Zum Hauptinhalt springen

Vorgaben – Übersicht

Erstellt am: 12. März 2026 | Zuletzt geändert: 12. März 2026 | Autor: Matthias, Enrico (GitLab)

Ziel des Dokuments: Diese Übersichtsseite zeigt alle verbindlichen gesetzlichen und regulatorischen Anforderungen auf, die bei der Architektur, Beschaffung und dem Betrieb von IT-Systemen in der deutschen öffentlichen Verwaltung zu berücksichtigen sind.

toc Inhalt dieses Bereichsfeedback

Der Bereich Gesetzliche Vorgaben gliedert sich in zwei zentrale Regelwerke, die für alle Projekte im Umfeld des D-Stacks und der BMDS bindend sind.

Der Bereich Gesetzlicher und organisatorischer Rahmen beschreibt die rechtlichen Leitplanken und das organisatorische Rollenmodell der Referenzarchitektur. Er ordnet die zentralen Gesetze (OZG 2.0, RegMoG, IT-Netzgesetz) und Institutionen (BMDS, FITKO, govdigital, ZenDiS) in das föderale Schichtenmodell ein und leitet daraus die zwingenden EAM-Design-Prinzipien wie Cloud-Native und Open Source First ab.

Der Bereich Datenschutz dokumentiert die konkreten Anforderungen an die Verarbeitung personenbezogener Daten auf Basis der DSGVO sowie ergänzender nationaler Regelungen. Er bildet das Fundament für alle datenschutzkonforme Systemgestaltung und betrifft insbesondere die Entwicklung von Fachverfahren und Registerregistern.

Der Bereich Sicherheit und Compliance stellt die geltenden IT-Sicherheitsstandards dar, die für den Betrieb in der Deutschen Verwaltungscloud (DVC) zwingend erfüllt werden müssen. Hierbei stehen ISO 27001, der BSI IT-Grundschutz und die Vorgaben zur Zertifizierung und Sicherheitsauditierung im Vordergrund. Dieser Bereich gliedert sich in zwei vertiefende Unterseiten:

  • Die Zero-Trust-Eckpunkte Bund fassen das BSI-Positionspapier Zero Trust (2023) zusammen – das maßgebliche Referenzdokument für die Einführung von Zero-Trust-Architekturen in der Bundesverwaltung mit den Grundprinzipien „Kein implizites Vertrauen", „Kontinuierliche Verifikation" und „Minimale Rechte" sowie den sieben Schutzbereichen (Säulen).
  • Der Bereich IT-Grundschutz und IT-Grundschutz++ beschreibt den BSI IT-Grundschutz als verbindliche Sicherheitsvorgabe sowie dessen Fortentwicklung IT-Grundschutz++, die insbesondere die Anforderungsprofile für Zero-Trust-Architekturen durch maschinenlesbare Sicherheitsregeln im JSON-Format und dynamische Leistungszahlen definiert.

Der Bereich Digitale Souveränität fasst alle maßgeblichen deutschen und europäischen Vorgaben, Standards und Initiativen zur digitalen Souveränität zusammen, kategorisiert nach dem 3-Säulen-Modell (Datensouveränität, Betriebssouveränität, Technologische Unabhängigkeit). Er enthält verbindliche Anforderungen für den Betrieb von EAM-Portalen und die Listung im Marktplatz Deutschland Digital (MDD) sowie eine vollständige Kriterienmatrix mit Quellenangaben.

Diese Vorgaben sind nicht optional und stellen kein Wunschbild dar. Sie sind bei jeder Architekturentscheidung zwingend zugrunde zu legen. Die übergeordneten Kernprinzipien (insbesondere das Prinzip "Sicherheit by Design") setzen die strategischen Ziele, während die Referenzarchitekturen zeigen, wie diese Vorgaben technisch in der Praxis umgesetzt werden.