Neu: FinOps Dashboard

Cloud Advisory

Cloud Strategy
Cloud Governance
Cloud Compliance
Cloud Security Implementation
Cloud Exit Management
Cloud Financial Management

Cloud Solutions

CloudGate: DORA-Tool
Sovereign Cloud
Cloud Enabling Kit
Cloud Cost Calculator
Servicebeschreibungen

Cloud Academy

Cloud-Master
Seminare
Publikationen
Glossar
Cloud Beratung Ich möchte... Zu den Kundenprojekten


Outsourcing Advisory

Sourcing-Strategie
IT-Ausschreibung
Transition & Transformation
Provider Management
Aktuell: DORA

Outsourcing Solutions

CloudGate: DORA-Tool
Verträge, Servicekataloge, SLAs
Provider Management Enabling Kit
SLA-Rechner

Outsourcing Academy

Seminare
Publikationen
Glossar
Outsourcing Beratung Ich möchte... Zu den Kundenprojekten


AI Advisory

AI Strategy
AI Governance
AI Risk Management
AI Compliance
AI Literacy/KI-Kompetenz
AI Act

AI Solutions

AI Register-Tool: CloudGate
AI Act Assessment
AI User Adoption (Copilot)

AI Academy

Seminare
Publikationen
Glossar
Data & AI Beratung Ich möchte... Zu den Kundenprojekten


GRC Advisory

IT-Governance
IT Risk Management
IT-Compliance
AI Act
DORA
NIS-2

GRC Solutions

CloudGate: DORA-Tool
Muster-Verträge
Cloud Enabling Kit
Provider Management Enabling Kit

GRC Academy

Seminare
Publikationen
Glossar
Icon Compliance


ITFM Advisory

IT-Kostenoptimierung
Cloud Financial Management
Aufbau Cloud FinOps
FinOps Maturity Assessment
Interne Leistungsverrechnung

ITFM Solutions

FinOps Dashboard
Cloud Cost Calculator
SLA-Rechner

ITFM Academy

Seminare
Publikationen
Glossar
Icon Euro/Cost Optimization


Transformation Adoption Advisory

Digital Adoption
User Adoption Management

User Adoption Solutions

M365 User Adoption
M365 Evergreen User Adoption
Copilot User Adoption

Academy

Seminare
Publikationen
Glossar
User Adoption Beratung


Karriere

Deine Karriere
Bewerbung und Onboarding
Einstieg und Aufstieg
#lieblingsarbeitgeber
Diversity und Familienfreundlichkeit

Offene Stellen

Consultants Outsourcing & Cloud
Senior IT-Consultants Outsourcing & Cloud
IT-JuristInnen
Senior Consultants IT-Architektur

Offene Stellen

Senior Consultants IT-Security
Senior Consultants Provider Mgmt
Senior Consultants Cloud & Digitale Transformation
Karriere bei microfin


Erfahrung

Cloud
Outsourcing
GRC
IT-Kostenoptimierung
Providermanagement

News

Publikationen
Veranstaltungen
Outsourcing Deals

Über uns

Team
Mitgliedschaften
Partnerschaften
Engagement
Über uns


  1. Home
  2. Cloud
  3. Cloud Advisory
  4. Cloud Exit Management

Cloud-Exit-Manage­ment

Ausstiegs­optionen als Schlüs­sel der digi­talen Resi­lienz

Gut durchdachte Cloud-Exit-Strate­gien sind essenz­iell, um recht­liche Vo­ga­ben zu er­fül­len und Aus­fall­ri­si­ken zu mini­mieren. Ein struk­tu­rier­tes Cloud-Exit-Manage­ment hilft Unter­nehmen, Ab­hängig­keiten von An­bie­tern aktiv zu steuern und jeder­zeit hand­lungs­fähig zu ble­iben. Stan­dardi­sier­te Pro­zesse mit kla­ren Ver­ant­wort­lich­keiten und Al­ter­na­tiv­lösungen gewähr­leisten eine rei­bungs­lose Um­setzung im Ernst­fall.
Gestaltet eure Cloud-Nut­zung sou­verän – wir zeigen euch, wie!

Mehr erfahren    Direkt anfragen

Cloud-Exit-Management für regulierte und nicht-regulierte Branchen

Cloud-Exit-Management ist für beaufsichtigte Finanzunternehmen wie Banken und Versicherungen aufgrund aufsichtlich-regulatorischer Vorgaben verpflichtend (DORA, EBA-, EIOPA- und ESMA-Guidelines, BaFin Aufsichtsmitteilung etc.) Aber auch für nicht-regulierte Unternehmen gibt es vergleichbare Anforderungen (NIS-2).

Diese Regelungen sind komplex und vielschichtig. Mit unserer langjährigen Expertise in Cloud Compliance und deren Operationalisierung in der Cloud Governance sowie in der Begleitung aufsichtlicher IT-Prüfungen unterstützen wir euch dabei, diese Vorgaben sicher und effizient umzusetzen. Profitiert von unseren Lösungsansätzen, die sich für Ausstiegs-Strategie, -Plan und -Test etc. in der (Prüfungs-) Praxis bewährt haben.

Gemeinsam entwickeln wir maßgeschneiderte Maßnahmen für euch:

Entwicklung strategischer Cloud-Exit-Optionen

Ob Cloud2Cloud, Cloud2OnPremises, Cloud2Hybrid oder Sovereign Cloud – wir entwickeln mit euch trag- und zukunftsfähige Cloud-Exit-Optionen zur Vermeidung von Anbieterabhängigkeiten. Mit unserem pragmatischen und zugleich rechtlich fundierten Ansatz könnt ihr sicherstellen, dass euer Unternehmen stets handlungsfähig bleibt – sei es aus aufsichtlich-regulatorischer Notwendigkeit oder strategischer Weitsicht.

Ausarbeitung und Optimierung belastbarer Cloud-Exit-Pläne

Wir arbeiten mit euch detaillierte Maßnahmen zur schrittweisen Umsetzung eines Wechsels oder einer Rückführung aus der Cloud aus (Auslöser, Handlungsoptionen, Annahmen etc.). Ein wesentlicher Maßstab für die Planung eines möglichen Exits ist dabei der damit verbundene Risikoappetit in eurem Unternehmen. Setzt damit auf ein professionelles Cloud Exit Management und gestaltet eure IT-Landschaft resilient, anpassungsfähig und sicher.

Organisatorische Verankerung des Cloud-Exit-Managements

Ein effektives Cloud-Exit-Management erfordert eine klare organisatorische Verankerung innerhalb der Cloud Governance, die interne Zuständigkeiten und Abläufe festlegt. Wir unterstützen euch bei der Frage, ob und inwieweit ihr eure bestehende Aufbau- und Ablauforganisation auf das Cloud-Exit-Management anpassen solltet oder ob vorhandene Strukturen bereits tragfähig sind.

Verzahnung des Cloud Exits mit dem Kontinuitäts- und Notfallmanagement

Wir sorgen dafür, dass das Cloud-Exit-Management eng mit dem Business Continuity Management (BCM) und dem Notfallmanagement verzahnt wird, um die Handlungsfähigkeit eures Unternehmens im Krisenfall sicherzustellen. Während das Notfallmanagement auf die unmittelbare Reaktion auf Störungen fokussiert ist, adressiert das BCM die langfristige Aufrechterhaltung kritischer Geschäftsprozesse. Das Cloud-Exit-Management ergänzt diese Perspektiven durch Strategien zur geordneten Migration oder Ablösung von Cloud-Diensten.

Eskalation und Kommunikation im Fall des Cloud-Exits

Weitere kritische Aspekte sind Kommunikation im Exit-Fall. Hierbei müssen klare Regeln definiert werden. Dies umfasst sowohl die interne Koordination als auch die externe Kommunikation mit Kunden, IKT-Drittdienstleistern und Regulierungsbehörden (ESAs, BaFin). Wir unterstützen euch bei der Ausarbeitung und Implementierung entsprechender Eskalations- und Kommunikationsmittel und -Kanäle, damit "im Fall der Fälle" alle wissen, wer wann für was verantwortlich ist.

