveränitätsanforderungen.

Derzeit keine sektor-spezifischen Konsultationen.

Anwendungsrat — Quadrant Anbieter / Sektor Dienstleistung & Beratung — Sektor-Sprecherin