Bereits im November 2018 hatte die Finanzaufsicht BaFin eine Orientierungshilfe für Auslagerungen an Cloud-Anbieter veröffentlicht, um auslagernden Unternehmen eine praxisnahe Einschätzung darüber an die Hand zu geben, wie die Aufsicht Auslagerungen in die Cloud einschätzt. Im Februar hat die BaFin diese Orientierungshilfe nun präzisiert, ergänzt und als „Aufsichtsmitteilung für Auslagerungen an Cloud-Anbieter“ veröffentlicht.
Die Aufsichtsmitteilung richtet sich an die im Finanzsektor beaufsichtigten Unternehmen, unter anderem Kreditinstitute, Finanzdienstleistungsinstitute, Wertpapierinstitute, sonstige Wertpapierdienstleistungsunternehmen, Kapitalverwaltungsgesellschaften, Zahlungsinstitute und E-Geld-Institute.
Die Aufsichtsmitteilung hat einen mit einem Merkblatt vergleichbaren Charakter und enthält keine eigenen Regelungen, sondern lediglich Hinweise zu bestehenden Vorgaben aus verschiedenen Gesetzen und Rundschreiben. Maßgebliche Grundlage für diese Hinweise sind die Erkenntnisse der BaFin aus der aufsichtsrechtlichen Praxis.
Änderungen und neue Inhalte
Die BaFin hat in ihrer Aufsichtsmitteilung die Inhalte der Orientierungshilfe aus dem November 2018 zur Governance von Cloud-Auslagerungen, zu Einführungsprozessen und zu vertraglichen Mindeststandards überarbeitet.
Außerdem hat die BaFin zwei neue Kapitel aufgenommen:
Das neue Kapitel IV „Sichere Anwendungsentwicklung und IT-Betrieb in der Cloud“ enthält insbesondere Architekturprinzipien für die Cloud-Entwicklung und Hinweise zur Überwachung der Cloud-Umgebung, um die Cyber-Sicherheit der Cloud gewährleisten zu können.
Das neue Kapitel V „Überwachung und Kontrolle der Auslagerungen an Cloud-Anbieter“ enthält Informationen darüber, wie die Leistungserbringung des Cloud-Anbieters nach Ansicht der BaFin überwacht und kontrolliert werden sollte. Hauptsächliches Augenmerk liegt in der Praxis dabei darauf, ob die Prozess- und Informationsketten zwischen Cloud-Anbieter und beaufsichtigtem Unternehmen durch geeignete technische und organisatorische Maßnahmen („TOMs“) aufeinander abgestimmt sind.
Umsetzung von DORA
Für besonders erwähnenswert halten wir, dass die BaFin in Ihrer Aufsichtsmitteilung auch den ab Januar 2025 anzuwendenden Digital Operational Resilience Act (DORA) bereits berücksichtigt und an relevanten Stellen darauf aufmerksam macht, was sich zukünftig durch diese EU-Verordnung ändern wird.
Die Umsetzung neuer Anforderungen (z.B. aus DORA) in Auslagerungsverhältnissen erfordern häufig einigen zeitlichen Vorlauf. Wir empfehlen daher eine frühzeitige Auseinandersetzung mit den relevanten Änderungen; gerne unterstützen wir Sie dabei.