User Adoption für akzeptierte Cloud-Exit-Pläne

Ein erfolgreiches Cloud-Exit-Management erfordert nicht nur technische und organisatorische Maßnahmen, sondern auch eine gezielte User Adoption. Um die zuständigen Product Owner (POs) davon zu überzeugen, ein Exit-Konzept anzufertigen, ist gezieltes Innenmarketing entscheidend. Aufklärung, Schulung und Training über die Anforderungen helfen dabei, ein Bewusstsein für die Relevanz eines detaillierten Exit-Plans zu schaffen. Zudem sollte auf mögliche Prüfungsfeststellungen oder negative Auswirkungen hingewiesen werden, die bei fehlender Vorbereitung entstehen können. Ein besonderer Fokus liegt darauf, die Voraussetzungen für einen Exit "so leicht wie möglich" zu gestalten, um eine reibungslose Migration oder den Wechsel des Anbieters sicherzustellen.

Tabletop-Simulation der Cloud-Exit-Szenarien

Ihr möchtet wissen, wie belastbar und funktionsfähig die von euch definierten Cloud-Exit-Szenarien sind? Im Rahmen von Tabletop-Simulationen analysieren wir die zugrundeliegenden Cloud-Architekturen (Plattform, Container, Anwendung etc.) auf mögliche Schwachstellen, prüfen die Belastbarkeit der damit verbundenen Migrationsszenarien und zeigen euch Handlungsoptionen zur Optimierung auf. 

Icon Telefon Kontakt

Lass uns sprechen...

… und euer Cloud Exit Management praxisorientiert ausrichten!

Wir freuen uns auf deine Kontaktaufnahme!
 

Kostenfreies Erstgespräch vereinbaren

Wissen, wo es lang geht

Denkt beim Einstieg in die Cloud schon an den Ausstieg. Das erleichtert euch einen möglichen Wechsel zu einem anderen Cloud-Provider.

Wichtigste Fragen und Antworten zum Exit-Management

Icon eins 1

Wie bereite ich einen nahtlosen Übergang vor?

Um die Beendigung von Cloud-Services reibungslos zu gestalten ist eine strukturierte Vorbereitung entscheidend. Das Exit-Management setzt Mechanismen in Gang, die einen möglichst reibungslosen Übergang von einem Cloud-Service-Provider zurück...
 

Mehr erfahren

Icon zwei 2

Wann ist ein Exit-Management erforderlich?

Exit-Management ist besonders im regulierten Umfeld unerlässlich. Im Auslagerungskontext von Banken und im Ausgliederungskontext von Versicherung gibt es zwingende Vorgaben zur Durchführung eines Exit-Managements. Hier gelten strenge Anforderungen, ...

Mehr erfahren

Icon drei 3

Wie sieht ein geordnetes Exit-Management aus?

Ein strukturiertes Exit Management ist entscheidend für die langfristige Stabilität und Flexibilität deines Unternehmens. Es umfasst eine durchdachte Exit-Strategie, präzise Exit-Konzepte und detaillierte Exit-Pläne, die sicherstellen, dass du auf den Wegfall eines ...

Mehr erfahren

Deine Vorteile für ein vorausschauendes Cloud-Exit-Management

Risikominderung

Icon Austausch

Reduzierung der Abhängigkeit vom Cloud-Anbieter

Rechtssicherheit

Icon Paragraph

Erfüllung aufsichtlich-regulatorischer Anforderungen

Flexibilität

Icon Upload, Download

Sicherstellung eines reibungslosen Übergangs

Planungssicherheit

Icon Compliance Check

Strategische Vorbereitung auf mögliche Ausstiegsszenarien

Vertrauenswürdigkeit

Icon Schloss

Vermeidung von Reputationsschäden

Digitale Resilienz

Icon Cloud Compliance-Siegel

Absicherung der Geschäftsprozessfähigkeit

Icon Glühbirne

Vorlagen für dein Exit-Management

Benötigst du kurzfristig und günstig Expertenwissen für dein Exit-Management?
Unsere Exit-Musterdokumente (Anlage zum Rahmenvertrag) sind passgenau für dich. Spare wertvolle Zeit und starte direkt mit unseren sofort verfügbaren Vorlagen durch!

Kontakt aufnehmen

Bereit für den Ernstfall? Teste deinen Cloud-Ausstiegs-Plan mit ExitReady 360!

Mit "ExitReady 360" macht ihr euer Unternehmen in kürzester Zeit fit für den sicheren Cloud-Exit – ohne großen Aufwand. In einem strukturierten, interaktiven Prozess prüfen wir gemeinsam den von euch erstellten Ausstiegsplan und die damit verbundenen Dokumentationen für einen ausgewählten Cloud Use Case. Dabei fokussieren wir auf die Architektur, Anwendungen und Migrationsszenarien, bevor wir in einer praxisnahen Tabletop-Simulation das Exit-Szenario durchspielen. Ihr erfahrt, wo ihr in den vier entscheidenden Bereichen Contract-, Compliance-, Use-Case- und Platform-Readiness steht und bekommt einen klaren Exit-Readiness-Score.

Wir leiten für euch konkrete, priorisierte Maßnahmen ab, um eure Cloud-Exit-Fähigkeit zu optimieren und die regulatorischen Anforderungen praxisbewährt zu erfüllen. So stellt ihr sicher, dass euer Unternehmen jederzeit handlungsfähig bleibt – und keine bösen Überraschungen erlebt – weder in der Prüfung noch im Fall des tatsächlichen Ausstiegs! Wir führen die Cloud-Exit-Simulation und das Maturity-Level-Assessment gemeinsam mit unserem Partner Thinkport durch, einem Spezialisten für Cloud-Architekturen und -Migrationen.

ExitReady 360 Vorgehen
ExitReady 360 Vorgehen
ExitReady 360 Vorgehen

Gerne stellen wir euch in einem ersten unverbindlichen Gespräch unser Vorgehen detaillierter vor.

Weitere Infos zum Angebot findest du im Flyer. Jetzt downloaden!

Kontakt aufnehmen   Flyer Download

Herausforderungen im Cloud-Exit-Management

Regulatorische Vorgaben wie DORA, EBA- EIOPA- und ESMA-Leitlinien setzen unterschiedliche Schwerpunkte, was die Auslegung der Anforderungen erschwert. Unternehmen verlieren durch Cloud-Auslagerungen oft essenzielles Know-how, das im Exit-Fall benötigt wird, während technische Hürden wie Datenmigration und Sicherheitseinstellungen zusätzliche Herausforderungen mit sich bringen. Zudem fehlt häufig der Weitblick, Exit-Szenarien bereits bei der Einführung neuer Cloud-Services zu berücksichtigen. Schließlich sind auch die wirtschaftlichen Auswirkungen eines Exits entscheidend, da verschiedene Migrationsstrategien mit unterschiedlichen Kosten und Risiken verbunden sind.  
 

1. Unsicherheit bei der Auslegung der Vorgaben

2. Fehlendes Know-how

3. Technische Komplexität

4. Fehlender Weitblick bei Use-Case-Planung

5. Sicherstellung der Wirtschaftlichkeit

  • Unsicherheit

    1. Unsicherheit bei der Auslegung der Vorgaben

    Die aufsicht­lich-regu­la­to­ri­schen An­for­derungen aus beispiels­weise DORA, EBA-, EIOPA- und ESMA-Leit­linien oder den MaRisk bzw. MaGo sind nicht zwin­gend deckungs­gleich. Die Regel­werke setzen ver­schie­dene Schwer­punkte. Wir zeigen euch, wie die ein­zel­nen An­for­de­rungen für das Cloud-Exit-Manage­ment zu­ein­ander gel­ten, inein­ander­greifen und wie sie praxis­bewährt an­ge­wendet wer­den können.

