BaFin definiert neue Cloud-Anforderungen Was Finanzdienstleister bei der Cloud-Auslagerung beachten müssen

Anbieter zum Thema

Deloitte Consulting GmbH

Fsas Technologies GmbH

netfiles GmbH

Cloudgermany.de GmbH

Seit dem 1. Februar 2024 sind Finanzinstitute mit der überarbeiteten Cloud-Aufsichtsmitteilung der BaFin konfrontiert. Die Neuerungen bringen bedeutende Veränderungen mit sich und erfordern u.a. eine Anpassung des Cloud Compliance Frameworks von Finanzinstituten. Der folgende Artikel bietet einen Überblick über diese Veränderungen sowie praktikable Lösungen für die Umsetzung im Finanzsektor.

Die neue Aufsichtsmitteilung präsentiert überarbeitete Vorgaben für Finanzdienstleister, die erwägen, ihre (IT) Services in die Cloud zu verlagern. Sie stellt die konsolidierte Anforderungssicht der BaFin und der Deutschen Bundesbank zu diesem Thema dar und zielt darauf ab, Klarheit hinsichtlich der aufsichtsrechtlichen Anforderungen zu schaffen.

Vorgaben für Cloud-Auslagerungen konkretisiert

„Doch, die BaFin erlaubt das!“

Ein zentraler Punkt dieser Mitteilung ist die klare Betonung der Verantwortung des beaufsichtigten Unternehmens für die Einhaltung gesetzlicher Vorschriften, auch im Fall einer Auslagerung an einen Cloud-Anbieter. Diese Verantwortung kann nicht delegiert werden. Es obliegt weiterhin dem beaufsichtigten Unternehmen sicherzustellen, dass die relevanten Anforderungen erfüllt werden. Darüber hinaus werden praktische Vorschläge zur Gestaltung u.a. von Vertragsklauseln sowie zur Überwachung und Kontrolle von Cloud-Auslagerungen inkl. thematische Zusammenhänge zum neuen Digital Operational Resilience Act (DORA) dargelegt.

Was sind die wesentlichen Änderungen?

Die thematischen Schwerpunkte liegen auf internen Richtlinien, Ressourcenzuweisung, Vertragsgestaltung und Implementierung von Sicherheitsmaßnahmen. Die BaFin unterstreicht ausdrücklich, dass die Etablierung klarer interner Richtlinien für die Nutzung der Cloud zwingend erforderlich ist. Darüber hinaus wird die Bedeutung von umsetzbaren Exit-Strategien und -plänen, die angemessen getestet werden müssen, betont.

Mit diesen überarbeiteten Vorschriften veranschaulicht die BaFin das steigende Bewusstsein für die Relevanz von Compliance und Sicherheit bei der Cloud-Nutzung im hochregulierten Finanzsektor:

• Interne Richtlinien für die Cloud-Nutzung (Kapitel III.3)
  Die BaFin betont die Notwendigkeit interner Richtlinien für die Cloud-Nutzung, die sowohl allgemeine als auch anbieterspezifische Anforderungen umfassen. Dies beinhaltet die Entwicklung und den Betrieb von Anwendungen in der Cloud sowie Themen wie Compliance, Verschlüsselung und Identitätsmanagement.

• Interne Ressourcenzuweisung und Qualifikation (Kapitel III.4)
  Die Behörde empfiehlt eine angemessene Zuweisung von personellen Ressourcen für die Cloud-Nutzung, sowohl quantitativ als auch qualitativ. Es ist wichtig, dass das Personal, das mit Cloud-bezogenen Aufgaben betraut ist, über die erforderlichen Fertigkeiten und Kenntnisse verfügt.

• Vertragsgestaltung (Kapitel III.5.2/III.5.3/III.5.7)
  Die BaFin legt großen Wert auf klare und einheitliche Vertragsbedingungen in der gesamten Outsourcing-Kette. Dies umfasst u.a. auch Prozesse zur Genehmigung von Änderungen bei Weiterverlagerungen.

