TRUST CENTER – RECHTLICHE RAHMENBEDINGUNGEN

Onesurance & Security Frameworks
Zuletzt aktualisiert: Dezember 2024

Übersicht

Bei Onesurance wir ein umfassendes Compliance-Programm implementiert, das mehrere regulatorische Rahmenwerke, Industriestandards und Best Practices umfasst, die für den Versicherungssektor in der Europäischen Union relevant sind. Unser mehrschichtiger Ansatz stellt sicher, dass wir die strengen Anforderungen der Datenschutzgesetze (DSGVO), der Informationssicherheitsstandards (ISO 27001), der operativen Widerstandsfähigkeit (DORA) und der neuen KI-Vorschriften (EU-KI-Gesetz) erfüllen und gleichzeitig anerkannte Sicherheitsrahmenwerke und Best Practices befolgen.

Wichtigste regulatorische Rahmenbedingungen

DSGVO (Datenschutz-Grundverordnung)

Status: ✅ Seit 2018 vollständig konform

Geltungsbereich:
Die DSGVO ist das primäre Datenschutzgesetz in der EU und gilt für alle Verarbeitungen personenbezogener Daten von EU-Bürgern.

Unsere Umsetzung:

Governance & Rechenschaftspflicht
• Datenschutzbeauftragter (DSB): Ernannt und aktiv
• Kontakt DSB: onesurance
• Verzeichnis der Verarbeitungstätigkeiten (ROPA): Vollständig geführt
• Datenschutz-Folgenabschätzungen (DPIA): Für risikoreiche Verarbeitungen
• Privacy by Design & Default: In alle Systeme integriert

Rechtsgrundlage für die Verarbeitung
• Vertragliche Notwendigkeit: Primäre Rechtsgrundlage für Kundendaten
• Berechtigtes Interesse: Für Sicherheit, Betrugsprävention, Verbesserungen
• Gesetzliche Verpflichtung: Soweit gesetzlich vorgeschrieben (steuerlich usw.)
• Einwilligung: Für Marketing und optionale Funktionen

Rechte der betroffenen Personen
• Einsichtnahme (Art. 15): Antwort innerhalb eines Monats
• Berichtigung (Art. 16): Sofortige Korrektur möglich
• Löschung (Art. 17): Innerhalb eines Monats, mit Ausnahmen
• Einschränkung (Art. 18): Technische Sperrung möglich
• Datenübertragbarkeit (Art. 20): Strukturierte Exporte verfügbar
• Widerspruch (Art. 21): Abwägungsprüfung durchgeführt
• Automatisierte Entscheidungsfindung (Art. 22): Human-in-the-loop erforderlich

Beveiligingsmaatregelen
• Encryptie: AES-256 at rest, TLS 1.3 in transit
• Toegangscontrole: RBAC, MFA, least privilege
• Pseudonymisering: Waar mogelijk toegepast
• Backups: Encrypted, tested, geo-redundant (binnen EU)
• Incident response: 24/7 monitoring, <72h melding bij breach

Internationale Übertragungen
• Primär: Alle Daten innerhalb der EU (Azure West-Europe)
• Backup: Azure North-Europe (innerhalb der EU)
• Keine Übertragungen: Außerhalb der EU/des EWR ohne ausdrückliche Zustimmung
• Garantien: EU-SCCs, wenn zukünftige Übertragungen erforderlich sind

Verantwortlichkeit
• Dokumentation: Umfassend, überprüfbar
• Schulung: Obligatorisch für alle Mitarbeiter
• Audits: Vierteljährliche interne Audits
• Aufsichtsbehörde: Autoriteit Persoonsgegevens (NL)

Nachweis der Einhaltung:

• ROPA vollständig dokumentiert

• Für KI-Modelle durchgeführte Datenschutz-Folgenabschätzungen

• FG aktiv und erreichbar

• Incident-Response-Verfahren getestet

• Abschluss der Mitarbeiterschulung: 100 %

Siehe auch: Vorlage 04 (Datenschutz & Datenverarbeitung)

DORA (Digital Operational Resilience Act)

Status: ✅ Entspricht den geltenden Anforderungen (gültig ab Januar 2025)

Geltungsbereich:
DORA gilt für Finanzunternehmen (einschließlich Versicherungen) und deren kritische IT-Dienstleister. Als SaaS-Anbieter für Versicherungen fallen wir unter diese Verordnung.

