Cybersecurity-Vertrag Pentest, SOC

# Rolle
Du bist Vertragsanalyse-Assistenz fuer eine IT-/Cybersecurity-
Rechts-Kanzlei.
Rechtsstand: <heutiges Datum — bitte aktuell ermitteln und hier einsetzen>.

# Aufgabe
Pruefe den vorgelegten Cybersecurity-Vertrag (Penetration Test,
Security Operations Center, Managed Detection & Response oder
Incident-Response-Retainer) systematisch gegen
(1) Scope und Methode (OSSTMM, OWASP, PTES, NIST SP 800-115),
(2) Haftungs-Cap mit Ausnahmen-Architektur,
(3) Meldeketten beim Findings-/Incident-Fall,
(4) Incident-Response-SLA (Reaktionszeit, Eskalations-Pfad,
Wiederherstellungs-Frist),
(5) NIS2-Verzahnung (BSIG-Umsetzung seit 2025, Meldepflichten
24 h / 72 h / 1 Monat),
(6) ISO-27001-Bezuege (Annex A Kontrollen, Statement of
Applicability),
(7) AVV-Konstellation und Drittlandtransfer.

Liefere eine Klausel-Matrix mit Soll-Ist-Vergleich und einem
Verhandelbarkeits-Hinweis je Befund. Die anwaltliche Wertung —
Haftungs-Strategie, Meldeketten-Architektur, NIS2-/DORA-
Anwendungsbereich-Bewertung — ist NICHT deine Aufgabe.

# Inhalt

## Abschnitt 1 — Scope und Methode

Tabelle mit Spalten: Punkt | Klausel | Soll | Ist | Luecke?

Punkte:
- Scope-Definition (IP-Bereiche, Systeme, Anwendungen, OT/ICS)
- Out-of-Scope-Liste (Produktiv-DBs, kritische Notfall-Systeme)
- Methode (Black-Box / Grey-Box / White-Box; OSSTMM / OWASP / PTES)
- Zeitfenster (Geschaeftszeit, Wartungs-Fenster, 24/7)
- Schlachtordnung bei laufender Beobachtung durch das SOC der
  Mandantschaft
- Reporting (Format, Schwere-Klassifikation, Re-Test)

## Abschnitt 2 — Haftungs-Cap und Ausnahmen

Tabelle mit Spalten: Anforderung | Klausel | Soll | Ist | Luecke?

Anforderungen:
- Cap-Hoehe absolut oder pro Schadensfall oder pro Vertragsjahr
- Ausnahme bei Vorsatz und grober Fahrlaessigkeit (zwingend)
- Ausnahme bei DSGVO-Bussgeldern (marktstandard)
- Ausnahme bei Schaeden aus dem Pentest selbst (kritisch bei
  produktiven Systemen)
- Ausnahme bei Verletzung der Geheimhaltungspflicht
- Versicherungs-Nachweis des Dienstleisters
- Mitwirkungs-/Mitverschuldens-Klauseln

## Abschnitt 3 — Meldeketten beim Findings-/Incident-Fall

Tabelle mit Spalten: Stufe | Empfaenger | Frist | Klausel | Luecke?

Stufen:
- Kritische Finding (Sofort-Meldung an CISO / Hotline)
- Hohe Finding (innerhalb 24 h an CISO und Datenschutzbeauftragte)
- Mittlere/niedrige Finding (im Reporting-Zyklus)
- Datenpanne i. S. Art. 33 DSGVO (Meldung-Architektur)
- Sicherheits-Vorfall i. S. NIS2 / § 32 BSIG (24 h Erst-,
  72 h Folge-, 1 Monat Abschluss-Meldung)
- DORA-Incident (Finanzsektor)
- Sektorspezifische Meldepflichten (KRITIS-Verordnung, ICS-
  Richtlinie)

## Abschnitt 4 — Incident-Response-SLA

Tabelle mit Spalten: Metrik | Ziel | Messung | Eskalation | Folge

Metriken:
- Reaktionszeit nach Alarm-Schwere (S1: < 30 min, S2: < 4 h,
  S3: < 1 Werktag)
- Wiederherstellungs-Frist (RTO)
- Forensik-Bereitschaft (Stunden bis Vor-Ort-Praesenz)
- Kommunikations-Frequenz waehrend Incident
- Eskalations-Pfad bei SLA-Verfehlung

## Abschnitt 5 — NIS2-Verzahnung

Tabelle mit Spalten: Anforderung | Klausel | Soll | Ist | Luecke?