  • Fehlendes Know-how

    2. Fehlendes Know-how

    Infolge der cloud­basierten Fremd­ver­gaben ver­lieren Unter­nehmen regel­mäßig Kom­pe­ten­zen und Wissen im Be­trieb der damit ver­bun­denen Services. Doch genau dieses Know-how ist im Falle des Exit-Voll­zugs zwin­gend er­for­der­lich. Ob intern oder extern – bei der Aus­ar­bei­tung eurer Exit-Pläne be­rück­sich­tigen wir, wie und durch wen dieses Know-how bereit­gestellt wer­den könnte. Bei extern ein­geplan­ten Ressourcen spielt deren Ver­füg­barkeit bei Aus­fall ins­beson­dere eines von vielen Unter­nehmen genutzten Cloud-Service-Providers eine über­geordnete Rolle, die es zu miti­gie­ren gilt.

  • Technische Komplexität

    3. Technische Komplexität

    Ein Cloud-Exit-Plan muss ins­besondere die Daten­exporte und -migrationen berück­sichtigen, da Inkom­pa­tibilitäten zwischen Quell- und Ziel-Systemen zu unerwarteten Problemen führen können. Sicher­heits­ein­stellungen unter­schied­licher Cloud-Anbieter erfordern eine genaue Prüfung, um sicher­zu­stellen, dass keine Schutz­mecha­nismen ver­loren gehen. Beson­ders kri­tisch ist der Umgang mit Legacy-An­wen­dungen, die oft schwer zu migrieren sind, sowie Ab­hängig­keiten von An­wen­dungen unter­einander, deren Zusammen­hänge häufig nicht voll­ständig doku­men­tiert sind.

  • Fehlender Weitblick

    4. Fehlender Weitblick bei Use-Case-Planung

    Während sich alle auf die Pro­duk­tiv­nahme des neuen Cloud-Ser­vice fo­kussie­ren, muss in­fol­ge der auf­sicht­lich-regu­lato­ri­schen An­for­de­rungen zeit­gleich dessen mög­licher Exit ge­plant wer­den. Das be­trifft in der Regel die­selben Ver­ant­wort­lichen. Die Planung zur Um­setzung des neuen Cloud-Use-Case sollte daher zwin­gend auch schon Ressourcen, Auf­wand und Zeit für die Pla­nung des Exits be­rück­sich­tigen.

  • Wirtschaftlichkeit

    5. Sicherstellung der Wirtschaftlichkeit

    Die finanz­iel­len Aus­wir­kun­gen eines Cloud-Exits sind vor allem ab­hängig vom ge­wähl­ten Mi­grations­szenario und den betrieb­lichen An­for­de­run­gen. Ein Hot Stand-by be­deu­tet doppel­te Kosten für Lizen­zen, War­tung und Be­trieb, aber auch Daten­repli­kation und Netz­an­bin­dung. Ein Cold Stand-by redu­ziert die lau­fen­den Kosten im Ver­gleich zum Hot-Stand-by-Modell erhebl­ich, führt aber im Exit-Fall zu er­höh­ten Auf­wän­den für das Hoch­fah­ren der Sys­teme. Ein reines Pla­nungs­sze­nario führt (zunächst) zu ge­rin­gen di­rek­ten Kos­ten, ver­ur­sacht aber Auf­wand für Stra­te­gie­ent­wick­lung, Ver­trags­ge­stal­tung und Ri­si­ko­ana­lys­en. Wir ach­ten auf die Wirt­schaft­lich­keit eurer Cloud-Exit-Plä­ne, die nicht nur die ein­ma­li­gen Mi­grations­kosten, sondern auch lang­fris­tige Be­triebs- und Ska­lie­rungs­kosten be­wer­ten.

Icon Glühbirne/Kontakt

Klingt interessant?

Dann erfahre, wie wir euch unterstützen in Sachen Cloud-Exit-Management.

Wir freuen uns auf deine Kontaktaufnahme!
 

Kostenloses Erstgespräch vereinbaren

Aufsichtlich-regulatorisch Vorgaben an das Cloud Exit Management für Finanzunternehmen

Hier findet ihr alle relevanten Quellen sowie eine detaillierte Übersicht über die gesetzlichen und regulatorischen Anforderungen auf europäischer und nationaler Ebene. Im Rahmen unserer Zusammenarbeit erläutern wir euch die Abhängigkeiten und Zusammenhänge der verschiedenen Anforderungen und gehen auf die Möglichkeiten und Grenzen ihrer Auslegung ein. Unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit zeigen wir euch praxisbewährte Lösungsansätze im Cloud-Exit-Management.

EU-Flagge

Solvency II ​
Art. 49 Richtlinie 2009/138/EG​

​Mehr erfahren

EU-Flagge

Delegierte Verordnung (EU) 2015/35 ​
Art. 274 Ziffer 4​

​Mehr erfahren

EU-Flagge

Digital Operational Resilience Act (DORA)​
Art. 28 (8)​

Mehr erfahren  

EU-Flagge

EBA-GL Outsourcing Arrangements​
Tz. 106 a – c

Mehr erfahren  

EU-Flagge

EIOPA-GL Outsourcing​
Cloud Provider​
Tz. 56 ff.​

​Mehr erfahren

EU-Flagge

ESMA-GL Outsourcing​
Cloud Provider​
 Tz. 31​

​Mehr erfahren

EU-Flagge

ECB Guide Outsourcing​
Cloud Services​
Tz. 2.4​ (Draft 07/2024)

Mehr erfahren  

Deutschland-Flagge

Kreditwesen­gesetz (KWG)​
§ 25 b

Mehr erfahren  

Deutschland-Flagge

Mindest­anforderungen 
Risiko­­management (MaRisk) AT 9 Tz. 6​

​Mehr erfahren

Deutschland-Flagge

Versicherungs­aufsichts­gesetz (VAG)​
§ 32​

​Mehr erfahren

Deutschland-Flagge

Mindest­anforderungen​
Geschäfts­organisation ​
(MaGo) Tz. 13.8​

​Mehr erfahren

Deutschland-Flagge

BaFin Aufsichts­mitteilung Cloud​
Kapitel IV. Ziffer 4

Mehr erfahren  

Auch interessant für dich

ExitReady Vorgehen/Assessment

Assessment: ExitReady 360

Lies im kostenlosen Flyer nach, wie wir dich im ExitReady-360-Assessment nach vorne bringen. Jetzt downloaden!

Cloud Exit

Fachartikel Cloud-Exit-Strategie

Cloud-Exit: Schon auf Wolke 7 an die Scheidung denken! Jetzt lesen.

BaFin-Mitteilung Cloud-Auslagerungen

Aufsichtsmitteilung Cloud-Auslagerungen

Lies nach, welche Neuerungen es gibt und wie du heute schon starten kannst mit der Umsetzung der BaFin-Neuregelungen. Infos hier!

Sebastian Dosch
Dein Experte für
Cloud-Exit-Management
mf Icon male

Sebastian Dosch
Enabler und Principal Consultant

Du hast Fragen zum Cloud-Exit-Management? Sebastian Dosch hat die Antworten und freut sich über deine Kontaktaufnahme.
Tel +49 6172 177 630

Kontakt    Profil ansehen

×

Wie bereite ich einen nahtlosen Übergang vor?

Remigration von Daten und Applikationen zurück in deine Organisation oder zu einer anderen Cloud-Umgebung

Um die Beendigung von Cloud-Services reibungslos zu gestalten ist eine strukturierte Vorbereitung entscheidend. Das Exit-Management setzt Mechanismen in Gang, die einen möglichst reibungslosen Übergang von einem Cloud-Service-Provider zurück in die Aufrageberverantwortung oder zu einem anderen Cloud-Service-Provider sicherstellen.

Beim Outsourcing werden z.B. dazu entsprechende Regelungen im Vertrag festgehalten, besonders für regulierte Unternehmen, die hierzu verpflichtet sind.

