Aufsichtsmitteilung Cloud-Auslagerungen

Jetzt starten mit der Umsetzung

Im Februar 2024 veröffentlichten die deutsche Bundebank und die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter. Die in Deutschland beaufsichtigten Finanzunternehmen sind nun aufgefordert, ihre Vorgehensweisen gegen die erweiterten und strengeren Anforderungen zu stellen und bei Bedarf nachzubessern, aber auch mit DORA in Einklang zu bringen.

Mehr erfahren     Whitepaper

Neue Herausforderung neben DORA

Für Finanzunternehmen gerät die Aufsichtsmitteilung zu einem Zeitpunkt in den Fokus, in dem sie mit der Umsetzung des Digital Operational Resilience Act (DORA) bereits stark beschäftigt sind. Auch wenn DORA den Fremdbezug von sämtlichen IKT-Diensten in den Mittelpunkt stellt und im Zweifel als europäische Verordnung Vorfahrt genießt, sind jetzt Lösungen mit Augenmerk gefragt, die die europäische und nationale Regelungswelt zusammenführen.

Als Enabler für Veränderungen im aufsichtlich-regulierten Umfeld befähigen wir dich und dein Team in folgenden Schwerpunkten:

Aufsichtsmitteilung einordnen und verstehen

Ganz wichtig: Wir betrachten die Mitteilung keineswegs isoliert, sondern stellen bei der Überlegung, wie die Anforderungen zu verstehen und umzusetzen sind, immer auch den Bezug zu DORA her. Zusätzlich berücksichtigen wir die Protokolle des Fachgremiums Informationstechnologie, die bei der Auslegung ebenfalls Orientierung bieten und auf die die Aufsichtsmitteilung ausdrücklich verweist. So behaltet ihr den Gesamtzusammenhang im Blick.

Lücken erkennen, Handlungsbedarfe ableiten – alles toolgestützt

Im Rahmen einer Gap-Analyse untersuchen wir den Status Quo eurer Strukturen in der Cloud Governance, im Cloud Riskmanagement und in der Cloud Compliance gegen die aufsichtlichen Anforderungen, messen den Erfüllungsgrad und decken den möglichen Handlungsbedarf auf – immer auch im Kontext von DORA. Wie es sich für echte Enabler im Zeitalter der digitalen Transformation gehört, machen wir das toolgestützt.

Ein- und Ausstieg strategisch planen

Wir bringen euch auf das nächste Level eurer Cloud-Strategie und unterstützen euch (u.a. mit Vorlagen aus unserem Cloud Enabling Kit), auf den möglichen Ausstieg strategisch vorbereitet zu sein.

Risikoanalyse erweitern

Für die erforderliche Erweiterung der Risikoanalyse haben wir Vorlagen in unserem Cloud Enabling Kit und in CloudGate. Damit bewertest du Auswirkungen einer nicht angemessenen Dienstleistungsgüte, Konzentrationsrisiken, die Nichteinhaltung regulatorischer und abwicklungstechnischer Anforderungen sowie mögliche Risiken aus dem Ort der Datenspeicherung.

Interne Vorgaben überprüfen

Überprüfe und überarbeite mit unserer Unterstützung eure internen Vorgaben für die Entwicklung und den Betrieb von Cloud-Anwendungen.

Wir achten darauf, dass die Mindestinhalte erfüllt werden und sich konsistent und widerspruchsfrei in die übrigen Dokumentationen der Schriftlich fixierten Ordnung (SfO) einfügen.

Laufende Überwachung sicherstellen

Um die geforderte, laufende Überwachung der Cloud im "Modell der geteilten Zuständigkeit" sicherstellen zu können, ist kaum eine andere als eine automatisierte Methode zielführend.

Wir unterstützen dich, geeignete (technische) Lösungen umzusetzen und eure Steuerungs- und Kontrollprozesse darauf auszurichten.

Best Practices für Cyber-Sicherheit nutzen

Um bestmögliche Cyber-Sicherheit in der Cloud zu gewährleisten, empfiehlt die Aufsicht, die Best Practices der Cloud-Anbieter für Entwicklung und Betrieb zu nutzen.

Wir helfen euch hier u.a. bei der Umsetzung von Architekturprinzipien, Automatisierungen, Authentifizierungsroutinen und anderen Methoden und gleichen sie gegen eure eigenen Anforderungen an die IT-Sicherheit ab.

Wir haben Lösungen für dich:

Zum Beispiel unser Whitepaper mit Kommentaren und Umsetzungstipps zu allen Neuregelungen. Jetzt downloaden!

Icon Cloud-Compliance

So setzt ihr die Regelungen um

Jetzt im kostenlosen Whitepaper nachlesen!

Auch interessant für dich

Alles rund um den Digital Operational Resilience Act (DORA)

DORA – alte Idee, neu verpackt?

Schau dir das Interview mit Stefan Wendt an und erfahre, was an DORA wirklich neu ist.

DORA Fragen und Antworten als Audio-Datei

Höre rein in das Interview mit Sebastian Dosch und erhalte Antworten auf deine Fragen rund um DORA.

Das nächste große Regelwerk für den EU-Finanzmarktsektor

Sebastian Dosch erklärt im Interview, was DORA für Finanzinstitute, aber auch für ihre IKT-Dienstleister bedeutet.

Dein Experte für
Regulatorik

Sebastian Dosch
Enabler und Principal Consultant

Du hast Fragen zu einem Regulatorik-Thema oder zu IT-Verträgen? Sebastian Dosch hat die Antworten und freut sich über deine Kontaktaufnahme.
Tel +49 6172 177 630

Kontakt     Profil ansehen

×

Finanzunternehmen

Der Empfänger­kreis hat sich im Vergleich zum vor­maligen "Merk­blatt – Orientierungs­hilfe zu Aus­la­gerungen an Cloud-Anbieter" aus dem Jahr 2018 nicht verändert, lediglich in die beispiel­hafte Auf­zählung sind nun auch Einrich­tungen der betrieb­lichen Alters­vorsorge sowie Wert­papier­institute mit aufgenommen worden.

Ansonsten werden Kredit­institute, Finanz­dienst­leistungs­institute, Ver­sicherungs­unternehmen, Pensions­fonds, sonstige Wert­papier­dienst­leistungs­unternehmen, Kapital­verwaltungs­gesellschaften, Zahlungs­institute und E-Geld-Institute angesprochen.

×

Aufsichtsmitteilung

Im Vergleich zum vor­maligen "Merkblatt – Orientierungs­hilfe zu Aus­lage­rungen an Cloud-Anbieter" aus dem Jahr 2018 wurden die Inhalte deutlich dem Markt­geschehen angepasst, ohne die bis­herigen Punkte aufzugeben. Immerhin hat sich der Umfang verdrei­facht. Die Struktur orientiert sich dabei jetzt klar am Lebens­zyklus einer cloud­basierten Aus­lagerung: von der Strategie, über die Risiko­analyse, das Über­wachen und Steuern bis hin zum Ausstieg.

Neben den eigenen im Rahmen ihrer (Prüfungs-) Praxis mit den beaufsich­tigten Unter­nehmen gewonnenen Erkennt­nissen hat sich die Aufsicht dabei auch dem Dialog mit den Cloud-Anbietern geöffnet und ist in ihren Anfor­derungen im Ergebnis deutlich präziser geworden - und das mit hoher Praxis­orientierung.

×

Ausstiegsstrategie

Die von BaFin und Bundesbank vertretene Auf­fassung hat sich deutlich ver­schärft: Zwar wird ein Kon­strukt wie die Multi-Cloud nicht zwingend voraus­gesetzt, aber bei den risiko­basierten Aus­stiegs­plänen soll "die Nutzung unter­schied­licher Cloud-Anbieter in Betracht gezogen werden."

Und es wird auch darauf hin­gewiesen, dass hier nicht nur beabsich­tigte oder erwar­tete Vertrags­beendi­gungen durch Zeit­ablauf oder eigene Kündi­gung gemeint sind. Auch den unbeab­sichtigten und unerwar­teten dauer­haften Wegfall der Cloud-Dienste müssen die beauf­sichtigten Unter­nehmen betrachten.

×

Interne Vorgaben

Im Mindest­umfang werden interne Vor­gaben erwartet zu:

  • Cloud Compliance,
  • Identitäts- und Rechte­management,
  • Vers­chlüsselung und Schlüssel­verwaltung,
  • Ent­wicklung und Be­trieb,
  • Härtung der Anwen­dungen,
  • Schnitt­stellen und Um­ge­bungen,
  • Steuerung von Sub­unter­nehmen und
  • IT-Notfall­management.
×

Laufende Überwachung

Die Sicherstellung einer laufenden Überwachung ist herausfordernd. Denn üblicherweise stellen zumindest die großen Cloud-Anbieter kaum Möglichkeiten zur Verfügung, eine ständige Überwachung durchzuführen – selbst die Überwachung von SLAs gestaltet sich schwierig.
Das Protokoll des Sonderfachgremiums IT zum Thema "Cloud/IT-Betrieb" bietet hier weitere Informationen.

×

Threat Intelligence

Die beaufsich­tigten Unter­nehmen sind dazu auf­gerufen, über den gesamten Life­cycle hinweg die Cyber­bedrohungs­lage zu analy­sieren und dabei auch unter­nehmens- und anwendungs­spezifische Betrach­tungen ein­fließen zu lassen.

Als in Frage kommende Methoden zählt die Auf­sicht beispiel­haft auf

  • DDoS-Mitigation
  • Transport­ver­schlüsselung
  • dedizierte Ver­bindungen zum Cloud-Anbieter
  • gehärtete An­wendungs- und Infra­struktur­archi­tekturen
  • Einsatz von
  • Firewalls
  • Netz­werk­seg­men­tie­rung
  • Multi-Faktor-Authenti­fi­zierung
  • Zero Trust
  • Data Loss Prevention