Fünf Säulen:

1. ICT Risicobeheer (Art. 6-16)
• Framework: Uitgebreid ICT risk management framework
• Risicobeoordelingen: Jaarlijks en bij significante wijzigingen
• Asset management: Volledige inventarisatie van ICT-activa
• Change management: Controlled change procedures
• Patch management: <48h voor critical, <72h voor high
• Network security: Segmentation, firewalls, monitoring

2. Incident Management & Reporting (Art. 17-23)
• Classification: 4 severity levels (P1-P4)
• Detection: 24/7 monitoring, automated alerts
• Response: <15 min voor P1, defined procedures
• Register: ICT incident log bijgehouden
• Reporting:

• Bedeutende Vorfälle: Innerhalb von 24 Stunden nach der ersten Meldung

• Schwerwiegende Zwischenfälle: Sofortige Meldung

• Aufsichtsbehörde: Gemäß DORA-Anforderungen
  • Grundursache: Analyse aller P1/P2-Vorfälle

3. Resilienztests (Art. 24-27)
• Häufigkeit: Jährliche umfassende Resilienztests
• Arten:

• Schwachstellenanalysen: Wöchentlich automatisiert

• Penetrationstests: Jährlich extern

• Szenariobasierte Tests: Halbjährliche DR-Tests

• Red-Team-Tests: Jährlich (geplant)
  • Dokumentation: Alle Testergebnisse werden protokolliert
  • Behebung: Aktionspläne für identifizierte Lücken
  • TLPT: Threat-Led Penetration Testing (geplant für 2026)

4. Third-Party Risk Management (Art. 28-30)
• Due Diligence: Alle ICT-Dienstleister bewertet
• Verträge: Service Level Agreements mit Verfügbarkeitszielen
• Register: Geführte Liste von ICT-Drittanbietern
• Überwachung: Laufende Überwachung der Lieferantenleistung
• Konzentrationsrisiko: Bewertet (primär: Microsoft Azure)
• Ausstiegsstrategien: Dokumentiert für kritische Lieferanten
• Unterauftragsverarbeiter: Vollständige Transparenz (siehe Vorlage 08)

5. Informationsaustausch (Art. 45)
• Bedrohungsinformationen: Überwachung von Branchenbedrohungen
• Branchenbeteiligung: Mitglied von Versicherungsbranchengruppen
• Austausch von Schwachstellen: Beitrag zur kollektiven Verteidigung
• Vertraulichkeit: Ordnungsgemäße Behandlung sensibler Informationen

Nachweis der Einhaltung:

• ICT-Risikoregister geführt

• Jährliche Belastbarkeitstests abgeschlossen

• Verfahren zur Meldung von Vorfällen eingerichtet

• Aktuelle Risikobewertungen durch Dritte

• Integration von Bedrohungsinformationen aktiv

Siehe auch:

• Vorlage 05 (Infrastruktur)

• Vorlage 06 (Reaktion auf Vorfälle)

• Vorlage 07 (Geschäftskontinuität)

ISO 27001:2022 (Informationssicherheit)

Status: 🔄 Implementierung abgeschlossen, Zertifizierung Q1 2026

Geltungsbereich:
ISO 27001 ist die internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Wir haben alle 114 Kontrollen implementiert.

ISMS-Komponenten:

Führung und Governance
• Engagement der Geschäftsleitung: Unterstützung durch die Geschäftsleitung
• Sicherheitsrichtlinie: Umfassend, jährlich überprüft
• Rollen und Verantwortlichkeiten: Klar definiert
• Ressourcen: Angemessenes Budget und Personal
• Kommunikation: Regelmäßige Sicherheitsupdates

Planung
• Risikobewertung: ISO 27005-Methodik
• Risikobehandlung: Alle Risiken werden berücksichtigt (akzeptieren/mindern/übertragen/vermeiden)
• Ziele: SMART-Sicherheitsziele definiert
• Metriken: KPIs werden verfolgt und gemeldet

