Aufsichtsmitteilung Cloud-Auslagerungen
Jetzt starten mit der Umsetzung
Im Februar 2024 veröffentlichten die deutsche Bundebank und die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter. Die in Deutschland beaufsichtigten Finanzunternehmen sind nun aufgefordert, ihre Vorgehensweisen gegen die erweiterten und strengeren Anforderungen zu stellen und bei Bedarf nachzubessern, aber auch mit DORA in Einklang zu bringen.
Neue Herausforderung neben DORA
Für Finanzunternehmen gerät die Aufsichtsmitteilung zu einem Zeitpunkt in den Fokus, in dem sie mit der Umsetzung des Digital Operational Resilience Act (DORA) bereits stark beschäftigt sind. Auch wenn DORA den Fremdbezug von sämtlichen IKT-Diensten in den Mittelpunkt stellt und im Zweifel als europäische Verordnung Vorfahrt genießt, sind jetzt Lösungen mit Augenmerk gefragt, die die europäische und nationale Regelungswelt zusammenführen.
Als Enabler für Veränderungen im aufsichtlich-regulierten Umfeld befähigen wir dich und dein Team in folgenden Schwerpunkten:
Ganz wichtig: Wir betrachten die Mitteilung keineswegs isoliert, sondern stellen bei der Überlegung, wie die Anforderungen zu verstehen und umzusetzen sind, immer auch den Bezug zu DORA her. Zusätzlich berücksichtigen wir die Protokolle des Fachgremiums Informationstechnologie, die bei der Auslegung ebenfalls Orientierung bieten und auf die die Aufsichtsmitteilung ausdrücklich verweist. So behaltet ihr den Gesamtzusammenhang im Blick.
Im Rahmen einer Gap-Analyse untersuchen wir den Status Quo eurer Strukturen in der Cloud Governance, im Cloud Riskmanagement und in der Cloud Compliance gegen die aufsichtlichen Anforderungen, messen den Erfüllungsgrad und decken den möglichen Handlungsbedarf auf – immer auch im Kontext von DORA. Wie es sich für echte Enabler im Zeitalter der digitalen Transformation gehört, machen wir das toolgestützt.
Wir bringen euch auf das nächste Level eurer Cloud-Strategie und unterstützen euch (u.a. mit Vorlagen aus unserem Cloud Enabling Kit), auf den möglichen Ausstieg strategisch vorbereitet zu sein.
Für die erforderliche Erweiterung der Risikoanalyse haben wir Vorlagen in unserem Cloud Enabling Kit und in CloudGate. Damit bewertest du Auswirkungen einer nicht angemessenen Dienstleistungsgüte, Konzentrationsrisiken, die Nichteinhaltung regulatorischer und abwicklungstechnischer Anforderungen sowie mögliche Risiken aus dem Ort der Datenspeicherung.
Überprüfe und überarbeite mit unserer Unterstützung eure internen Vorgaben für die Entwicklung und den Betrieb von Cloud-Anwendungen.
Wir achten darauf, dass die Mindestinhalte erfüllt werden und sich konsistent und widerspruchsfrei in die übrigen Dokumentationen der Schriftlich fixierten Ordnung (SfO) einfügen.
Um die geforderte, laufende Überwachung der Cloud im "Modell der geteilten Zuständigkeit" sicherstellen zu können, ist kaum eine andere als eine automatisierte Methode zielführend.
Wir unterstützen dich, geeignete (technische) Lösungen umzusetzen und eure Steuerungs- und Kontrollprozesse darauf auszurichten.
Um bestmögliche Cyber-Sicherheit in der Cloud zu gewährleisten, empfiehlt die Aufsicht, die Best Practices der Cloud-Anbieter für Entwicklung und Betrieb zu nutzen.
Wir helfen euch hier u.a. bei der Umsetzung von Architekturprinzipien, Automatisierungen, Authentifizierungsroutinen und anderen Methoden und gleichen sie gegen eure eigenen Anforderungen an die IT-Sicherheit ab.
Wir haben Lösungen für dich:
Zum Beispiel unser Whitepaper mit Kommentaren und Umsetzungstipps zu allen Neuregelungen. Jetzt downloaden!
So setzt ihr die Regelungen um
Jetzt im kostenlosen Whitepaper nachlesen!
Auch interessant für dich
Alles rund um den Digital Operational Resilience Act (DORA)
Whitepaper: DORA-Informationsregister
Lest im kostenlosen Whitepaper, wie Finanzunternehmen ihre IKT-Drittdienstleister dokumentieren und überwachen sollten. Jetzt downloaden!
Whitepaper: Umsetzungshinweise DORA
Erfahre im kostenlosen Whitepaper alles über die neuesten Hinweise der BaFin zur Umsetzung des Digital Operational Resilience Act. Jetzt downloaden!
GRC-Seminare
Du willst mit deinem Team Innovationen vorantreiben, wenn es um GRC geht? Dann buche für euch eines unserer Seminare!
Regulatorik
Sebastian Dosch
Enabler und Principal Consultant
Du hast Fragen zu einem Regulatorik-Thema oder zu IT-Verträgen? Sebastian Dosch hat die Antworten und freut sich über deine Kontaktaufnahme.
Tel +49 6172 177 630