Die Finanzaufsicht BaFin hat eine Aufsichtsmitteilung für Auslagerungen an Cloud-Anbieter veröffentlicht. Sie basiert auf der Orientierungshilfe aus November 2018. Die Aufsichtsmitteilung zeigt praxisnah, wie die BaFin Auslagerungen an Cloud-Anbieter einschätzt. Außerdem enthält die Aufsichtsmitteilung Hilfestellungen für beaufsichtigte Unternehmen.

Die BaFin hat in den vergangenen Jahren aus Prüfungen bei beaufsichtigten Unternehmen und im Dialog mit Vertreterinnen und Vertretern der beaufsichtigten Unternehmen und IT-Dienstleistern viele Erkenntnisse rund um das Thema Cloud gewonnen. In ihrer Aufsichtsmitteilung hat sie auf dieser Grundlage Inhalte zur Governance von Cloud-Auslagerungen, zu Einführungsprozessen und vertraglichen Mindeststandards aktualisiert. Außerdem hat die BaFin zwei neue Kapitel aufgenommen. Sie geben beaufsichtigten Unternehmen Hinweise zu Entwicklung, Betrieb und Cybersicherheit in der Cloud sowie zur konkreten Überwachung und Kontrolle von Leistung und Sicherheit des Cloud-Anbieters.

Zwei neue Kapitel integriert

Im neuen Kapitel zur sicheren Anwendungsentwicklung und zum IT-Betrieb in der Cloud weist die BaFin auf Architekturprinzipien für die Cloud-Entwicklung hin, wie etwa die Einschränkung und laufende Überwachung der Cloud-Umgebungen. Ein besonderes Augenmerk liegt auf der Cybersicherheit, da die Cloud üblicherweise über das Internet genutzt wird. Deshalb ist sie besonders von netzwerkbasierten Angriffsszenarien betroffen – also der Gefahr, dass Daten ungewollt abfließen oder die Cloud-Umgebung manipuliert wird.

Das zweite neue Kapitel informiert darüber, wie aus Sicht der BaFin die Leistungserbringung des Cloud-Anbieters überwacht und kontrolliert werden sollte. Die BaFin hat insbesondere Hinweise auf das Modell der geteilten Zuständigkeit (Kapitel V.1), die Überwachung der Dienstleistungsgüte (Kapitel V.2.1) sowie die Themen Informationssicherheit (Kapitel V.3) und IT-Vorfälle (Kapitel V.3.2) aufgenommen. Im Fokus steht, ob die Prozess- und Informationsketten zwischen Cloud-Anbieter und beaufsichtigtem Unternehmen durch geeignete technische und organisatorische Maßnahmen aufeinander abgestimmt sind.

Der ebenfalls in diesem Kapitel enthaltene Abschnitt zur Prüfung von Cloud-Anbietern (inkl. der Nutzung von Prüfungsberichten Dritter) war bereits in Teilen in der Orientierungshilfe enthalten. Die BaFin hat ihn an die Vorgaben der Europäischen Aufsichtsbehörden EBA, EIOPA und ESMA angepasst und in die Aufsichtsmitteilung integriert.

Bestehende Anforderungen praxisnah präzisiert

Bestehende sektorale Anforderungen an Auslagerungen oder Ausgliederungen bleiben unberührt. Die Aufsichtsmitteilung enthält keine neuen Anforderungen, sondern erläutert bereits bestehende Anforderungen mit Blick auf die Cloud. Auf den ab Januar 2025 anzuwendenden Digital Operational Resilience Act (DORA) geht die BaFin in Infokästen mit dem Titel „Ausblick DORA“ ein. Damit möchte die Aufsicht die betroffenen Unternehmen bereits jetzt auf relevante Aspekte aufmerksam machen, die sich durch diese EU-Verordnung ändern.

Die Aufsichtsmitteilung richtet sich an die im Finanzsektor beaufsichtigten Unternehmen, unter anderem Kreditinstitute, Finanzdienstleistungsinstitute, Versicherungsunternehmen, Einrichtungen der betrieblichen Altersversorgung, Pensionsfonds, Wertpapierinstitute, sonstige Wertpapierdienstleistungsunternehmen, Kapitalverwaltungsgesellschaften, Zahlungsinstitute und E-Geld-Institute. Die Veröffentlichung als Aufsichtsmitteilung anstelle eines Merkblatts erfolgt aufgrund interner Vorgaben der BaFin und hat keine Auswirkungen auf den Charakter der Veröffentlichung.