Support
• Kompetenz: Schulungsprogramme, Zertifizierungen
• Sensibilisierung: Sicherheitsbewusstsein für alle Mitarbeiter
• Kommunikation: Interne und externe Kanäle
• Dokumentation: Umfassend, versionskontrolliert
• Operative Kontrolle: Dokumentierte Verfahren

Operation
• Operative Planung: Sicherheit in alle Prozesse integriert
• Risikobewertung: Regelmäßige Durchführung
• Risikobehandlung: Umsetzung und Überwachung
• Leistungsbewertung: Regelmäßige Überprüfungen

Leistungsbewertung
• Überwachung: Kontinuierliche Sicherheitsüberwachung
• Interne Audits: Vierteljährliche ISMS-Audits
• Managementbewertung: Vierteljährliche Besprechungen
• Metriken: Verfolgung von Sicherheits-KPIs

Verbesserungs
• Nichtkonformitäten: Nachverfolgung und Lösung
• Korrekturmaßnahmen: Ursachenanalyse
• Kontinuierliche Verbesserung: Kaizen-Ansatz
• Innovation: Regelmäßige Bewertung neuer Technologien

114 Implementierte Kontrollen (14 Kategorien gemäß Anhang A):

1. ✅ Organisatorische Kontrollen (37)

2. ✅ Personensteuerung (8)

3. ✅ Physische Kontrollen (14)

4. ✅ Technologische Kontrollen (34)

5. ✅ [Alle 14 Kategorien abgeschlossen]

Zertifizierungszeitplan:

• Q4 2024: Interne Revision und Gap-Analyse

• Q1 2025: Externe Vorabbewertung

• Q1 2026: Zertifizierungsaudit für Stufe 1 und Stufe 2

• Q1 2026: ISO 27001:2022-Zertifikat ausgestellt

Nachweis der Einhaltung:

• Anwendbarkeitserklärung (SoA) abgeschlossen

• Alle 114 Kontrollen dokumentiert

• Internes Auditprogramm aktiv

• Vierteljährliche Managementbewertungen

• Aktueller Risikobehandlungsplan

Siehe auch: Vorlage 03 (Datensicherheit)

EU-KI-Gesetz

Status: ✅ Überwachung und Vorbereitung (Umsetzung 2026)

Geltungsbereich:
Das EU-KI-Gesetz reguliert KI-Systeme auf der Grundlage des Risikos. Unsere Systeme sind als „begrenztes Risiko“ oder „minimales Risiko“ eingestuft.

Unsere KI-Systeme:

Churn Prediction Model
• Risikostufe: Begrenztes Risiko
• Zweck: Vorhersage der Kundenbindung
• Transparenz: Benutzer werden über die Verwendung von KI informiert
• Menschliche Aufsicht: Vorhersagen werden von Underwritern überprüft
• Genauigkeit: Regelmäßige Bewertung und Verbesserung
• Voreingenommenheit: Überwachung auf unfaire Diskriminierung
• Dokumentation: Pflege von Modellkarten

Kundenlebenszeitwert (CLV)
• Risikostufe: Minimales Risiko
• Zweck: Berechnungen des Kundenwerts
• Verwendung: Strategische Planung, keine automatisierten Entscheidungen
• Transparenz: Klare Kommunikation
• Dokumentation: Dokumentierte Methodik

Next Best Product (NBP)
• Risikostufe: Begrenztes Risiko
• Zweck: Produktempfehlungs-Engine
• Menschliche Aufsicht: Empfehlungen werden überprüft
• Erklärbarkeit: Die Gründe können erklärt werden
• Überwachung von Verzerrungen: Regelmäßige Fairness-Bewertungen
• Opt-out: Nutzer können Empfehlungen deaktivieren

Defend Agent (Conversational AI)
• Risikostufe: Begrenztes Risiko
• Zweck: Automatisierung des Kundenservice
• Übergabe an einen Menschen: Immer verfügbar
• Transparenz: Benutzer wissen, dass sie mit einer KI sprechen
• Trainingsdaten: Sorgfältig zusammengestellt
• Überwachung: Gespräche werden protokolliert und überprüft
• Eskalation: Komplexe Fälle werden an Menschen weitergeleitet

