Die „Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter“ basiert auf dem Merkblatt „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ und aktualisiert dieses, auch durch Aufnahme zweier neuer Kapitel zur sicheren Anwendungsentwicklung und zum IT-Betrieb sowie zur Überwachung und Kontrolle des Cloud-Anbieters.
Schon lange rechnete man mit einem Update bzw. Neuregelungen für Auslagerungen an Cloud-Anbieter, denn seit das Merkblatt durch die BaFin im November 2018 neu veröffentlicht wurde, hat sich beim Einsatz von Cloud-Anbietern in der Finanzdienstleistungsbranche viel getan. Immer mehr Institute greifen auf Cloud-Dienstleistungen zurück. So haben nicht nur die Cloud-Anbieter und Institute erhebliche Erfahrung mit Cloud-Dienstleistungen gesammelt, sondern auch die Aufsicht. Zudem ging der Veröffentlichung der Aufsichtsmitteilung ein intensiver Dialog zwischen der Aufsicht und den beaufsichtigten Instituten voraus. Ein Update des Merkblattes war zudem durch die Einführung bzw. Erweiterung regulatorischer Anforderungen durch Gesetzesänderungen bzw. zur Umsetzung von Regularien der europäischen Aufsicht erforderlich.
Hinweis: Die Veröffentlichung als Aufsichtsmitteilung statt als Update des Merkblatts soll nach Aussage der BaFin keine Auswirkungen auf den Charakter der Veröffentlichung haben, sondern soll internen Vorgaben der BaFin geschuldet sein.
Durch das „Update“ ist keine der bestehenden Anforderungen entfallen. Die Aufsichtsmitteilung folgt aber im Vergleich zum Merkblatt einer neuen Struktur, welche dem Lebenszyklus einer Cloud-Auslagerung nachempfunden ist, und beinhaltet neue Hinweise zur Architektur von Cloud-Anwendungen und zum sicheren Betrieb sowie Erläuterungen zur Überwachung und Kontrolle von Cloud-Auslagerungen in jeweils eigenständigen Kapiteln. Zudem wurde eine Vielzahl der Anforderungen konkretisiert bzw. erweitert, wie bspw. durch Aufnahme von Anforderungen an interne Vorgaben zur Nutzung der Cloud und die Ressourcenausstattung und Qualifikation.
Nachfolgend eine kurze Übersicht der wesentlichen Neuerungen durch die Aufsichtsmitteilung:
- Einrichtungen der betrieblichen Altersversorgung, Wertpapierinstitute, sonstige Wertpapierdienstleistungsunternehmen werden nunmehr explizit als weitere Adressaten benannt.
- Die Einfügungen in Kapitel III (Vorbereitende Handlungen und Governance-Rahmen für die Cloud) konkretisieren bereits bestehende Anforderungen aus der MaRisk für Cloud-Dienste. So soll z. B. in Bezug auf die allgemeinen Anforderungen das beaufsichtigte Unternehmen geeignete Vorgaben formulieren, die im Einklang mit seiner (IT-)Strategie und dessen Leit- und Richtlinien zur Informationssicherheit und der IT stehen. Anbieter- und servicespezifische Regelungen sollen auf Basis der Risikoanalyse, Hinweise der Cloud-Anbieter, eigener Maßnahmen zur Risikoreduktion und weiteren Erkenntnissen abgeleitet werden. Auch soll das beaufsichtigte Unternehmen für die Nutzung der Cloud quantitative und qualitative Ressourcen bereitstellen und organisatorisch verankern, wobei ausreichend fachliche Kompetenz und Kenntnisse für Personen, die mit Aufgaben im Cloud-Umfeld betraut sind, abhängig vom Umfang der jeweiligen Aufgabe vorausgesetzt werden. Auch werden in Kapitel III eine Vielzahl von Konkretisierungen für die Vertragsgestaltung bei (wesentlichen) Auslagerungen aufgenommen.