Bereits bei der Auswahl und Einführung der betreffenden Cloud-Lösung oder des Cloud-Dienstes sollte dein Cloud-Projekt ein Exit-Management definieren. Exit-Plan und Exit-Strategie sollten regelmäßig auf ihre Aktualität geprüft werden, um stets auf dem neuesten Stand zu bleiben. Die genannten Prinzipien gelten ebenso für das Exit-Management im traditionellen Outsourcing.

Wichtigste Vorteile:

  • Strukturierte Vorbereitung: Vertragliche Regelungen zur Beendigung von Cloud-Services festlegen.
  • Reibungsloser Übergang: Mechanismen zur sicheren Remigration von Daten und Applikationen.
  • Regelmäßige Überprüfung: Exit-Plan und Exit-Strategie auf dem aktuellen Stand halten.


Kontaktiere uns für maßgeschneiderte Lösungen und Vorlagen.

Wir freuen uns auf deine Nachricht!

×

Wann ist ein Exit-Management erforderlich?

Exit-Management ist besonders im regulierten Umfeld unerlässlich. Im Auslagerungskontext von Banken und im Ausgliederungskontext von Versicherung gibt es zwingende Vorgaben zur Durchführung eines Exit-Managements. Hier gelten strenge Anforderungen, die sicherstellen sollen, dass Unternehmen jederzeit in der Lage sind, ihre Dienstleistungen ohne Unterbrechung weiterzuführen, selbst wenn ein Cloud-Dienstleister ausfällt oder gewechselt werden muss.

Mit DORA ändern sich nun die Begriffe:

  • Für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, richten Finanzunternehmen Ausstiegsstrategien ein.
  • Für EBA-, EIOPA- oder ESMA-Betroffene gelten Regelungen wie: Bei der Auslagerung von kritischen oder wesentlichen Funktionen sollten die Institute und Zahlungsinstitute über eine dokumentierte Ausstiegsstrategie verfügen, die mit ihrer Auslagerungspolitik und den Plänen zur Geschäftsfortführung in Einklang stehen.

Es geht somit nicht mehr um "wesentlich" oder "nicht wesentlich", sondern um Themen wie Kritikalität, Wichtigkeit und Wesentlichkeit.

Es gilt zu unterscheiden zwischen:

  1. Unterstützung kritischer oder wichtiger/wesentlicher Funktionen
  2. Keine Unterstützung kritischer oder wichtiger/wesentlicher Funktionen

Kritisch, wichtig oder wesentliche sind Funktionen etwa dann, wenn ihr Ausfall eine erhebliche Beeinträchtigung der finanziellen Leistungsfähigkeit, der Geschäftsfortführung oder regulatorischer Art darstellt.

Mit einem gut durchdachten Exit-Management gewährleistest du, dass dein Unternehmen auf Veränderungen vorbereitet ist und Risiken minimiert werden. Es stellt zudem sicher, dass du in der Lage bist, schnell und effizient auf unerwartete Ereignisse zu reagieren, ohne den Betrieb deines Unternehmens zu gefährden.

Definiere ein maßgeschneidertes Exit-Management für dich. Kontaktiere uns, um die passende Strategie für dein Unternehmen zu entwickeln.

Wir freuen uns auf deine Nachricht!

 

×

Wie sieht ein geordnetes Exit-Management aus?

Ein strukturiertes Exit-Management ist entscheidend für die langfristige Stabilität und Flexibilität deines Unternehmens. Es umfasst eine durchdachte Exit-Strategie, präzise Exit-Konzepte und detaillierte Exit-Pläne, die sicherstellen, dass du auf den Wegfall eines Dienstleisters vorbereitet bist und zu einer Alternative wechseln kannst. Regelmäßige Test und Überprüfungen sind ebenfalls unerlässlich.

Die Nähe von Exit und Betriebskontinuitätsmanagement (BKM; englisch business continuity management (BCM)) rückt in den Fokus der Regulatoren. Daher ist in der Regel eine enge Abstimmung und Verzahnung zwischen BCM und Exit erforderlich.

  • Exit-Strategie:

Die Exit-Strategie bildet die übergeordnete Grundlage für dein Vorgehen bei einem Wechsel oder Wegfall von Dienstleistern. Sie definiert die allgemeinen Prinzipien und Ziele, die bei einem Exit verfolgt werden. Diese Strategie hilft dir, die Risiken zu minimieren und die Kontinuität deiner Geschäftsprozesse zu gewährleisten.

  • Exit-Konzept:

Ein Exit-Konzept befasst sich detailliert mit konkreten Ausstiegsszenarien für spezifische Outsourcing-Vorhaben bzw. Use Cases. Es analysiert potenzielle Risiken und entwickelt maßgeschneiderte Lösungen für den Fall, dass ein Dienstleister nicht mehr zur Verfügung steht. So bist du auf alle Eventualitäten vorbereitet und kannst flexibel reagieren.

  • Exit-Plan:

Der Exit-Plan setzt das Exit-Konzept in die Praxis um. Er enthält konkrete Schritte und Maßnahmen, die im Falle eines Exits durchgeführt werden müssen. Dies umfasst alles von der Datenmigration und Sicherstellung der Datensicherheit bis hin zur Kommunikation mit Stakeholdern und der Neuorganisation von Arbeitsabläufen. Der Exit-Plan stellt sicher, dass der Übergang so reibungslos wie möglich verläuft.

  • Exit-Test:

Exit-Konzepte und -Pläne sind regelmäßig zu  testen. Insbesondere bei den kritischsten und wichtigen Funktionen sind Banken und Versicherungen dazu verpflichtet. Hier gilt es geeignete Test-Strategien (z. B. Echt-Tests, Full-Scale-Test, Partial-Test, Desktop-Test), zu definieren. Neben den Tests sind die Unterlagen und Kontaktdaten etc. regelmäßig zu bearbeiten und aktuell zu halten.
 
Finde mit uns passende Strategien, Konzepte und  Planungen für dich!
Wir bieten umfassende Unterstützung bei der Erstellung eines strukturierten Exit-Managements, das genau auf deine Bedürfnisse zugeschnitten ist. Unser Expertenteam arbeitet eng mit dir zusammen, um alle Eventualitäten abzudecken.

Wir freuen uns auf deine Nachricht!

 

×

Cloud Exit Management

Nicht zuletzt das aktuelle Weltgeschehen zeigt, dass ein professionell aufgesetztes und regelkonformes Cloud Exit Management die Grundlage für eine zukunftssichere und anpassungsfähige – und damit resilientere – IT-Landschaft schafft.

Ein zentraler Aspekt ist der Schutz vor finanziellem Schaden – ungeplante Ausfälle oder Vertragsbeendigungen ohne Alternativstrategie könnten erhebliche wirtschaftliche Verluste verursachen. Gleichzeitig erfordert die Einhaltung aufsichtsrechtlicher Vorgaben, dass Unternehmen jederzeit nachweisen können, wie sie den geordneten Übergang oder Wechsel von Cloud-Diensten sicherstellen.

Dies geht Hand in Hand mit der Notwendigkeit, sämtliche Risiken systematisch zu erfassen und aktiv zu steuern, um potenzielle Bedrohungen für den Geschäftsbetrieb frühzeitig zu identifizieren und geeignete Gegenmaßnahmen zu definieren. Darüber hinaus ist es unerlässlich, die kontinuierliche Verfügbarkeit der eigenen Leistungen für Kunden zu garantieren – Serviceunterbrechungen könnten nicht nur zu finanziellen Einbußen, sondern auch zu Vertrauensverlust und Reputationsschäden führen.

Ein solcher Ansatz schafft Transparenz, verbessert die Steuerbarkeit und stellt sicher, dass das Unternehmen jederzeit handlungsfähig bleibt.

Wir helfen euch, die mit einem Cloud Exit verbundenen Risiken zu minimieren, die hieran gestellten Anforderungen lösungsorientiert auszulegen und belastbare Handlungsoptionen für einen Ausstieg zu entwickeln.