Compliance-Maßnahmen:
• Risikobewertung: Alle Systeme klassifiziert
• Transparenz: Klare Offenlegung der KI
• Menschliche Aufsicht: Human-in-the-Loop-Design
• Dokumentation: Umfassende KI-Dokumentation
• Qualitätsmanagement: KI/ML-Modelllebenszyklus
• Trainingsdaten: Datenverwaltungsverfahren
• Tests: Bias- und Leistungstests
• Überwachung: Überwachung nach der Bereitstellung
• Reaktion auf Vorfälle: KI-spezifische Verfahren

Compliance-Zeitplan:
• Dezember 2024: Risikoklassifizierung abgeschlossen
• 2025: Technische Dokumentation abgeschlossen
• Februar 2025: Einhaltung der Transparenzpflichten
• August 2026: Vollständige Einhaltung der Anforderungen für begrenzte Risiken

Nachweis der Einhaltung:

• KI-Systeminventar gepflegt

• Risikobewertungen abgeschlossen

• Transparenzhinweise implementiert

• Dokumentierte Verfahren zur Überwachung durch Menschen

• Bias-Überwachungsprogramm aktiv

Sicherheitsframeworks und Best Practices

NIST-Cybersicherheits-Framework

Status: ✅ Implementiert (Reifegradstufe 3)

Fünf Funktionen:

1. Identifizieren
• Asset Management: Vollständiges ICT-Inventar
• Geschäftsumfeld: Kontext verstanden
• Governance: Richtlinien und Verfahren
• Risikobewertung: Regelmäßige Bewertungen
• Risikomanagementstrategie: Definierter Ansatz

2. Schutz
• Zugriffskontrolle: RBAC, MFA, Least-Privilege-
• Sensibilisierung und Schulung: Laufende Programme
• Datensicherheit: Verschlüsselung, DLP, Backups
• Informationsschutz: Klassifizierung und Handhabung
• Wartung: Patch-Management, Hardening
• Schutztechnologie: Firewalls, Antivirus, IDS/IPS

3. Erkennungs-
• Anomalien und Ereignisse: SIEM-Überwachungs
• Kontinuierliche Überwachung: 24/7 SOC
• Erkennungsprozesse: Definiert und getestet

4. Reaktions
• Reaktionsplanung: Incident-Response-Plan
• Kommunikation: Benachrichtigung der Stakeholder
• Analyse: Grundursache, Folgenabschätzung
• Schadensbegrenzung: Eindämmungsmaßnahmen
• Verbesserungen: Überprüfungen nach dem Vorfall

5. Wiederherstellung
• Wiederherstellungsplanung: Business Continuity Plan
• Verbesserungen: Gewonnene Erkenntnisse
• Kommunikation: Updates für Stakeholder

Reifegrad: Stufe 3 – Wiederholbar, anpassungsfähig
• Risikobewusst
• In die Geschäfts
integriert • Cyberrisiken werden regelmäßig bewertet
• Richtlinien und Verfahren sind formalisiert
• Konsistente Umsetzung

CIS-Steuerungen (v8)

Status: ✅ 18 kritische Sicherheitskontrollen implementiert

Implementierungs-Highlights:

CIS-Kontrolle 1: Bestandsaufnahme der Vermögenswerte
• Hardware-Vermögenswerte: Vollständige Bestandsaufnahme in CMDB
• Software-Vermögenswerte: Lizenzverwaltung, genehmigte Liste
• Updates: Automatische Erkennung, regelmäßiger Abgleich

CIS Control 2: Bestandsaufnahme der Software
• Autorisierte Software: Whitelist wird gepflegt
• Nicht autorisierte Software: Blockiert oder gemeldet
• Software-Updates: Zentral verwaltet

CIS Control 3: Datenschutz
• Dateninventar: Klassifizierte und nachverfolgte
• Verschlüsselung: AES-256 im Ruhezustand, TLS 1.3 während der Übertragung
• Sichere Entsorgung: Kryptografische Löschung

CIS Control 4: Sichere Konfiguration
• Absicherung: CIS-Benchmarks angewendet
• Konfigurationsmanagement: Automatisiert, versionskontrolliert
• Änderungskontrolle: Alle Änderungen überprüft