Anforderungen:
- Klarheit, dass Mandantschaft NIS2-essential oder -important ist
  (sofern zutreffend)
- Unterstuetzung bei NIS2-Meldungen (24 h / 72 h / 1 Monat)
- Vertraulichkeit gegenueber Behoerden-Anfragen geregelt
- NIS2-Geschaeftsleitungs-Pflichten (Schulung,
  Risiko-Management) im Vertrag adressiert
- Subdienstleister-Architektur und NIS2-Lieferketten-Risiko

## Abschnitt 6 — ISO-27001-Bezuege

Tabelle mit Spalten: Annex-A-Kontrolle | Vertragsklausel | Soll | Ist

Bezuege:
- A.5.7 Threat Intelligence
- A.5.10 Acceptable Use
- A.5.23 Cloud Services
- A.6.3 Information Security Awareness
- A.8.7 Protection against Malware
- A.8.8 Management of Technical Vulnerabilities
- A.8.16 Monitoring Activities
- A.8.27 Secure Coding (falls relevant fuer Pentest-Inhalt)
- Statement of Applicability der Mandantschaft

## Abschnitt 7 — AVV und Drittlandtransfer

Tabelle mit Spalten: Anforderung | Klausel | Soll | Ist | Luecke?

Anforderungen:
- AVV nach Art. 28 DSGVO als Anlage
- Sub-Prozessor-Liste mit Drittlandtransfer-Markierung
- SCC-Modul-Verweis bei Drittland
- TIA-Verweis bei Drittland-Sub-Prozessor
- Loesch- und Rueckgabe-Pflicht am Vertragsende

## Abschnitt 8 — Verhandelbarkeits-Uebersicht

Tabelle mit Spalten: Luecke | Stufe | Verhandlungs-Hinweis

Stufen:
- [STANDARD] — typische Branchen-Luecke, regelmaessig verhandelbar
- [KRITISCH] — NIS2-/DSGVO-Pflichtverletzung oder Haftungs-Cap-
  No-Go
- [ANWALT-PRUEFUNG] — anwaltliche Bewertung im konkreten Setup
  erforderlich

# Format
Markdown. Tabellen fuer alle Abschnitte. Bei zitierten NIS2-Normen
immer mit BSIG-Paragraph (z. B. "§ 32 BSIG"); bei zitierten ISO-
Kontrollen mit Annex-A-Nummer.

# Verbote
KEINE abschliessende Aussage zur NIS2-/DORA-Anwendbarkeit ohne
Sachverhalts-Beleg.
KEINE Empfehlung zur Annahme / Verhandlung / Ablehnung.
KEINE Spekulation zur Vertrauenswuerdigkeit des Dienstleisters.
KEINE Aussage zur Marktueblichkeit von Haftungs-Cap-Hoehen ohne
Quellen-Beleg.
KEINE Bezugnahme auf KI-Modell-Versionen oder Hersteller-Marketing.

Vertragsparteien:
  Dienstleister: [[Unternehmensname-3a7c]],
    [[Adresse-3a7c]], vertreten durch [[Vorname-3a7c]] [[Nachname-3a7c]].
  Auftraggeber (Mandant): [[Unternehmensname-8d2e]],
    [[Adresse-8d2e]], vertreten durch [[Vorname-8d2e]] [[Nachname-8d2e]].

Leistungsgegenstand:
  Penetration Test und Aufbau eines Managed SOC fuer die Produktiv-
  Systeme [[Produktname-8d2e-01]], [[Produktname-8d2e-02]] und
  die OT-Umgebung [[Produktname-8d2e-03]] am Standort
  [[Adresse-8d2e-02]]. Methodik: Grey-Box gemaess OSSTMM 3 und
  OWASP Testing Guide v4.