×

Maßnahmen für einen Cloud-Exit-Plan

Die wesentlichen Maßnahmen eines Exit-Plans umfassen die Art der Beendigung, die Notfallorganisation sowie die betroffenen Geschäftsprozesse:

  • Auslöser des Exit-Szenarios: z. B. geplante Vertragsbeendigung, strategische Entscheidung, Anbieterwechsel
  • Handlungsoptionen zum Ersatz: z. B. Auswahl und Integration eines neuen Cloud-Anbieters, Rückführung in die eigene IT-Infrastruktur
  • Erleichterungen/Beeinträchtigungen: z. B. Planbarkeit der Maßnahmen, Minimierung der Unterbrechungen
  • Präventive Maßnahmen: z. B. frühzeitige Planung und Vertragsgestaltung, regelmäßige Überprüfung der Exit-Strategie
  • Relevante Annahmen für das Szenario: z. B. Verfügbarkeit alternativer Anbieter, ausreichende Vorbereitungszeit
  • Risiken und Mitigationsmaßnahmen: z. B. Datenverlust, Betriebsunterbrechungen; Backup-Strategien, Testmigrationen
×

Übermäßige Komplexität vermeiden, Lebenszyklus berücksichtigen

Da Cloud-Plattform, Cloud-Services und Cloud-Anwendungen oft unterschiedliche Verantwortungsbereiche betreffen, besteht die Gefahr einer übermäßigen Komplexität. Um dies zu vermeiden, müssen klare Verantwortlichkeiten zwischen den beteiligten Einheiten definiert werden.

Der Exit-Prozess sollte zudem als Lebenszyklusbetrachtung erfolgen: Was passiert, wenn sich die zugrundeliegende Infrastruktur ändert oder eine Anwendung migriert oder abgeschaltet wird? Diese Fragestellung muss frühzeitig in die Cloud-Strategie einfließen, um reibungslose Übergänge zu ermöglichen.

×

Zuständigkeiten und Abläufe für den Cloud-Exit

Die zentrale Verantwortung für den Exit-Prozess könnte beispielsweise beim Product Owner (PO) des jeweiligen IT-Produkts liegen, der die End-2-End-Steuerung des Exits sicherstellt.

Zur operativen Umsetzung kann ein dedizierter Exit-Manager oder alternativ ein Risk Owner (RO) als orchestrierende Instanz eingesetzt werden. Diese Rolle sorgt für einen geregelten Exit, indem sie alle beteiligten Akteure koordiniert und sicherstellt, dass Exit-Szenarien frühzeitig durchdacht werden.

Notfallorganisation

  • Eskalationskaskade zur Führungsstruktur: Festgelegte Eskalationswege zur schnellen Entscheidungsfindung
  • Sofortige Information der Cloud-Use-Case-Verantwortlichen: Benachrichtigung der verantwortlichen Personen für eine rasche Reaktion
  • Information weiterer Betroffener: Kommunikation mit relevanten Stakeholdern und betroffenen Abteilungen
×

Integrierte Exit- und BCM-Strategie

Um Risiken zu minimieren, sollten Exit-Strategien und BCM-Planungen aufeinander abgestimmt sein. Ein durchdachtes Cloud-Exit-Management muss sicherstellen, dass im Falle eines unerwarteten oder geplanten Anbieterwechsels kritische Geschäftsprozesse nahtlos fortgeführt werden können. Hierzu sind Exit- und BCM-Pläne notwendig, die sowohl Übergangslösungen als auch langfristige Alternativen berücksichtigen.

×

Abgrenzung Notfall- vs. Exit-Szenario

Ein Notfall tritt ein, wenn ein unerwartetes Ereignis zu einer erheblichen Beeinträchtigung der Geschäftsprozesse führt und sofortige Maßnahmen erforderlich sind.

Ein Exit-Szenario hingegen bezieht sich auf die geplante oder erzwungene Beendigung eines Cloud-Service-Vertrags, wobei der Cloud-Service-Provider (CSP) idealerweise vertraglich definierte Exit-Unterstützungsleistungen erbringt. Ein kritischer Unterschied ist, dass im Notfall kurzfristige Lösungen im Vordergrund stehen, während ein Exit-Szenario die gezielte Ablösung eines Cloud-Dienstes umfasst – mit oder ohne Unterstützung des CSP.

Da nicht garantiert werden kann, dass der CSP die vertraglich vereinbarten Exit-Leistungen tatsächlich oder rechtzeitig erbringt, sind Übergangslösungen essenziell. Diese müssen so gestaltet sein, dass sie sowohl kurzfristige Notfallmaßnahmen als auch mittelfristige Übergangsszenarien abdecken.

Dies kann beispielsweise eine temporäre Verlagerung von Workloads auf alternative Cloud-Anbieter oder eine lokale Infrastruktur umfassen. Dabei sollten die Anforderungen des Notfallmanagements auch im Exit-Fall berücksichtigt werden, insbesondere in Bezug auf Datenintegrität, Verfügbarkeit und regulatorische Anforderungen.

×

Eskalations- und Kommunikationsmittel und -Kanäle

Zur Eskalation und Kommunikation im Exit-Fall gehören mindestens:

  • Eskalationskaskade zur Führungsstruktur: Festgelegte Eskalationswege zur schnellen Entscheidungsfindung
  • Sofortige Information der Cloud-Use-Case-Verantwortlichen: Benachrichtigung der verantwortlichen Personen für eine rasche Reaktion
  • Information weiterer Betroffener: Kommunikation mit relevanten Stakeholdern und betroffenen Abteilungen
  • Angabe aller vom Cloud-Use-Case betroffenen Geschäftsprozesse
  • Sicherstellen, dass alle Bereiche des Unternehmens auf einen Cloud-Ausfall vorbereitet sind
×

Solvency II Art. 49 Richtlinie 2009/138/EG

"(1) Die Mitgliedstaaten stellen sicher, dass Versicherungs- und Rückversicherungsunternehmen, die Funktionen oder Versicherungs- oder Rückversicherungstätigkeiten outsourcen, voll für die Erfüllung all ihrer Verpflichtungen gemäß dieser Richtlinie verantwortlich bleiben.
(2) Das Outsourcing kritischer oder wichtiger operativer Funktionen oder Tätigkeiten darf nicht derart durchgeführt werden, dass einer der folgenden Fälle eintritt: 
a) wesentliche Beeinträchtigung der Qualität des GovernanceSystems des betreffenden Unternehmens;
b) übermäßige Steigerung des operationellen Risikos;
c) Beeinträchtigung der Fähigkeit der Aufsichtsbehörden, die Einhaltung der Verpflichtungen des Unternehmens durch dieses zu überwachen;
d) Gefährdung der kontinuierlichen und zufrieden stellenden Dienstleistung für die Versicherungsnehmer.
(3) Die Versicherungs- und Rückversicherungsunternehmen informieren die Aufsichtsbehörden rechtzeitig vor dem Outsourcing kritischer oder wichtiger Funktionen oder Tätigkeiten sowie über alle späteren wichtigen Entwicklungen in Bezug auf diese Funktionen oder Tätigkeiten.“

Solvency II

×

Delegierte Verordnung (EU) 2015/35 ​ Art. 274 Ziffer 4​

"Art. 274 Outsourcing (4) In der zwischen dem Versicherungs- oder Rückversicherungsunternehmen und dem Dienstleister gemäß Absatz 3 Buchstabe c zu schließenden schriftlichen Vereinbarung wird insbesondere alles Folgende klar festgelegt: (…)
(d) die bei Beendigung des Vertrags durch den Dienstleister geltende Kündigungsfrist, die lang genug sein muss, um es dem Versicherungs- oder Rückversicherungsunternehmen zu ermöglichen, eine alternative Lösung zu finden;
(e) dass das Versicherungs- oder Rückversicherungsunternehmen die Outsourcing-Vereinbarung erforderlichenfalls beenden kann, ohne dass dies zu Lasten der Kontinuität und Qualität der Dienstleistungen für die Versicherungsnehmer geht (…)"