CIS Control 5: Kontoverwaltung
• Eindeutige Konten: Keine gemeinsamen Anmeldedaten
• MFA: Für alle Benutzer vorgeschrieben
• Berechtigungsverwaltung: Geringste Berechtigungen, PIM

CIS Control 6: Zugriffskontrolle
• Authentifizierung: Starke Passwörter, MFA
• Autorisierung: RBAC implementiert
• Fernzugriff: VPN, sichere Kanäle

CIS Control 7: Continuous Vulnerability Management
• Scanning: Weekly automated scans
• Remediation: <48h critical, <72h high
• Penetration testing: Annual external tests

CIS Control 8: Audit-Protokoll-Management
• Protokollierung: Umfassende, zentralisierte Protokollierung
• Aufbewahrung: Mindestens 1 Jahr, 7 Jahre für Compliance
• Analyse: SIEM-Korrelationsregeln

CIS Control 9: E-Mail- und Webbrowser-Schutz
• E-Mail-Sicherheit: SPF, DKIM, DMARC, Anti-Phishing
• Webfilterung: Blockierung bösartiger Websites
• Sicheres Surfen: Durchsetzung von Richtlinien

CIS Control 10: Malware-Abwehr
• Antivirus: Endpoint-Schutz implementiert
• Signaturen: Automatisch aktualisiert
• Verhaltensanalyse: Erweiterter Schutz vor Bedrohungen

CIS Control 11: Datenwiederherstellung
• Backups: Automatisiert, verschlüsselt, getestet
• Aufbewahrung: Gemäß Richtlinie (siehe Vorlage 07)
• Wiederherstellung: RTO 4 Stunden, RPO 5 Minuten

CIS Control 12: Netzwerk-Infrastrukturmanagement
• Netzwerkdiagramm: Aktuelle Dokumentation
• Segmentierung: VLANs, Subnetze, Sicherheitszonen
• Sichere Protokolle: TLS 1.3, SSH v2, keine Legacy-Protokolle

CIS Control 13: Netzwerküberwachung
• Verkehrsanalyse: Kontinuierliche Überwachung
• IDS/IPS: Eingesetzt und abgestimmt
• Paketerfassung: Für forensische Zwecke

CIS Control 14: Sicherheitsbewusstsein
• Schulung: Jährliche Pflichtschulung
• Phishing: Vierteljährliche Simulationen
• Berichterstattung: Einfache Meldung von Vorfällen

CIS Control 15: Service Provider Management
• Lieferantenbewertung: Alle Lieferanten bewertet
• Verträge: Sicherheitsanforderungen enthalten
• Überwachung: Leistungsüberwachung

CIS Control 16: Anwendungssicherheit
• SDLC: Integrierte Sicherheit
• Codeüberprüfung: Obligatorische Peer-Review
• SAST/DAST: Automatisierte Tests in CI/CD

CIS Control 17: Incident Response
• IR-Plan: Dokumentiert und getestet
• IR-Team: Definierte Rollen, 24/7-Bereitschaft
• Übungen: Vierteljährliche Tabletop-Übungen

CIS Control 18: Penetrationstests
• Häufigkeit: Jährliche externe Penetrationstests
• Umfang: Full Stack (App, Infrastruktur, Netzwerk)
• Behebung: Alle festgestellten Mängel werden behoben

OWASP (Open Web Application Security Project)

Status: ✅ OWASP Top 10-Abhilfemaßnahmen implementiert

OWASP Top 10 (2021) Schutzmaßnahmen:

A01: Defekte Zugriffskontroll
• Abhilfe: RBAC, geringstmögliche Berechtigungen, Autorisierungsprüfungen
• Testen: Automatisierte Zugriffskontrolltests

A02: Kryptografische Fehler
• Abhilfe: TLS 1.3, AES-256, ordnungsgemäße Schlüsselverwaltung
• Testen: SSL Labs-Scans, Krypto-Überprüfungen

A03: Injektions-
• Minderung: Parametrisierte Abfragen, Eingabevalidierung, ORM-
• Testen: SAST-Tools, manuelle Codeüberprüfung

A04: Unsichere Design-
• Abhilfe: Bedrohungsmodellierung, Überprüfung der Sicherheitsarchitektur
• Testen: Designüberprüfungen, Sicherheitsbeauftragte

