Regularien für die Auslagerung an Cloud-Provider sind wichtig für die Finanzbranche. Die aktuellen Vorgaben orientieren sich an MaRisk, BAIT und weiteren Richtlinien. Aber reichen diese aus, um den starken Zuwachs an Cloud-Infrastrukturen im Rahmen der digitalen Transformation zu steuern und die Wettbewerbsfähigkeit sowie Innovation des Finanzstandortes Deutschland zu fördern? Nein, denn der Gesetzgeber und die EU planen neue regulatorische Initiativen wie DORA und FISG. Lesen Sie jetzt, welche Auswirkungen diese für Banken und Finanzinstitute bei der Auslagerung bedeuten.
Der Finanzsektor ist schon seit langem in starkem Maße von der Informationstechnologie (IT) abhängig. Zusätzlich verlangen die Kunden zunehmend digitale Serviceangebote und innovative Finanzanwendungen. Banken sind also aufgefordert, ihre IT-Infrastrukturen der sich ändernden Kundenbedürfnisse anzupassen. Die erfolgreiche Umsetzung funktioniert nur mit dem Einsatz von Cloud-Infrastrukturen. Deshalb ist deren Implementierung zu einem der wichtigsten Ziele der IT-Abteilungen der Finanzinstitute geworden.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) stellt in diesem Zusammenhang fest, dass die Nutzung (speziell der großen amerikanischen Cloud-Provider) stetig zunimmt. Gleichwohl stellen Auslagerungen in die Cloud und besonders zu Amazon Web Services (AWS), Microsoft Azure und Co. Banken und Finanzdienstleister vor neue Herausforderungen. Um diesen zu begegnen arbeiten zahlreiche Finanzunternehmen mit externen Providern zusammen, die Experten bei der Auslagerung von Infrastrukturen in die Cloud sind. Neben dem Handling einer solchen Cloud-Migration sind in der Finanzbranche besondere Regelungen zu beachten. Vor diesem Hintergrund ist es wichtig, dass sich diese ebenfalls weiterentwickeln.
Als erfahrener Managed Cloud Solution Provider in der Finanzbranche unterstützt Adacor bereits seit vielen Jahren Finanzinstitute wie die GLS Bank und Sparkassen bei wesentlichen und unwesentlichen Auslagerungen. Bereits jetzt erfüllen wir alle bekannten Maßnahmen im Hinblick auf die neu geplanten Regularien.
Aktuelle Regulatorik gilt bis zur Einführung neuer Vorgaben
Die derzeitigen Anforderungen für Banken und Finanzinstitute an die Auslagerung zu Cloud-Providern ergeben sich aus den Vorgaben der Mindestanforderungen an das Risikomanagement (MaRisk) von 2017, der Bankaufsichtlichen Anforderungen an die IT (BAIT) von 2017 sowie dem Merkblatt „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ von 2018. Diese Regularien sind seit ein paar Jahren etabliert und fungieren als gelebte Praxis. Damit ist für alle betroffenen Finanzunternehmen die gute Nachricht verbunden, dass akut keine neuen Anforderungen zu erwarten sind.
Geplante regulatorische Initiativen auf nationaler und europäischer Ebene
Der Einsatz von Cloud-Infrastrukturen für die Umsetzung digitaler Services und Prozesse im Bankumfeld wird zunehmen. Ebenso wird sich die Internationalisierung von Diensten, Transaktionen und Prozessen durch Fintechs und ausländische IT-Dienstleister verstärken. Diese Entwicklungen haben zu der Initiierung von neuen regulatorischen Initiativen geführt.
Die zwei wichtigsten sind der Digital Operational Resilience Act (DORA) und das Gesetz zur Stärkung der Finanzmarktintegrität (FISG).
Digital Operational Resilience Act (DORA)
DORA betrifft Finanzunternehmen und IKT-Drittanbieter (z. B. Cloud Provider). Sie ist am 17.1.2023 formell in Kraft getreten und muss mit einer Frist von 24 Monaten bis zum 17.1.2025 von den Rund 20.000 in der EU betroffenen Unternehmen und Behörden implementiert werden.
Damit sind die Ziele verbunden, die Wettbewerbsfähigkeit und Innovation des europäischen Finanzsektors zu fördern. Die neuen Regelungen sollen für alle regulierten Finanzunternehmen in den Mitgliedsstaaten der Europäischen Union (EU) gleichermaßen gelten, sodass überall einheitliche Vorgaben für die Betriebsstabilität und Cyber Security vorliegen.
Die drei Kernziele von DORA sind:
- Vereinheitlichung bestehender europäischer und nationaler Standards und Vorgaben, um abweichende Doppelanforderungen und uneinheitliche Regelungen für europaweit tätige Finanzdienstleister zu beenden.
- Sicherstellung, dass Finanzdienstleister alle notwendigen Maßnahmen zur Absicherung gegen Cyberrisiken und -Angriffe getroffen haben. Dazu formuliert DORA neue und einheitliche Anforderungen besonders in den Bereichen IT-Risikomanagement, Meldung von Vorfällen an die Aufsichtsbehörden, Durchführung von Belastbarkeitstests sowie die Steuerung und Überwachung von IT-Drittanbietern.
- Etablierung eines Rechtsrahmens für eine direkte Überwachung von IT-Drittanbietern durch die Aufsichtsbehörden, wenn diese für Finanzinstitutionen tätig sind.
Gesetz zur Stärkung der Finanzmarktintegrität (FISG)
Im Dezember 2020 beschloss das Bundeskabinett den Entwurf des FISG, dessen Ziel die Stärkung des Vertrauens in den deutschen Finanzmarkt ist. Laut dem Bundesministerium der Justiz und für Verbraucherschutz (BMJV) ist die Funktionsfähigkeit des deutschen Finanzmarktes für die heimische Wirtschaft und unseren Wohlstand von zentraler Bedeutung.
Neben diversen neuen Vorgaben für börsennotierte Unternehmen wie beispielsweise die verpflichtende Einführung eines internen Kontrollsystems (IKS) und eines Risikomanagements werden Regelungen für Banken und Versicherungen hinsichtlich Auslagerungen angepasst und die Befugnisse der BaFin ausgeweitet:
- Meldung von unwesentlichen und wesentlichen Auslagerungen sowie die Änderung der Beurteilung der Wesentlichkeit einer Auslagerung an die BaFin
- Anzeigepflicht von schwerwiegenden Vorfällen im Rahmen einer Auslagerung, die einen wesentlichen Einfluss auf die Geschäftstätigkeit des Finanzinstituts haben
- Führung eines internen Auslagerungsregisters
- Ausweitung der direkten Prüf- und Weisungsbefugnisse der BaFin auf Auslagerungsunternehmen wie IT-Dienstleister und Cloud Provider
Fazit: Finanzinstitute müssen bei Auslagerungen mehr Regularien beachten
Sowohl DORA als FISG beinhalten aus Sicht der Nutzung von modernen Cloud-Infrastrukturen wesentliche Veränderungen, konkretisieren die bestehenden Anforderungen und rücken Cloud-Dienstleister stärker in den Fokus der BaFin. Die in Deutschland bestehenden Regelungen zu Auslagerungen (MaRisk und BAIT) werden mit den geplanten Gesetzen sicher Anpassungen unterzogen werden.
Adacor ist ein erfahrener Managed Cloud Solution Provider – auch in der Finanzbranche. Wir unterstützen seit vielen Jahren Finanzinstitute bei wesentlichen und unwesentlichen Auslagerungen und erfüllen schon heute alle bekannten Maßnahmen im Hinblick auf DORA und FISG.