• Sichere Anwendungs- und Betriebsentwicklung in der Cloud (Kapitel IV.1.2/IV.1.3)
  Besondere Aufmerksamkeit wird auf die sichere Entwicklung und den Betrieb von Anwendungen in der Cloud gelegt. Dies beinhaltet vor allem die Definition von Cloud-Anforderungen und die Implementierung entsprechender Kontrollen.

• Cyber- und Informationssicherheit (Kapitel IV.2/V.3.2)
  Die Integration zwischen den Security-Tools (z.B. Security Information and Event Management System, genannt SIEM) des Cloud-Anbieters und des Instituts ist aus Sicht der BaFin von entscheidender Bedeutung. Ebenso wichtig ist die Bereitstellung detaillierter Analyseergebnisse von Informationssicherheitsvorfällen.

• Exit-Strategie und -pläne (Kapitel IV.4)
  Es wird empfohlen, Exit-Pläne für Cloud-Dienste zu entwickeln und regelmäßig zu testen, um deren Effektivität im Bedarfsfall zu gewährleisten.

• Asset Management (Kapitel V.1)
  Die BaFin betont die Bedeutung eines effektiven Asset Managements und eines zentralen Inventars für die genutzten Cloud-Assets.

• Überwachung von Cloud-Anbietern (Kapitel V.2.1/V.4)
  Die kontinuierliche Überwachung der Servicequalität von Cloud-Anbietern ist unerlässlich, ebenso wie die angemessene Zuweisung von Budgetmitteln von Institutsseite für Überwachungs-, Kontroll- und Prüfmaßnahmen.

• Audits von Cloud-Diensten (Kapitel V.4.2.1/V.4.2.3)
  Die BaFin empfiehlt u.a., dass das Institut im Falle einer „Sammelprüfung" ausreichend in die Planung und Durchführung der Sammelprüfung involviert ist.

Ausblick – Was gilt es bei der Umsetzung zu beachten?

Bei der Umsetzung ist es wichtig, zusätzlich die neuen DORA-Anforderungen in den jeweiligen Themenfeldern zu beachten, sodass die Anforderungen gesamtheitlich effizient umgesetzt wird. Inhaltliche Zusammenhänge werden in den jeweiligen Kapiteln aufgezeigt.

Transparenz, umfassende Dokumentation und ein vollumfängliches Verständnis der Anforderungen sind maßgeblich für die Umsetzung. Dabei dürfen betriebliche Anforderungen und Wirtschaftlichkeit nicht aus den Augen verloren werden. Es ist entscheidend, die konsolidierten Anforderungen proaktiv in laufende Prozesse, wie z.B. die Vertragsverhandlungen zu integrieren. Zudem ist ein dynamischer und anpassungsfähiger Ansatz zur Einhaltung der Vorschriften erforderlich, um zukünftigen Aktualisierungen gerecht zu werden.

Fazit

Die neu überarbeiteten Anforderungen der BaFin zeigen, dass Cloud Compliance und Security weiterhin zentrale Themen für Finanzinstitute sind. Entscheidend ist, dass Organisationen für ihre Cloud-Auslagerungen verantwortlich und in der Lage sind, sich an stetig wandelnde regulatorische Anforderungen anzupassen. Dieses Bewusstsein spielt in jeder Phase der Nutzung von Cloud-Diensten eine Schlüsselrolle. Im Angesicht zukünftiger Anforderungen müssen auch die neuen DORA-Anforderungen im Cloud-Kontext berücksichtigt werden.

* Über die Autoren: Vassilios Tsioupas ist Senior Manager bei Deloitte mit Schwerpunkten in Cloud Compliance, IT-Audit, IT-Governance und Risikomanagement. Christian Konradt, ebenfalls Senior Manager bei Deloitte, fokussiert sich auf die Finanz­dienst­leistungs­branche mit Expertise in Cloud Compliance, Berechtigungs­management und Informationssicherheit.

(ID:50068701)