Startseite Vorsicht BaFin veröffentlicht Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter
Vorsicht

BaFin veröffentlicht Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter

IO-Images (CC0), Pixabay
Teilen

Die Finanzaufsicht BaFin hat eine Aufsichtsmitteilung für Auslagerungen an Cloud-Anbieter veröffentlicht. Sie basiert auf der Orientierungshilfe aus November 2018. Die Aufsichtsmitteilung zeigt praxisnah, wie die BaFin Auslagerungen an Cloud-Anbieter einschätzt. Außerdem enthält die Aufsichtsmitteilung Hilfestellungen für beaufsichtigte Unternehmen.

Die BaFin hat in den vergangenen Jahren aus Prüfungen bei beaufsichtigten Unternehmen und im Dialog mit Vertreterinnen und Vertretern der beaufsichtigten Unternehmen und IT-Dienstleistern viele Erkenntnisse rund um das Thema Cloud gewonnen. In ihrer Aufsichtsmitteilung hat sie auf dieser Grundlage Inhalte zur Governance von Cloud-Auslagerungen, zu Einführungsprozessen und vertraglichen Mindeststandards aktualisiert. Außerdem hat die BaFin zwei neue Kapitel aufgenommen. Sie geben beaufsichtigten Unternehmen Hinweise zu Entwicklung, Betrieb und Cybersicherheit in der Cloud sowie zur konkreten Überwachung und Kontrolle von Leistung und Sicherheit des Cloud-Anbieters.
Zwei neue Kapitel integriert

Im neuen Kapitel zur sicheren Anwendungsentwicklung und zum IT-Betrieb in der Cloud weist die BaFin auf Architekturprinzipien für die Cloud-Entwicklung hin, wie etwa die Einschränkung und laufende Überwachung der Cloud-Umgebungen. Ein besonderes Augenmerk liegt auf der Cybersicherheit, da die Cloud üblicherweise über das Internet genutzt wird. Deshalb ist sie besonders von netzwerkbasierten Angriffsszenarien betroffen – also der Gefahr, dass Daten ungewollt abfließen oder die Cloud-Umgebung manipuliert wird.

Das zweite neue Kapitel informiert darüber, wie aus Sicht der BaFin die Leistungserbringung des Cloud-Anbieters überwacht und kontrolliert werden sollte. Die BaFin hat insbesondere Hinweise auf das Modell der geteilten Zuständigkeit (Kapitel V.1), die Überwachung der Dienstleistungsgüte (Kapitel V.2.1) sowie die Themen Informationssicherheit (Kapitel V.3) und IT-Vorfälle (Kapitel V.3.2) aufgenommen. Im Fokus steht, ob die Prozess- und Informationsketten zwischen Cloud-Anbieter und beaufsichtigtem Unternehmen durch geeignete technische und organisatorische Maßnahmen aufeinander abgestimmt sind.

Der ebenfalls in diesem Kapitel enthaltene Abschnitt zur Prüfung von Cloud-Anbietern (inkl. der Nutzung von Prüfungsberichten Dritter) war bereits in Teilen in der Orientierungshilfe enthalten. Die BaFin hat ihn an die Vorgaben der Europäischen Aufsichtsbehörden EBA, EIOPA und ESMA angepasst und in die Aufsichtsmitteilung integriert.
Bestehende Anforderungen praxisnah präzisiert

Bestehende sektorale Anforderungen an Auslagerungen oder Ausgliederungen bleiben unberührt. Die Aufsichtsmitteilung enthält keine neuen Anforderungen, sondern erläutert bereits bestehende Anforderungen mit Blick auf die Cloud. Auf den ab Januar 2025 anzuwendenden Digital Operational Resilience Act (DORA) geht die BaFin in Infokästen mit dem Titel „Ausblick DORA“ ein. Damit möchte die Aufsicht die betroffenen Unternehmen bereits jetzt auf relevante Aspekte aufmerksam machen, die sich durch diese EU-Verordnung ändern.

Die Aufsichtsmitteilung richtet sich an die im Finanzsektor beaufsichtigten Unternehmen, unter anderem Kreditinstitute, Finanzdienstleistungsinstitute, Versicherungsunternehmen, Einrichtungen der betrieblichen Altersversorgung, Pensionsfonds, Wertpapierinstitute, sonstige Wertpapierdienstleistungsunternehmen, Kapitalverwaltungsgesellschaften, Zahlungsinstitute und E-Geld-Institute. Die Veröffentlichung als Aufsichtsmitteilung anstelle eines Merkblatts erfolgt aufgrund interner Vorgaben der BaFin und hat keine Auswirkungen auf den Charakter der Veröffentlichung.

Kommentar hinterlassen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ähnliche Beiträge
Vorsicht

Insolvenz:VAF Pfaffelhuber GmbH (Versicherungen, Altersversorgungssysteme, Finanzmarktanalysen-Fachmakler)

Zusammenfassung des Berichts: Verfahren 36v IN 8541/24 Am 27.12.2024 hat das Amtsgericht...

Vorsicht

Abweisung des Insolvenzverfahrens der DURIN Investitions GmbH mangels Masse

Das Amtsgericht Leipzig hat am 18. Dezember 2024 den Antrag auf Eröffnung...

Vorsicht

Insolvenzverfahren bei Zoo Zajac GmbH eingeleitet

Insolvenzverfahren bei Zoo Zajac GmbH eingeleitet Das Amtsgericht Duisburg hat im Insolvenzeröffnungsverfahren...

Vorsicht

FMA warnt: AU-VEX bietet unlizenzierte Bankgeschäfte an

Die Finanzmarktaufsicht (FMA) hat eine offizielle Warnung vor Angeboten des Anbieters AU-VEX...