Delegierte Verordnung (EU) 2015/35

×

DORA Art. 28 (8)

"DORA Art. 28 Allgemeine Prinzipien (8) Für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, richten Finanzunternehmen Ausstiegsstrategien ein. In den Ausstiegsstrategien wird den Risiken Rechnung getragen, die auf der Ebene der IKT-Drittdienstleister entstehen können, darunter insbesondere ein möglicher Fehler des IKT-Drittdienstleisters, eine Verschlechterung der Qualität der bereitgestellten IKT-Dienstleistungen, jede Unterbrechung der Geschäftstätigkeit aufgrund unangemessener oder unterlassener Bereitstellung von IKT-Dienstleistungen oder jedes erhebliche Risiko im Zusammenhang mit der angemessenen und kontinuierlichen Bereitstellung der jeweiligen IKT-Dienstleistungen oder der Beendigung vertraglicher Vereinbarungen mit IKT-Drittdienstleistern unter einem der in Absatz 7 genannten Umstände.
Finanzunternehmen stellen sicher, dass sie aus vertraglichen Vereinbarungen ausscheiden können, ohne:
a) Unterbrechung ihrer Geschäftstätigkeit,
b) Einschränkung der Einhaltung regulatorischer Anforderungen,
c) Beeinträchtigung der Kontinuität und Qualität ihrer für Kunden erbrachten Dienstleistungen.
Ausstiegspläne müssen umfassend, dokumentiert und im Einklang mit den in Artikel 4 Absatz 2 aufgeführten Kriterien ausreichend getestet sein sowie regelmäßig überprüft werden.
Finanzunternehmen ermitteln alternative Lösungen und entwickeln Übergangspläne, die es ihnen ermöglichen, dem IKT-Drittdienstleister die vertraglich vereinbarten IKT-Dienstleistungen und die relevanten Daten zu entziehen und sie sicher und vollständig alternativen Anbietern zu übertragen oder wieder in die eigenen Systeme zu überführen. Finanzunternehmen verfügen über angemessene Notfallmaßnahmen, um die Fortführung der Geschäftstätigkeit zu gewährleisten, falls die in Unterabsatz 1 genannten Umstände auftreten."

Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act)

×

EBA-GL on outsourcing arrangements Tz. 106

"Leitlinie 15 Ausstiegsstrategien TZ. 106 Bei der Auslagerung von kritischen oder wesentlichen Funktionen sollten die Institute und Zahlungsinstitute über eine dokumentierte Ausstiegsstrategie verfügen, die mit ihrer Auslagerungspolitik und den Plänen zur Geschäftsfortführung in Einklang stehen 37 , wobei mindestens folgende Möglichkeit zu berücksichtigen ist:
a. die Kündigung der Auslagerungsvereinbarungen;
b. der Ausfall des Dienstleisters;
c. die Verschlechterung der Qualität der ausgeführten Funktion und tatsächliche oder
potenzielle betriebliche Störungen aufgrund der unangemessenen oder unterlassenen Ausführung der Funktion;
d. Entstehen wesentlicher Risiken für die angemessene und fortlaufende Anwendung der Funktion."

EBA-Leitlinien zu Auslagerungen

×

EIOPA-GL on outsourcing to cloud service providers Tz. 56

"Leitlinie 15 Kündigungsrechte und Ausstiegsstrategien (…) Tz. 56 Bei der Ausarbeitung von Ausstiegsstrategien sollte das Unternehmen Folgendes berücksichtigen: 
a. Festlegung der Ziele der Ausstiegsstrategie;
b. Festlegung der Ereignisse, die die Aktivierung der Ausstiegsstrategie auslösen könnten (z. B. anhand von zentralen Risikoindikatoren, die auf eine unannehmbare Dienstleistungsgüte hinweisen); 
c. Durchführung einer Business-Impact-Analyse, die in einem angemessenen Verhältnis zu den ausgelagerten Tätigkeiten steht und Aussagen dazu liefern soll, welche personellen und sonstigen Ressourcen für die Umsetzung des Ausstiegsplans erforderlich wären und wie lange dies dauern würde; 
d. Zuteilung von Aufgaben und Zuständigkeiten für die Abwicklung von Ausstiegsplänen und Übergangsmaßnahmen; e. Festlegung von Erfolgskriterien für die Übertragung."

EIOPA-Leitlinien zum Outsourcing an Cloud-Anbieter

×

ESMA-GL on outsourcing to cloud service providers Tz. 31 ff.

"Leitlinie 5 Ausstiegsstrategien 31. Bei der Auslagerung von kritischen oder wesentlichen Funktionen sollte eine Firma sicherstellen, dass sie die Auslagerungsvereinbarung mit dem Cloud-Anbieter beenden kann, ohne ihre geschäftlichen Aktivitäten und Dienstleistungen gegenüber ihren Kunden in unverhältnismäßiger Weise zu unterbrechen und ohne die Einhaltung ihrer Verpflichtungen nach den anwendbaren Rechtsvorschriften sowie die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten zu beeinträchtigen. Zu diesem Zweck sollte eine Firma:
a) umfassende, dokumentierte und hinreichend überprüfte Ausstiegspläne entwickeln. Diese Pläne sollten bei Bedarf aktualisiert werden, d. h. unter anderem bei Änderungen der ausgelagerten Funktion;
b) alternative Lösungen ermitteln und Übergangspläneentwickeln, um die ausgelagerte Funktion und die entsprechenden Daten von dem Cloud-Anbieter und gegebenenfalls einem etwaigen Subunternehmer zurückzuholen und sie an einen von der Firma benannten alternativen Cloud-Anbieter oder direkt an die Firma zurück zu übertragen. Bei diesen Lösungen sollten die Herausforderungen berücksichtigt werden, die sich aus dem Standort der Daten ergeben können, wobei die Maßnahmen ergriffen werden sollten, die erforderlich sind, um die Fortführung des Geschäftsbetriebs in der Übergangsphase sicherzustellen;
c) sicherstellen, dass die schriftliche Auslagerungsvereinbarung mit dem CloudAnbieter eine Verpflichtung enthält, wonach der Cloud-Anbieter in dem Fall, dass die Firma die Ausstiegsstrategie einleitet, die geordnete Übergabe der ausgelagerten Funktion und der zugehörigen Datenverarbeitung von dem CloudAnbieter und einem etwaigen Subunternehmer an einen von der Firma benannten anderen Cloud-Anbieter oder direkt an die Firma unterstützen muss. Die Verpflichtung zur Unterstützung der geordneten Übergabe der ausgelagerten Funktion und der zugehörigen Datenverarbeitung sollte gegebenenfalls auch die sichere Löschung der Daten aus den Systemen des Cloud-Anbieters und eines etwaigen Subunternehmers beinhalten. 32. Bei der Entwicklung der unter a) und b) oben genannten Ausstiegspläne und -lösungen ("Ausstiegsstrategie") sollte die Firma folgendes tun:
a) die Ziele der Ausstiegsstrategie festlegen;
b) die auslösenden Ereignisse bestimmen, die die Einleitung der Ausstiegsstrategie zur Folge haben. Diese Ereignisse sollten zumindest die Beendigung der Auslagerungsvereinbarung mit dem Cloud-Anbieter auf Initiative der Firma oder des Cloud-Anbieters und den Ausfall oder eine sonstige schwerwiegende Unterbrechung der Geschäftstätigkeit des Cloud-Anbieters beinhalten;
c) eine Business-Impact-Analyse durchführen, die in einem angemessenen Verhältnis zu der ausgelagerten Funktion steht und Aussagen dazu liefern soll, welche personellen und sonstigen Ressourcen für die Ausführung der Ausstiegsstrategie erforderlich wären;
d) Aufgaben und Verantwortlichkeiten für das Management der Ausstiegsstrategie zuweisen;
e) die Prüfung der Angemessenheit der Ausstiegsstrategie unter Verwendung eines risikobasierten Ansatzes (z. B. durch eine Analyse der potenziellen Kosten, Auswirkungen, Ressourcen und der zeitlichen Implikationen der Übertragung einer ausgelagerten Dienstleistung an einen anderen Anbieter);
f) Erfolgskriterien für die Übertragung festlegen.
33. Eine Firma sollte bei ihrer ständigen Überwachung und Kontrolle der vom Cloud Anbieter im Rahmen der Auslagerungsvereinbarung erbrachten Dienstleistungen auch Indikatoren für die auslösenden Ereignisse berücksichtigen, die die Einleitung der Ausstiegsstrategie zur Folge haben."