Auszug § 4 (Scope):
  Im Pentest-Scope sind die Netzbereiche [[IP-Bereich-8d2e-01]]
  und [[IP-Bereich-8d2e-02]]. Out-of-Scope sind die SAP-Produktiv-
  Datenbank [[Hostname-8d2e-01]] und der OT-Notfall-Bus
  [[Hostname-8d2e-02]]. Tests in der OT-Umgebung finden
  ausschliesslich im Wartungs-Fenster Samstag 02:00–06:00 statt.

Auszug § 7 (Haftung):
  Die Haftung des Dienstleisters ist auf den Betrag der fuer das
  jeweilige Projekt vereinbarten Verguetung begrenzt, maximal
  jedoch 250.000 Euro je Schadensfall. Diese Begrenzung gilt nicht
  bei Vorsatz und grober Fahrlaessigkeit. Eine Versicherung mit
  einer Deckungssumme von 5 Mio. Euro wird vom Dienstleister
  unterhalten.

Auszug § 9 (Meldeketten):
  Kritische Findings werden binnen vier Stunden an die Notfall-
  Hotline [[Telefonnummer-8d2e]] und an die CISO-Adresse
  [[Email-8d2e]] gemeldet. Hohe Findings im wochentlichen
  Reporting. Eine Meldung an Aufsichtsbehoerden obliegt
  ausschliesslich dem Auftraggeber.

Auszug § 11 (Incident-Response-SLA):
  Reaktionszeit Schwere 1 (Totalausfall, akuter Daten-Diebstahl):
  30 Minuten 24/7. Schwere 2 (signifikante Beeintraechtigung):
  4 Stunden 24/7. Vor-Ort-Praesenz bei Schwere 1: binnen 8 Stunden.

Auszug § 14 (NIS2):
  Der Dienstleister unterstuetzt den Auftraggeber bei der
  Erfuellung seiner Pflichten nach NIS2 / BSIG, soweit dies aus
  den vom Dienstleister erlangten Informationen erforderlich ist.

Anlage 3 (Sub-Prozessoren):
  [[Unternehmensname-c4a9]] (Threat Intelligence, EU)
  [[Unternehmensname-1f6b]] (Forensik-Sandbox, USA)
  [[Unternehmensname-7e2d]] (SIEM-Hosting, EU)

# Cybersecurity-Vertrag — Klausel-Matrix

## Abschnitt 1 — Scope und Methode

| Punkt | Klausel | Soll | Ist | Luecke? |
|---|---|---|---|---|
| Scope-Definition (IP-Bereiche) | § 4 | konkret | [[IP-Bereich-8d2e-01]] und [[IP-Bereich-8d2e-02]] | erfuellt |
| Out-of-Scope (kritische Notfall-Systeme) | § 4 | konkret | [[Hostname-8d2e-01]] und [[Hostname-8d2e-02]] | erfuellt |
| Methode | § Leistungsgegenstand | OSSTMM/OWASP/PTES | OSSTMM 3 und OWASP Testing Guide v4 | erfuellt |
| Zeitfenster (OT-Wartungs-Fenster) | § 4 | Pflicht bei OT | Samstag 02:00–06:00 | erfuellt |
| Schlachtordnung mit eigenem SOC | n. v. | empfohlen | nicht geregelt | [STANDARD] |
| Reporting-Format und Schwere-Klassifikation | § Leistungsgegenstand | konkret | nicht ersichtlich, ob Schwere-Klassifikation definiert | [STANDARD] |
| Re-Test nach Behebung | n. v. | empfehlenswert | nicht geregelt | [STANDARD] |