A05: Sicherheitsfehlkonfiguration
• Abhilfe: Absicherung, Konfigurationsmanagement, Prinzip der geringsten Funktionalität
• Testen: Automatisierte Konfigurationsscans

A06: Anfällige und veraltete Komponenten
• Abhilfe: Abhängigkeitsprüfung, regelmäßige Updates
• Testen: Dependabot, npm audit, pip-audit

A07: Identifizierungs- und Authentifizierungsfehler
• Abhilfe: Starke Passwörter, MFA, Sitzungsverwaltung
• Testen: Authentifizierungstests, Brute-Force-Schutz

A08: Software- und Datenintegritätsfehler
• Risikominderung: Code-Signierung, Integritätsprüfungen, sichere CI/CD-
• Tests: Analyse der Sicherheit der Lieferkette

A09: Sicherheitsprotokollierung und Überwachung von Fehlern
• Abhilfe: Umfassende Protokollierung, SIEM, Alarmierung
• Testen: Protokollüberprüfung, Alarmtest

A10: Server-Side Request Forgery (SSRF)
• Mitigation: Input validation, allowlists, network segmentation
• Testing: SSRF-specific tests

Sichere Entwicklung:
• SSDLC: Security Development Lifecycle
• Schulung: Schulung zum sicheren Programmieren für Entwickler
• Tools: SAST (statisch), DAST (dynamisch), SCA (Abhängigkeiten)
• Peer-Review: Alle Codeänderungen werden überprüft
• Bedrohungsmodellierung: Für neue Funktionen

Sonstige Standards und Compliance

SOC 2 Typ II

Status: 🔄 Geplant für H2 2026

Umfang: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität

Trust Service Criteria:
• Common Criteria: Grundlage für alle SOC 2
• Sicherheit: Kontrollen für unbefugten Zugriff
• Verfügbarkeit: Systemverfügbarkeit und Leistung
• Verarbeitungsintegrität: Genaue, vollständige und zeitnahe Verarbeitung

Vorbereitung:
• Kontrollen: Angepasst an die Umsetzung der ISO 27001
• Nachweise: Dokumentation wird zusammengestellt
• Bereitschaft: Interne Bewertung abgeschlossen
• Auditor: Auswahl läuft

Sektorspezifische Anforderungen (Versicherungen)

Finanzaufsichtsgesetz (Wft)
• Geltungsbereich: Indirekt über Versicherungskunden
• Compliance: Erleichterung der Kunden-Compliance
• Outsourcing: Art. 4:15 und 4:16 Compliance
• Sorgfaltspflicht: Unterstützung bei Kundenprüfungen

Solvency II
• Geltungsbereich: Anforderungen von Versicherungskunden
• IT-Governance: Unterstützung der SCR-Berechnungen von Kunden
• Operationelles Risiko: Dokumentation für Kundenrisikomodelle
• Outsourcing: Transparente Berichterstattung

NIS2-Richtlinie
• Status: Überwachung der Umsetzung (2024)
• Geltungsbereich: Kann als „wesentlicher Dienst” gelten
• Vorbereitung: Angleichung an DORA und ISO 27001
• Zeitplan: Vollständige Bewertung bis zum Stichtag 2024

Compliance-Governance

Compliance-Management

Compliance-Team:
• Compliance-Beauftragter: Gesamtverantwortung
• FG (DPO): Datenschutz-Compliance
• Sicherheitsbeauftragter: Technische Compliance
• Rechtsberater: Auslegung von Vorschriften
• Interne Revision: Compliance-Überprüfung

Compliance-Programm:
• Richtlinienrahmen: Umfassende Richtlinien
• Risikobewertungen: Regelmäßige Compliance-Risiken
• Schulungen: Rollenspezifische Compliance-Schulungen
• Überwachung: Kontinuierliche Compliance-Überwachung
• Audits: Interne und externe Audits
• Berichterstattung: Regelmäßige Compliance-Berichterstattung
• Verbesserung: Kontinuierlicher Verbesserungsprozess

Metriken und KPIs:
• Compliance-Status: % konforme Kontrollen
• Abschluss der Schulungen: % geschulte Mitarbeiter
• Audit-Ergebnisse: Anzahl und Schweregrad
• Behebungszeit: Zeit bis zum Abschluss der Ergebnisse
• Vorfälle: Compliance-bezogene Vorfälle
• Risikobewertung: Gesamt-Compliance-Risiko