- Kapitel IV (Sichere Anwendungsentwicklung und IT-Betrieb in der Cloud) beinhaltet Vorgaben zum Umgang mit (Architektur-)Vorgaben bei Cloud-Diensten, zur Cyber- und Informationssicherheit, zum Notfallmanagement sowie der Implementierung einer belastbaren und zugänglichen Ausstiegsstrategie. Ein besonderes Augenmerk der BaFin liegt hierbei auf der Cybersicherheit. Erfreulicherweise werden in diesem Kapitel einige technische Ausführungen zur Umsetzung aufgenommen.
- Kapitel V (Überwachung und Kontrolle der Auslagerungen an Cloud-Anbieter) gibt dezidierte Hinweise zur Auslagerungsüberwachung. Auch dieses Kapitel spiegelt bestehende Anforderungen aus der MaRisk bzw. der BAIT, VAIT etc. wider, konkretisiert diese Anforderungen aber für Cloud-Dienste. Besonders ist hierbei aber, dass die BaFin explizit auf das Shared-Responsibility-Model eingeht, d. h., dass in Abhängigkeit vom gewählten Dienstleistungsmodell zwischen beaufsichtigtem Unternehmen und Cloud-Anbieter eine Arbeitsteilung bezogen auf die Zuständigkeit für den Betrieb der Cloud besteht. Das beaufsichtigte Unternehmen soll in seinem Informationsverbund für alle genutzten Cloud-Dienste eine klare Verteilung fest umrissener Aufgaben und Zuständigkeiten in Bezug auf die operativen Funktionen und Tätigkeiten definieren und dokumentieren. Beaufsichtigte Unternehmen sollen für die Bereiche, die sich in ihrer eigenen Zuständigkeit befinden, die vollständige Abbildung in einem Bestandsverzeichnis für Komponenten der IT-Systeme sowie deren Beziehungen zueinander sicherstellen. Unter Proportionalitätsgesichtspunkten kann es unterschiedliche Wege geben, die Anforderungen nach einem Bestandsverzeichnis für Komponenten der IT-Systeme sowie deren Beziehungen zueinander zu erfüllen. Von besonderer Bedeutung ist für die BaFin, dass die Prozess- und Informationsketten zwischen dem Cloud-Anbieter und dem beaufsichtigten Institut durch geeignete technische und organisatorische Maßnahmen aufeinander abgestimmt sind. Der bereits im Merkblatt in Teilen enthaltene Abschnitt zur Prüfung von Cloudanbietern bzw. der Nutzung von Prüfberichten Dritter wurde an die europäischen Vorgaben angepasst und dementsprechend erweitert.
Hinweis: Auffällig sind die in der Aufsichtsmitteilung durchweg enthaltenen Hinweise und Verweise auf die ab Januar 2025 anwendbare DORA (Digital Operational Resilience Act). In den in die Aufsichtsmitteilung aufgenommenen Infokästen „Ausblick Dora“ macht die BaFin bereits jetzt die Unternehmen auf die bevorstehenden Änderungen durch DORA aufmerksam. Die BaFin versucht so, die künftigen Anforderungen der DORA bereits jetzt in Kontext zu setzen. Außerdem wird hier ein Ausblick auf weitere, damit zusammenhängende und noch zu erlassende delegierte Rechtsakte, technische Regulierungsstandards, technische Durchführungsstandards, Leitlinien und Berichte zur Ergänzung der in DORA aufgestellten Prinzipien und getroffenen Regelungen gegeben.
Über die Verweise in den Fußnoten auf die Protokolle aus dem Fachgremium Informationstechnologie (FG IT) und dem Sonderfachgremium IT-Cloud werden weitere Hinweise zur Auslegung und praktischen Umsetzung der Themen wie bspw. dem IT-Notfallmanagement, den cloudspezifischen Herausforderungen an den IT-Betrieb und dem Cloud-Ausstieg der Finanzunternehmen gegeben.
Fazit: Auch wenn die Aufsichtsmitteilung keine signifikanten Änderungen mit sich bringt, empfehlen wir beaufsichtigten Unternehmen, die konkreten Auswirkungen auf ihr Unternehmen dezidiert zu beurteilen. Insb. die konkreten Anforderungen zur Auslagerungsüberwachung und zur Steuerung von Cloud-Anbietern und zur Cybersicherheit können Handlungsbedarf begründen. Dies kann z. B. die Anpassung der Governance-Regelungen oder der internen Prozesse erfordern.