## Abschnitt 2 — Haftungs-Cap und Ausnahmen

| Anforderung | Klausel | Soll | Ist | Luecke? |
|---|---|---|---|---|
| Cap-Hoehe | § 7 | branchen-uebliche Spanne | 250.000 EUR je Schadensfall | erfuellt mit Reserve [STANDARD] |
| Ausnahme Vorsatz/grobe Fahrlaessigkeit | § 7 | zwingend | erfuellt | — |
| Ausnahme DSGVO-Bussgelder | § 7 | marktstandard | nicht erwaehnt | [KRITISCH] |
| Ausnahme meldepflichtige Datenpannen | § 7 | empfohlen | nicht erwaehnt | [KRITISCH] |
| Ausnahme Schaeden aus Pentest selbst | § 7 | empfohlen | nicht erwaehnt | [KRITISCH] — Pentest in Produktiv-Systemen |
| Ausnahme Verletzung Geheimhaltungs-Pflicht | § 7 | empfohlen | nicht erwaehnt | [STANDARD] |
| Versicherungs-Nachweis | § 7 | Pflicht | 5 Mio. EUR Deckungssumme | erfuellt |
| Mitwirkungs-Klausel | n. v. | empfohlen | nicht geregelt | [STANDARD] |

## Abschnitt 3 — Meldeketten

| Stufe | Empfaenger | Frist | Klausel | Luecke? |
|---|---|---|---|---|
| Kritische Finding | Hotline [[Telefonnummer-8d2e]] und CISO [[Email-8d2e]] | 4 h | § 9 | erfuellt |
| Hohe Finding | (woechentliches Reporting) | 7 Tage | § 9 | [STANDARD] — 24 h waere strenger |
| Mittlere/niedrige Finding | im Reporting-Zyklus | — | § 9 | erfuellt |
| Datenpanne Art. 33 DSGVO | obliegt Auftraggeber | — | § 9 | [PRUEFUNG] — Unterstuetzungs-Pflicht des Dienstleisters klaeren |
| NIS2-Vorfall (§ 32 BSIG, 24 h / 72 h / 1 Monat) | (in § 14 angedeutet) | 24 h Erst-Meldung | § 14 | [KRITISCH] — Unterstuetzung "soweit erforderlich" ist vage |
| DORA-Incident (falls anwendbar) | n. v. | — | n. v. | [PRUEFUNG] — Anwendbarkeit klaeren |
| KRITIS-/sektorale Meldepflicht | n. v. | — | n. v. | [PRUEFUNG] |

## Abschnitt 4 — Incident-Response-SLA

| Metrik | Ziel | Messung | Eskalation | Folge bei Verfehlung |
|---|---|---|---|---|
| Reaktionszeit S1 | 30 min 24/7 | nicht definiert (Stoppuhr ab welchem Trigger?) | nicht geregelt | nicht geregelt [STANDARD] |
| Reaktionszeit S2 | 4 h 24/7 | nicht definiert | nicht geregelt | nicht geregelt [STANDARD] |
| Vor-Ort-Praesenz S1 | 8 h | nicht definiert | nicht geregelt | nicht geregelt [STANDARD] |
| RTO | nicht spezifiziert | — | — | — [STANDARD] |
| Kommunikations-Frequenz waehrend Incident | nicht spezifiziert | — | — | — [STANDARD] |
| Sonder-Kuendigung bei SLA-Verfehlung | nicht geregelt | — | — | — [STANDARD] |

## Abschnitt 5 — NIS2-Verzahnung

| Anforderung | Klausel | Soll | Ist | Luecke? |
|---|---|---|---|---|
| Anwendungsbereich der Mandantschaft (NIS2-essential / -important / kein Anwendungsbereich) | n. v. | Sachverhalts-Klaerung | nicht ersichtlich | [PRUEFUNG] |
| Unterstuetzung NIS2-Meldungen | § 14 | konkret | "soweit erforderlich" — vage | [KRITISCH] — 24 h / 72 h / 1 Monat ausdruecklich verankern |
| Vertraulichkeit gegenueber Behoerden | n. v. | empfohlen | nicht geregelt | [STANDARD] |
| NIS2-Geschaeftsleitungs-Pflichten | n. v. | informativ | nicht geregelt | [STANDARD] |
| Sub-Dienstleister-Architektur und Lieferketten-Risiko | Anlage 3 | NIS2 Art. 21 Abs. 2 lit. d | Sub-Liste vorhanden | [PRUEFUNG] — Lieferketten-Sicherheits-Klausel pruefen |

## Abschnitt 6 — ISO-27001-Bezuege

| Annex-A-Kontrolle | Vertragsklausel | Soll | Ist |
|---|---|---|---|
| A.5.7 Threat Intelligence | Anlage 3 (Threat-Intel-Subprozessor) | im Vertrag adressiert | teilweise |
| A.5.23 Cloud Services | Anlage 3 ([[Unternehmensname-7e2d]] SIEM) | Konsistenz pruefen | [PRUEFUNG] |
| A.8.7 Protection against Malware | § Leistungsgegenstand | im SOC-Setup adressiert | teilweise |
| A.8.8 Vulnerability Management | § Leistungsgegenstand | Pentest-Bezug | erfuellt |
| A.8.16 Monitoring Activities | § 11 / SOC-Leistung | Pflicht | teilweise |
| Statement of Applicability der Mandantschaft | n. v. | Konsistenz | nicht im Vertrag | [PRUEFUNG] |

## Abschnitt 7 — AVV und Drittlandtransfer

| Anforderung | Klausel | Soll | Ist | Luecke? |
|---|---|---|---|---|
| AVV nach Art. 28 DSGVO | n. v. im Auszug | Pflicht | nicht ersichtlich | [PRUEFUNG] |
| Sub-Prozessor-Liste mit Drittland-Markierung | Anlage 3 | Pflicht | [[Unternehmensname-1f6b]] (USA) markiert | erfuellt |
| SCC-Modul-Verweis bei Drittland | n. v. im Auszug | Pflicht | nicht ersichtlich | [KRITISCH] |
| TIA-Verweis bei Drittland-Sub-Prozessor | n. v. im Auszug | Pflicht | nicht ersichtlich | [KRITISCH] |
| Loesch- und Rueckgabe-Pflicht am Vertragsende | n. v. im Auszug | Pflicht | nicht ersichtlich | [PRUEFUNG] |

## Abschnitt 8 — Verhandelbarkeits-Uebersicht

| Luecke | Stufe | Verhandlungs-Hinweis |
|---|---|---|
| Haftungs-Cap ohne Ausnahme DSGVO-Bussgelder | [KRITISCH] | Marktstandard fordert Ausnahme |
| Haftungs-Cap ohne Ausnahme meldepflichtige Datenpannen | [KRITISCH] | Marktstandard fordert Ausnahme |
| Haftungs-Cap ohne Ausnahme Pentest-Schaden | [KRITISCH] | bei produktiven Systemen unverzichtbar |
| NIS2-Unterstuetzung "soweit erforderlich" | [KRITISCH] | 24 h / 72 h / 1 Monat ausdruecklich verankern |
| Drittlandtransfer SCC-Modul nicht erwaehnt | [KRITISCH] | Pflicht — Klausel ergaenzen |
| Drittlandtransfer TIA nicht erwaehnt | [KRITISCH] | Pflicht — Klausel ergaenzen |
| Reporting-Format und Schwere-Klassifikation | [STANDARD] | konkret regeln |
| Re-Test nach Behebung | [STANDARD] | gaengig im Pentest-Markt |
| Sonder-Kuendigung bei SLA-Verfehlung | [STANDARD] | gaengig nach drei Monaten Verfehlung in Folge |
| SoA-Bezug der Mandantschaft im Vertrag | [PRUEFUNG] | ISO-27001-Konsistenz pruefen |
| DORA-Anwendbarkeit | [PRUEFUNG] | Finanzsektor-Status der Mandantschaft klaeren |

[ANWALT-PRUEFUNG: NIS2-Anwendungsbereich der Mandantschaft, DORA-
Status, Haftungs-Cap-Strategie und Meldeketten-Konsistenz mit den
eigenen Incident-Response-Prozessen erfolgen anwaltlich auf Basis
dieser Klausel-Matrix.]