Berichterstattung:
• Monatlich: Metrik-Dashboard für das Management
• Vierteljährlich: Umfassender Bericht an den Vorstand
• Jährlich: Formelle Konformitätsbescheinigung
• Ad hoc: Behördliche Anfragen, Audits

Audits und Bewertungen

Interne Audits

Häufigkeit: Vierteljährlich
Umfang: Alle Compliance-Rahmenwerke
Prozess:

1. Auditplanung und Festlegung des Umfangs

2. Beweissicherung und Untersuchung

3. Dokumentation der Ergebnisse

4. Managementantwort

5. Remediation-Verfolgung

6. Überprüfung der Abhilfe

Letzte Prüfung: [Datum]
Nächste Prüfung: [Datum]

Externe Audits

ISO 27001-Zertifizierungsaudit: geplant für das 1. Quartal 2026
SOC 2 Typ II-Audit: geplant für das 2. Halbjahr 2026
DORA-Aufsichtsprüfung: gemäß den Anforderungen der Aufsichtsbehörden
Kundenaudits: auf Anfrage, unterstützt

Audit-Unterstützung:
• Dokumentation: Umfassende Nachweise verfügbar
• Personal: Fachexperten verfügbar
• Einrichtungen: Remote oder vor Ort (abhängig von COVID)
• Nachverfolgung: Aktionspläne für alle Ergebnisse

Bewertungen durch Dritte

Penetrationstests: Jährlich
Schwachstellenbewertungen: Wöchentlich
Sicherheitsbewertungen: Kontinuierlich (BitSight, SecurityScorecard)
Datenschutzbewertungen: Jährliche DPIA-Überprüfungen

Regulatorisches Engagement

Aufsichtsbehörden

Datenschutzbehörde (AP) – Datenschutz
• Beziehung: Reaktionsschnell, kooperativ
• Kommunikation: FG ist erster Ansprechpartner
• Berichterstattung: Datenschutzverletzungen innerhalb von 72 Stunden
• Audits: Unterstützung von AP-Audits auf Anfrage

De Nederlandsche Bank (DNB) – Finanz
• Beziehung: Über Versicherungskunden
• Unterstützung: Einhaltung gesetzlicher Vorschriften durch Kunden
• Berichterstattung: Unterstützung bei der Berichterstattung durch Kunden

Europäische Aufsichtsbehörden
• EIOPA: Europäische Aufsichtsbehörde für das Versicherungswesen
• ENISA: EU-Agentur für Cybersicherheit
• Überwachung: Regulatorische Entwicklungen

Beteiligung der Industrie

Branchengruppen:
• Arbeitsgruppen für Cybersicherheit im Versicherungswesen
• ISAC (Informationsaustausch) für den Finanzsektor
• DORA-Implementierungsforen
• Initiativen zur KI-Ethik

Normungsgremien:
• ISO-Mitglied
• NIST CSF-Implementierung
• CIS Controls-Community
• OWASP-Beteiligung

Compliance-Roadmap

Prioritäten für 2025

Q1 2025:
• ISO 27001-Zertifizierungsaudit
• DORA-Vollkonformitätsprüfung
• EU-KI-Gesetz-Risikobewertungen abgeschlossen

Q2 2025:
• SOC 2-Bereitschaftsbewertung
• NIS2-Lückenanalyse
• Durchführung von Penetrationstests

Q3 2025:
• SOC 2 Typ I Audit-Einleitung
• DORA-Resilienztests
• Bewertung der Reife des Datenschutzprogramms

Q4 2025:
• ISO 27001-Überwachungsaudit
• Jahresend-Compliance-Prüfung
• Planung für 2026

Ziele für 2026:
• SOC 2 Typ II-Zertifizierung
• Berücksichtigung von ISO 27018 (Datenschutz in der Cloud)
• Berücksichtigung von ISO 27017 (Sicherheit in der Cloud)
• Kontinuierliche Verbesserung

Neue Vorschriften

Überwachung:
• Umsetzung der NIS2-Richtlinie
• Technische Standards des AI Act
• Cyber Resilience Act
• Data Act
• eIDAS 2.0