ESMA-Leitlinien zur Auslagerung an Cloud-Anbieter

×

ECB Guide on outsourcing cloud services to cloud service providers Tz. 2.4 (Entwurf Juli 2024)

"2.4 Exit strategy and termination rights Under Article 28(8) of DORA, financial entities are required to put in place exit strategies for ICT services that support critical or important functions. Significant risks and challenges can arise if an institution decides to terminate a contractual agreement with a CSP without having previously established a comprehensive exit plan on the basis of a principle-based exit strategy. Exit strategies with clearly defined roles and responsibilities and estimated costs should be drawn up for all outsourced cloud services performing critical or important functions before those systems go live, and the time required to exit should be in line with the transition period indicated in the relevant contractual agreement.
2.4.1 Termination rights Contractual arrangements on the use of ICT services must allow the institution the right of termination if any of the circumstances set out in Article 28(7) of DORA arises. The ECB understands that grounds for such a termination, (which should be clearly stated in the cloud outsourcing contract with the CSP), could include (i) ongoing inadequate performance, (ii) serious breaches of the contractual terms, or of the applicable law or regulations, or (iii) an excessive increase in expenses under the contractual arrangements that are attributable to the CSP. Furthermore, the ECB understands Article 28(7) of DORA as meaning that the right of termination should also apply in cases where a reason for termination as described in the paragraph above is the result of the relocation of business units or data centres. Other changes that could also lead to such a reason for termination include (i) a merger or sale, (ii) a material change to the sub-contracting chain, (iii) relocation of the provider’s headquarters to another jurisdiction, (iv) relocation of the data centre hosting to another country, or a significant change to the host country’s social, political or economic climate, (v) a change to national legislation affecting the outsourcing arrangement, (vi) a change in the regulations applicable to data location and data processing, (vii) significant changes to the management of cybersecurity risk in the chain of sub-contractors, (vii) continuous failure to achieve agreed service levels or a substantial loss of service, and (ix) a failure to successfully execute cloud provider test migrations at the agreed times. As a matter of best practices, contractual arrangements on the use of ICT services supporting critical or important functions should include a transition period in the case of termination, with the aim of reducing the risk of disruption and allowing the switch to another provider, or the insourcing or decommissioning of the service. The ECB understands that, in order to allow for such a transition, the contract between the institution and the CSP should oblige the CSP to support a smooth and effective transition in accordance with the schedule in the agreed exit plan. If an outsourcing contract encompasses several services that can be managed independently, it should be possible to terminate only some of those services. On the basis of the requirement concerning key contractual provisions contained in Article 30(2)(a) of DORA, institutions should ensure that all suppliers of subcontracted services supporting the CSP comply with the same contractual obligations that apply between the institution and the CSP, (including obligations relating to confidentiality, integrity, availability, the retention and destruction of data, configurations and back-ups) if termination rights are exercised. The institution should ensure that the CSP’s termination rights are aligned with the institution’s exit strategy. In particular, the notice period set out in the contract with the CSP should be sufficient to allow the institution (or any third-party service provider employed by the institution that uses cloud services in its outsourcing chain) to transfer or insource the relevant services in accordance with the schedule in the exit plan.
2.4.2 Components of the exit strategy and alignment with the exit plan The ECB understands that for the purposes of compliance with the requirements set out in Article 28(8) of DORA, institutions should ensure operational resilience and mitigate relevant risks by establishing a principle-based exit strategy with granular technical exit plans for individual cloud outsourcing arrangements. Those exit plans should allow sufficient time for all the steps that need to be taken in the event of a planned or abrupt exit (including the establishment of alternative arrangements, such as moving the services in-house or finding a new provider). While BCM measures should ensure the continuity of services in the short term, exit plans should ensure continuity in the long term. When an exit strategy focuses on moving cloud services to another CSP, the institution should draw up a list of qualified alternative service providers, reviewing and updating that list on a regular basis using market reviews (looking, for example, at the advantages and disadvantages of the various cloud outsourcing providers). Where exit strategies involve bringing services in-house or migrating them to another CSP, institutions should perform technical analysis and estimate the time required for such a transition (which should be in line with the termination dates and periods set out in the contract).
2.4.3 Granularity of exit plans A dedicated exit plan as referred to in Article 28(8) of DORA should ensure that a supervised entity is able to react quickly to any deterioration in the service provided by a CSP. It is good practice for exit plans to include, as a minimum, the critical milestones, a description of the tasks and skill sets that are necessary to perform the exit, and a rough estimate of the time required and the costs involved. Exit plans should be reviewed and tested on a regular basis, bearing in mind the principle of proportionality as described in Article 28(1)(b) of DORA. Supervised entities should at least perform an in-depth desktop review, ensuring that such reviews are conducted by staff who are sufficiently knowledgeable about cloud technologies. Institutions should also review the amount of data and the complexity of the applications that would need to be migrated, thinking about the potential data transfer method, in order to produce meaningful estimates of the time required. Institutions should check that they have the personnel required for their exit plans and, by conducting a walkthrough of the tasks involved, ensure that the staff available are able to perform the proposed tasks outlined in the exit plan. For the most critical steps in the migration process, employees’ ability to perform their assigned roles in the allotted time should be checked for a sample of tasks. Supervised entities should check, on a regular basis, whether the skill sets required to perform the tasks set out in their exit plans are represented among staff members, or whether external consultants would be needed in order to exit a cloud outsourcing arrangement. The feasibility of each exit plan should be independently verified (i.e. checked by someone who is not responsible for drafting the plan in question).
2.4.4 Exiting under stress As a result of the particular way in which cloud services are set up, the CSP has the technical ability to terminate any service/access for any customer at any point in time in such a way that the service cannot be resumed by another party. Regardless of any contractual agreement, such a termination could be caused by external events such as conflicting legislation. In the exit strategies that are required under Article 28(8) of DORA, institutions should include a business continuity policy catering for such a situation in order to ensure that the institution is able to withstand that scenario and has access to the data required to operate the service in question."

ECB Guide on outsourcing cloud services to cloud service providers (draft)

×

KWG § 25 b​

“§ 25 b Auslagerung von Aktivitäten und Prozessen (…) (1) Ein Institut muss abhängig von Art, Umfang, Komplexität und Risikogehalt einer Auslagerung von Aktivitäten und Prozessen auf ein anderes Unternehmen, die für die Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen wesentlich sind, angemessene Vorkehrungen treffen, um übermäßige zusätzliche Risiken zu vermeiden. Eine Auslagerung darf weder die Ordnungsmäßigkeit dieser Geschäfte und Dienstleistungen noch die Geschäftsorganisation im Sinne des § 25a Absatz 1 beeinträchtigen. Insbesondere muss ein angemessenes und wirksames Risikomanagement durch das Institut gewährleistet bleiben, das die ausgelagerten Aktivitäten und Prozesse einbezieht. Ein Institut hat im Rahmen seines Risikomanagements ein Auslagerungsregister zu führen; darin sind sämtliche wesentlichen und nicht wesentlichen Auslagerungen zu erfassen. (…)”

Kreditwesengesetz (KWG)

×

MaRisk AT 9 Tz. 6

"AT 9 Tz. 6 Auslagerung (…) Das Institut hat bei wesentlichen Auslagerungen im Fall der beabsichtigten oder erwarteten Beendigung der Auslagerungsvereinbarung Vorkehrungen zu treffen, um die Kontinuität und Qualität der ausgelagerten Aktivitäten und Prozesse auch nach Beendigung zu gewährleisten. Für Fälle unbeabsichtigter oder unerwarteter Beendigung dieser Auslagerungen, die mit einer erheblichen Beeinträchtigung der Geschäftstätigkeit verbunden sein können, hat das Institut etwaige Handlungsoptionen auf ihre Durchführbarkeit zu prüfen und zu verabschieden. Dies beinhaltet auch, soweit sinnvoll und möglich, die Festlegung entsprechender Ausstiegsprozesse. Die Handlungsoptionen sind regelmäßig und anlassbezogen zu überprüfen."

