BaFin aktualisiert Richtlinien zur Auslagerung von Cloud-Anbietern
Navigieren der DORA-Compliance und verstärkte AufsichtEinleitung
Die BaFin hat im Februar 2024 ihre Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter aus November 2018 aktualisiert. Die Aktualisierung der Aufsichtsmitteilung basiert auf dem Austausch der BaFin und der Deutschen Bundesbank mit beaufsichtigten Unternehmen und Cloud-Anbietern. Nachstehend fassen wir für Sie die wichtigsten Punkte und Neuerungen der aktualisierten Aufsichtsmitteilung zusammen. Insbesondere sollten beaufsichtigte Unternehmen sich bereits jetzt mit den neuen Vorschriften der Verordnung (EU) 2022/2554 (Digital Operational Resilience Act – „DORA“) vertraut machen und auf deren Umsetzung vorbereiten.
Zusammenfassung
- Die BaFin verweist in ihrer Aufsichtsmitteilung extensiv auf DORA und weist beaufsichtigte Unternehmen darauf hin, bereits jetzt bei der Änderung oder dem Neuabschluss von Auslagerungsverträgen über IT-Dienstleistungen die Vorschriften der DORA zu berücksichtigten.
- BAIT (und entsprechende Rundschreiben für Versicherungen, Zahlungsdienstleister und Kapitalverwaltungsgesellschaften) werden im Zuge der DORA ebenfalls überarbeitet und aktualisiert, um eine Doppelregulierung zu vermeiden.
- Beaufsichtigte Unternehmen müssen das Sicherheitsniveau von Cloud-Anbietern laufend überwachen und Maßnahmen zur Informationssicherheit umsetzen.
Das aktualisierte Aufsichtsschreiben der BaFin zum Outsourcing an Cloud-Anbieter basiert auf der Leitlinie zum Outsourcing an Cloud-Anbieter von November 2018. Die erheblich erweiterte und aktualisierte Version beruht insbesondere auf dem Austausch zwischen BaFin und der Deutschen Bundesbank mit beaufsichtigten Unternehmen und Cloud-Anbietern. Die Diskussionen der BaFin mit Cloud-Anbietern konzentrierten sich auf die Struktur von (Standard-)Verträgen und die spezifischen Herausforderungen bei der praktischen Umsetzung des Outsourcings. Die BaFin betont, dass beaufsichtigte Unternehmen kontinuierlich das Sicherheitsniveau von Cloud-Anbietern überwachen und Informationssicherheitsmaßnahmen umsetzen müssen.
Die Aufsichtsmitteilung soll die Besonderheiten im Zusammenhang mit der Nutzung von Cloud-Diensten ansprechen und als Leitfaden für beaufsichtigte Unternehmen dienen. Darüber hinaus soll die Aufsichtsmitteilung einen Ausblick auf die praktischen Auswirkungen der DORA geben, die am 16. Januar 2023 in Kraft getreten ist und ab dem 17. Januar 2025 unmittelbar anwendbar sein wird. Insbesondere bietet die Aufsichtsmitteilung Anleitungen zu den Anforderungen an Outsourcing-Vereinbarungen und zur Überwachung und Kontrolle des Cloud-Outsourcings durch beaufsichtigte Unternehmen. In diesem Zusammenhang rät die BaFin beaufsichtigten Unternehmen, die neuen Bestimmungen der DORA bei der Änderung oder dem Abschluss neuer s zu berücksichtigen.
Die BaFin betont, dass beaufsichtigte Unternehmen eine Risikoanalyse und Wesentlichkeitsbewertung des beabsichtigten ausgelagerten Dienstes durchführen sollten. Dies sollte nach Ansicht der BaFin durch eine strategische Analyse ergänzt werden, ob die beabsichtigte Auslagerung "cloudfähig" ist, angemessen vom beaufsichtigten Unternehmen überwacht werden kann und auch in angemessenem Umfang wieder in das beaufsichtigte Unternehmen zurückverlagert werden kann.
Des Weiteren sollen beaufsichtigte Unternehmen interne Richtlinien für die Nutzung von Cloud-Anbietern und Cloud-Diensten entwickeln, die im Einklang mit ihrer (IT-)Strategie und ihren IT-Sicherheitsrichtlinien stehen. Idealerweise sollten die beaufsichtigten Unternehmen allgemeine Richtlinien für die Nutzung von Cloud-Diensten sowie spezifische Richtlinien für die Nutzung bestimmter Cloud-Dienste und Cloud-Anbieter erstellen. Die Richtlinien sollten zumindest die Themen Cloud-Compliance, Identitäts- und Rechtemanagement, Verschlüsselung und Schlüsselverwaltung, Entwicklung und Betrieb, Schnittstellen und Umgebungen, Steuerung von Subunternehmen sowie IT-Notfallmanagement abdecken.
Zusätzlich sollten beaufsichtigte Unternehmen ausreichende quantitative und qualitative personelle, finanzielle und sonstige Ressourcen für die Nutzung der Cloud bereitstellen und verankern. Die BaFin hebt in diesem Zusammenhang besonders die Bereiche Governance, Risikomanagement und Auslagerungsmanagement hervor. Vor allem die Bereiche Überwachung, Kontrolle und Prüfung des Cloud-Outsourcings sowie die Entwicklung, der Betrieb und die Sicherheit von Cloud-Anwendungen und Cloud-Umgebungen müssen angemessen in der Ressourcenallokation berücksichtigt werden.
Aufgrund der komplexen technischen Materie müssen beaufsichtigte Unternehmen sicherstellen, dass auslagerungsnahe Tätigkeiten von Personen durchgeführt werden, die einschlägige Kenntnisse und Kompetenzen über die Nutzung von Cloud-Lösungen haben. Je technischer die Aufgaben sind, desto spezifischer soll das Wissen der Personen zu dem Cloud-Anbieter und den Cloud-Diensten sein.
Im Vergleich zur Orientierungshilfe aus November 2018 gibt es in der aktuellen Aufsichtsmitteilung der BaFin hinsichtlich der Vertragsgestaltung von Auslagerungsverträgen über Cloud-Dienste nur wenige Ergänzungen. Die Ausführungen der BaFin basieren teilweise auf vergangenen Rundschreiben der BaFin (etwa AT 9 der MaRisk oder II. 9 der BAIT) sowie auf Artikel 28 Abs. 7 und Artikel 30 DORA und führen somit die bisherige aufsichtsrechtliche Praxis in Bezug auf (herkömmliche) Auslagerungen, den Fremdbezug von IT-Dienstleistungen und die Vorschriften der DORA zusammen. BAIT (und entsprechende Rundschreiben für Versicherungen, Zahlungsdienstleister und Kapitalverwaltungsgesellschaften) werden im Zuge der DORA ebenfalls überarbeitet und aktualisiert, um eine Doppelregulierungen zu vermeiden.