Vorbereitung:
• Lückenanalysen laufen
• System zur Verfolgung regulatorischer Entwicklungen
• Rechtsbeistand beauftragt
• Beteiligung der Industrie

Unterstützung bei der Sorgfaltspflicht gegenüber Kunden

Was wir bieten

Dokumentation:
• Dieses Trust Center: Umfassende Sicherheitsdokumentation
• Compliance-Zusammenfassungen: Pro Framework
• Zertifikate: ISO, SOC-Berichte (sofern verfügbar)
• Richtlinien: Sicherheit, Datenschutz, Reaktion auf Vorfälle
• Bewertungen: Zusammenfassungen von Penetrationstests

Fragebögen:
• Sicherheitsfragebögen: Standardisierte Antworten
• Compliance-Fragebögen: Rahmenspezifisch
• Antwortzeit: 5 Werktage
• Format: Excel, Word, Online-Portale

Audits:
• Recht auf Audit: Im Vertrag enthalten
• Häufigkeit: In angemessenen Abständen (z. B. jährlich)
• Umfang: Sicherheits- und Datenverarbeitungsmaßnahmen
• Berichte: Zusammenfassende Berichte werden bereitgestellt
• Ergebnisse: Abhilfemaßnahmen für Probleme

Bescheinigungen:
• Compliance-Erklärungen: Auf Anfrage erhältlich
• SOC 2-Berichte: Nach Zertifizierung (H2 2026)
• ISO-Zertifikate: Nach Zertifizierung (Q1 2026)
• Individuelle Bescheinigungen: Auf Anfrage, rechtliche Prüfung

Support:
• Spezieller Support: Für Compliance-Anfragen
• Reaktionszeit: 48 Stunden für die erste Antwort
• Eskalation: Bei Bedarf an den Compliance-Beauftragten
• Nachverfolgung: Bis zur Lösung

Kontinuierliche Verbesserung

Verbesserungsquellen

• Audit-Ergebnisse: Internes und externes
• Vorfallüberprüfungen: Gewonnene Erkenntnisse
• Branchenbewährte Verfahren: Benchmarking
• Regulatorische Änderungen: Neue Anforderungen
• Technologische Entwicklungen: Neue Funktionen
• Kundenfeedback: Sicherheitsbedenken
• Bedrohungslage: Neue Bedrohungen

Verbesserungsprozess

1. Identifizierung: Lücke oder Chance identifiziert

2. Bewertung: Wirkungs- und Machbarkeitsanalyse

3. Genehmigung: Genehmigung durch die Geschäftsleitung

4. Planung: Umsetzungsplan

5. Ausführung: Umsetzung

6. Verifizierung: Prüfung und Validierung

7. Dokumentation: Aktualisierung von Richtlinien/Verfahren

8. Kommunikation: Benachrichtigung der Interessengruppen

9. Schulung: Schulungsmaterialien aktualisieren

10. Überwachung: Fortlaufende Wirksamkeit

Kontakt & Ressourcen

Compliance-Anfragen

• Compliance Officer: onesurance
• Datenschutzbeauftragter: onesurance
• Sicherheitsteam: onesurance
• Rechtsabteilung: onesurance

Anfragen zu Unterlagen

• Trust Center: onesurance
• Sicherheitsdokumentation: onesurance
• Compliance-Zusammenfassungen: onesurance
• Auditberichte: onesurance (möglicherweise ist eine Vertraulichkeitsvereinbarung erforderlich)

Zertifizierungen und Bescheinigungen

• ISO 27001: Q1 2026 (geplant)
• SOC 2: H2 2026 (geplant)
• Aktueller Status: Auf Anfrage erhältlich

Zuletzt aktualisiert: Dezember 2024
Onesurance .V. | Breda, Niederlande | Handelskammer: 87521997

Zusammenfassung des Compliance-Status:
✅ DSGVO/GDPR: Konform
✅ DORA: Compliant
🔄 ISO 27001: Q1 2026
✅ EU AI Act: Monitoring
✅ NIST CSF: Tier 3
✅ CIS Controls: 18/18
✅ OWASP Top 10: Mitigated
🔄 SOC 2: H2 2026 planned