Rundschreiben 06/2024 (BA) Mindestanforderungen an das Risikomanagement - MaRisk

×

VAG § 32

"§ 32 Ausgliederung (1) Ein Versicherungsunternehmen, das Funktionen oder Versicherungstätigkeiten ausgliedert, bleibt für die Erfüllung aller aufsichtsrechtlichen Vorschriften und Anforderungen verantwortlich.
(2) Durch die Ausgliederung dürfen die ordnungsgemäße Ausführung der ausgegliederten Funktionen und Versicherungstätigkeiten, die Steuerungs- und Kontrollmöglichkeiten des Vorstands sowie die Prüfungs- und Kontrollrechte der Aufsichtsbehörde nicht beeinträchtigt werden. Insbesondere hat das ausgliedernde Unternehmen hinsichtlich der von der Ausgliederung betroffenen Funktionen und Versicherungstätigkeiten sicherzustellen, dass
1. das Unternehmen selbst, seine Abschlussprüfer und die Aufsichtsbehörde auf alle Daten zugreifen können,
2. der Dienstleister mit der Aufsichtsbehörde zusammenarbeitet und
3. die Aufsichtsbehörde Zugangsrechte zu den Räumen des Dienstleisters erhält, die sie selbst oder durch Dritte ausüben kann.
(3) Bei der Ausgliederung wichtiger Funktionen und Versicherungstätigkeiten haben Versicherungsunternehmen außerdem sicherzustellen, dass wesentliche Beeinträchtigungen der Qualität der Geschäftsorganisation, eine übermäßige Steigerung des operationellen Risikos sowie eine Gefährdung der kontinuierlichen und zufriedenstellenden Dienstleistung für die Versicherungsnehmer vermieden werden.
(4) Das ausgliedernde Versicherungsunternehmen hat sich die erforderlichen Auskunfts- und Weisungsrechte vertraglich zu sichern und die ausgegliederten Funktionen und Versicherungstätigkeiten in sein Risikomanagement einzubeziehen. Ein Weisungsrecht ist dann nicht erforderlich, wenn im Rahmen einer steuerlichen Organschaft Funktionen auf eine Muttergesellschaft ausgegliedert werden und diese sich für die Wahrnehmung der Funktionen oder Versicherungstätigkeiten vertraglich den gleichen aufsichtsrechtlichen Anforderungen unterwirft, die für das ausgliedernde Unternehmen gelten. Werden wichtige Funktionen oder Versicherungstätigkeiten auf ein Unternehmen mit Sitz in einem Drittstaat ausgegliedert, ist vertraglich sicherzustellen, dass dieses Unternehmen einen inländischen Zustellungsbevollmächtigten benennt, an den Bekanntgaben und Zustellungen durch die Aufsichtsbehörde bewirkt werden können."

Versicherungsaufsichtsgesetz (VAG)

×

MaGo Tz. 13.8

"13.8 Ausgliederungs-Leitlinien Für den gesamten Bereich der Ausgliederung sind schriftliche Leitlinien zu erstellen. Diese haben die Auswirkungen von Ausgliederungen auf den Geschäftsbetrieb zu berücksichtigen und die bei Ausgliederungen unternehmensindividuell anzuwendenden Verfahrens- und Qualitätsstandards sowie die zu implementierenden Berichts- und Überwachungspflichten vom Beginn bis zum Ende der Ausgliederung festzulegen.
Die schriftlichen Leitlinien müssen konsistent in Bezug auf die Geschäftsstrategie des Unternehmens sein.
Die schriftlichen Leitlinien haben einen Überprüfungsprozess für den in Betracht gezogenen Dienstleister zu enthalten. Folgende Aspekte des Prozesses sind in den schriftlichen Leitlinien mindestens abzudecken:
- finanzielle Leistungsfähigkeit des Dienstleisters,
- technische Fähigkeit des Dienstleisters,
- Kapazität des Dienstleisters, die Ausgliederungs-Leistungen erbringen zu können,
- Kontrollrahmen,
- etwaige Interessenkonflikte
Die Unternehmen bestimmen darüber hinaus in den schriftlichen Leitlinien eigenständig, ob weitere Aspekte im Rahmen des Überprüfungsprozesses zu berücksichtigen sind. Diese Aspekte sind Änderungen der unternehmensinternen oder externen Umstände anzupassen.
Die Ausgliederungs-Leitlinien müssen darlegen, wie die Kontinuität und die ungeminderte Qualität der ausgegliederten Funktionen und Versicherungstätigkeiten auch im Fall der Beendigung der Vertragsbeziehung zu dem Dienstleister sichergestellt werden.
In die schriftlichen Leitlinien ist die Verpflichtung aufzunehmen, für ausgegliederte wichtige Funktionen und Versicherungstätigkeiten Notfallpläne zu entwickeln, die sich mit bei dem Dienstleister auftretenden Störungen befassen. Zudem haben die Leitlinien den Prozess und die Verantwortlichkeiten zur Aufstellung dieser Notfallpläne zu beschreiben. Die Notfallpläne haben insbesondere zu berücksichtigen, wie die ausgegliederten wichtigen Funktionen und Versicherungstätigkeiten notfalls auf einen anderen Dienstleister übertragen oder in den Geschäftsbetrieb des Unternehmens wieder eingegliedert werden können.
Im Übrigen gelten für die schriftlichen Leitlinien zur Ausgliederung die unter 8.3 genannten Grundsätze."

Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo)

×

BaFin/Buba Aufsichtsmitteilung Auslagerungen an Cloud Anbieter Ziffer IV. 4.

"4. Ausstiegsstrategie Teil einer Ausstiegsstrategie soll – mit Blick auf die jeweiligen Cloud-Anwendungen – die Identifikation konkreter alternativer Lösungen und die Entwicklung angemessener und durchführbarer Pläne für einen Anbieterwechsel oder eine Rückverlagerung auf das auslagernde Unternehmen sein. Dabei sollen die Anforderungen des Notfallmanagements auch bei der Verlagerung berücksichtigt werden. Das beaufsichtigte Unternehmen soll Ausstiegspläne vor dem Hintergrund von Ausstiegsszenarien entwickeln, die sich konkret auf die genutzten Cloud-Dienste beziehen. Diese Ausstiegspläne sollen risikobasiert den Umfang und Zeithorizont einer Beendigung der Dienstleistungsbereitstellung abbilden. Dabei soll die Nutzung unterschiedlicher Cloud-Anbieter in Betracht gezogen werden. Zu den zu betrachtenden Ausstiegsszenarien gehört auch der unbeabsichtigte oder unerwartete dauerhafte Wegfall der konkret genutzten Cloud-Dienste. Beaufsichtigte Unternehmen sollen den Wechsel zu alternativen Lösungen, unter Berücksichtigung der Verhältnismäßigkeit, ohne Unterbrechung der Geschäftstätigkeit, Einschränkung der regulatorischen Compliance oder Beeinträchtigung der Verfügbarkeit und Qualität von Dienstleistungen gegenüber Kunden durchführen können. Ausstiegspläne sollen ausreichend dokumentiert und getestet werden. Dabei ist insbesondere auf die notwendigen Ressourcen, Zeiträume, Verantwortlichkeiten und Unterstützungsleistungen sowohl intern als auch auf Seiten des Cloud-Anbieters abzustellen."

Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter