Regulatorisches Mapping

Art. 28

Auftragsverarbeiter – vertragliche Anforderungen

SOV-080 · SOV-100

Art. 30

Verzeichnis von Verarbeitungstätigkeiten

SOV-010 · SOV-080

Art. 32

Technische und organisatorische Maßnahmen

SOV-020 · SOV-030 · SOV-040 · SOV-050 · SOV-060 · SOV-070 · SOV-090

Art. 33

Meldung von Datenpannen

Art. 44

Allgemeine Grundsätze der Datenübermittlung

SOV-010 · SOV-020 · SOV-030 · SOV-040 · SOV-090

Art. 46

Übermittlung mit geeigneten Garantien

SOV-010 · SOV-020 · SOV-030 · SOV-080 · SOV-090 · SOV-100

BSI C5:2020

Der BSI Cloud Computing Compliance Criteria Catalogue wird vollständig durch die Sovereign-Säule abgedeckt.

BSI C5 Control	Anforderungsbereich	WAF++ Controls
OPS-04	Datenverwaltung und Datenlokalität	SOV-010 · SOV-020 · SOV-030 · SOV-040 · SOV-080 · SOV-090
OPS-06	Betriebsübergabe / Exit-Management	SOV-100
INF-01	Geographische Lage der Infrastruktur	SOV-020
NET-01	Netzwerksicherheit	SOV-090
LOG-01	Protokollierung von Sicherheitsereignissen	SOV-040 · SOV-070
LOG-02	Schutz der Protokolldaten	SOV-040
IAM-01	Identitäts- und Zugriffsmanagement	SOV-060
IAM-03	Privilegierter Zugriff	SOV-060 · SOV-070
IAM-05	Überprüfung von Zugriffsrechten	SOV-060
CRY-01	Kryptographische Verfahren	SOV-050
CRY-02	Schlüsselverwaltung	SOV-050
BCM-01	Business Continuity Management	SOV-030
BCM-02	Notfallplanung und -tests	SOV-070
SCA-01	Lieferkette / Subunternehmer	SOV-080
SIM-01	Sicherheitsvorfallmanagement	SOV-010
SIM-02	Erkennung von Sicherheitsvorfällen	SOV-090
PRO-01	Portabilität und Interoperabilität	SOV-100

BSI C5 Control

Anforderungsbereich

WAF++ Controls

OPS-04

Datenverwaltung und Datenlokalität

SOV-010 · SOV-020 · SOV-030 · SOV-040 · SOV-080 · SOV-090

OPS-06

Betriebsübergabe / Exit-Management

INF-01

Geographische Lage der Infrastruktur

SOV-020

NET-01

Netzwerksicherheit

LOG-01

Protokollierung von Sicherheitsereignissen

LOG-02

Schutz der Protokolldaten

SOV-040

IAM-01

Identitäts- und Zugriffsmanagement

IAM-03

Privilegierter Zugriff

SOV-060 · SOV-070

IAM-05

Überprüfung von Zugriffsrechten

CRY-01

Kryptographische Verfahren

CRY-02

Schlüsselverwaltung

BCM-01

Business Continuity Management

BCM-02

Notfallplanung und -tests

SCA-01

Lieferkette / Subunternehmer

SIM-01

Sicherheitsvorfallmanagement

SIM-02

Erkennung von Sicherheitsvorfällen

PRO-01

Portabilität und Interoperabilität

EUCS – EU Cybersecurity Certification Scheme for Cloud Services (ENISA)

EUCS Control	Anforderungsbereich	WAF++ Controls
SOV-01 / SOV-02	Datensouveränität – geografische Einschränkungen	SOV-020
SOV-03	Kryptographische Datensouveränität	SOV-050
DSP-01	Datenklassifizierung	SOV-010
DSP-04	Datensicherung und -wiederherstellung	SOV-030
IAM-01	Zugriffssteuerungsrichtlinie	SOV-060
IAM-03	Privilegierter Zugriff	SOV-060 · SOV-070
IAM-04	Zugriffsrichtlinie für Dritte	SOV-010 · SOV-080
LOG-01	Protokollierung	SOV-040 · SOV-070
IVS-09	Netzwerksicherheit	SOV-040 · SOV-090
IVS-10	Egress-Kontrolle	SOV-090
BCR-01	Business Continuity	SOV-030
CRY-01 / CRY-03	Verschlüsselung und Schlüsselmanagement	SOV-050
SCA-01	Subunternehmer und Lieferkette	SOV-080
PRO-01 / PRO-02	Portabilität und Reversibilität	SOV-100

EUCS Control

Anforderungsbereich

WAF++ Controls

SOV-01 / SOV-02

Datensouveränität – geografische Einschränkungen

SOV-020

SOV-03

Kryptographische Datensouveränität

DSP-01

Datenklassifizierung

DSP-04

Datensicherung und -wiederherstellung

IAM-01

Zugriffssteuerungsrichtlinie

IAM-03

Privilegierter Zugriff

SOV-060 · SOV-070

IAM-04

Zugriffsrichtlinie für Dritte

SOV-010 · SOV-080

LOG-01

Protokollierung

IVS-09

Netzwerksicherheit

SOV-040 · SOV-090

IVS-10

Egress-Kontrolle

BCR-01

Business Continuity

CRY-01 / CRY-03

Verschlüsselung und Schlüsselmanagement

SCA-01

Subunternehmer und Lieferkette

PRO-01 / PRO-02

Portabilität und Reversibilität

ISO 27001:2022

ISO Control	Anforderungsbereich	WAF++ Controls
A.5.3	Aufgabentrennung (Separation of Duties)	SOV-060
A.5.12	Klassifizierung von Informationen	SOV-010
A.5.19	Informationssicherheit in Lieferantenbeziehungen	SOV-080
A.5.20	Informationssicherheit in Vereinbarungen mit Lieferanten	SOV-080 · SOV-100
A.5.21	Steuerung der IKT-Lieferkette	SOV-080
A.5.26	Reaktion auf Informationssicherheitsvorfälle	SOV-070
A.5.29	Informationssicherheit bei Disruption	SOV-020 · SOV-030
A.5.33	Schutz von Aufzeichnungen	SOV-010
A.8.2	Privilegierte Zugriffsrechte	SOV-060
A.8.3	Einschränkung des Informationszugriffs	SOV-060
A.8.10	Löschung von Informationen	SOV-010 · SOV-020 · SOV-100
A.8.13	Datensicherung	SOV-030
A.8.15	Protokollierung	SOV-040 · SOV-070
A.8.16	Überwachungsaktivitäten	SOV-040 · SOV-070
A.8.20	Netzwerksicherheit	SOV-090
A.8.21	Sicherheit von Netzwerkdiensten	SOV-090
A.8.22	Trennung von Netzwerken	SOV-090
A.8.24	Einsatz von Kryptographie	SOV-050
A.8.25	Sicherer Entwicklungslebenszyklus	SOV-050

ISO Control

Anforderungsbereich

WAF++ Controls

A.5.3

Aufgabentrennung (Separation of Duties)

A.5.12

Klassifizierung von Informationen

A.5.19

Informationssicherheit in Lieferantenbeziehungen

A.5.20

Informationssicherheit in Vereinbarungen mit Lieferanten

SOV-080 · SOV-100

A.5.21

Steuerung der IKT-Lieferkette

A.5.26

Reaktion auf Informationssicherheitsvorfälle

A.5.29

Informationssicherheit bei Disruption

SOV-020 · SOV-030

A.5.33

Schutz von Aufzeichnungen

A.8.2

Privilegierte Zugriffsrechte

A.8.3

Einschränkung des Informationszugriffs

A.8.10

Löschung von Informationen

SOV-010 · SOV-020 · SOV-100

A.8.13

Datensicherung

A.8.15

Protokollierung

A.8.16

Überwachungsaktivitäten

A.8.20

Netzwerksicherheit

A.8.21

Sicherheit von Netzwerkdiensten

A.8.22

Trennung von Netzwerken

A.8.24

Einsatz von Kryptographie

A.8.25

Sicherer Entwicklungslebenszyklus

GAIA-X

GAIA-X Anforderung	Bereich	WAF++ Controls
Sovereign Cloud – Data location requirements	Geografische Datenlokalität	SOV-010 · SOV-020
Data Sovereignty – Location transparency	Transparenz über Datenstandorte	SOV-020
Sovereign Cloud – Cryptographic self-determination	Schlüsselhoheit beim Nutzer	SOV-050
Sovereign Cloud – Reversibility requirements	Anbieterwechsel und Portabilität	SOV-100

GAIA-X Anforderung

Bereich

WAF++ Controls

Sovereign Cloud – Data location requirements

Geografische Datenlokalität

SOV-010 · SOV-020

Data Sovereignty – Location transparency

Transparenz über Datenstandorte

SOV-020

Sovereign Cloud – Cryptographic self-determination

Schlüsselhoheit beim Nutzer

Sovereign Cloud – Reversibility requirements

Anbieterwechsel und Portabilität

SOC 2

SOC 2 Control	Anforderungsbereich	WAF++ Controls
CC6.3	Logical and physical access – Privilege access management	SOV-060
CC6.6	Logical access controls – Remote access	SOV-060
CC7.4	Security incident response and monitoring	SOV-070

SOC 2 Control

Anforderungsbereich

WAF++ Controls

CC6.3

Logical and physical access – Privilege access management

CC6.6

Logical access controls – Remote access

CC7.4

Security incident response and monitoring

SLSA – Supply-chain Levels for Software Artifacts

SLSA Level	Anforderungsbereich	WAF++ Controls
L2	Source and build integrity, provenance	SOV-080
L3	Build hardening, hermetic builds, verified provenance	SOV-080

SLSA Level

Anforderungsbereich

WAF++ Controls

Source and build integrity, provenance

Build hardening, hermetic builds, verified provenance