ITSM Regulatory Update | Juni 2022

Fokus: Cloud-Outsourcing

Highlight aus dem Juni 2022

Überarbeitung der Orientierungshilfe
zum Cloud-Outsourcing wahrscheinlich

Im Rahmen der Sitzung vom 2. Dezember 2021 des Fachgremiums IT sprachen Vertreter der Aufsicht über eine Aktualisierung der Orientierungshilfe der BaFin zu Ausgliederungen in die Cloud. Diese sind zwar unverbindlich, bieten aber eine wertvolle Hilfestellung für Institute.

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

Orientierungshilfe zum Cloud-Outsourcing wird voraussichtlich ausgeweitet und vertieft

Am 2. Dezember 2021 tagte das Fachgremium IT. In dem zugehörigen, am 14. Juni veröffentlichten Protokoll dürfte die TOP 4 Aufmerksamkeit erregen: „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“. Tatsächlich wird hier die Frage einer Aktualisierung aufgeworfen und erscheint wahrscheinlich.

Erschienen ist die Orientierungshilfe der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bereits 2018. Aufgrund der sich schnell wandelnden, zunehmenden digitalisierten Branche erscheint die bereits damals angekündigte regelmäßige Anpassung sinnvoll. Eine Vertreterin der Aufsicht bestätigt dies laut Protokoll. Grundlage für die Überarbeitung seien die gewonnen Erfahrungen sowie die Ergebnisse der Arbeitsgruppe zur Cloud. Die Teilnehmer des Gremiums regten an, die Orientierungshilfe auszuweiten und zu vertiefen. Speziell wurde um die Aufnahme der Unterscheidung zwischen Community und Public Cloud gebeten.

Daneben wurde aber auch dafür geworben, die bestehende Struktur zwischen BAIT und Orientierungshilfe aufrecht zu erhalten. Im Gegensatz zu den verbindlichen Vorgaben der BAIT enthält die Orinetierungshilfe nämlich gerade keine verbindlichen Vorgaben, sondern ist als Hilfestellung gedacht. Als solche wird sie auch von Banken und anderen Teilnehmern am Finanzmarkt genutzt und kann daneben unkomplizierter angepasst und aktualisiert werden. 

Die Orientierungshilfe der BaFin von 2018 finden Sie hier auf der Webseite der BaFin.

Hellblauer Hintergrund mit dunkelblauen Zahnrädern. Davor ein Laptop, ein Handy, ein Desktop-Bildschirm, eine Kamera und ein Tablet. Alle sind mit Pfeilen miteinander sowie der darüber abgebildeten weißen Wolke mit diversen Symbolen z.B. Noten für Musik verbunden.

Neben dem Thema „Cloud-Outsourcing“ befasste sich das Fachgremium aber auch mit dem Digital Operational Resilience Act (DORA), dessen Veröffentlichung für Ende des Jahres avisiert ist. Zu erwarten sind hohe Umsetzungsaufwände, die binnen den voraussichtlich 24 Monaten zwischen Veröffentlichung und Inkrafttreten anfallen werden und bereits jetzt vorgemerkt werden sollten. Die BaFin zeigt sich bemüht, Doppelregulierung auf nationaler Ebene zu vermeiden, muss dazu aber zunächst die Veröffentlichung des DORA abwarten.

Den Vorschlag für den DORA der Europäischn Kommission finden Sie hier auf der Webseite des EUR-Lex. Das Protokoll des Fachgremiums IT finden Sie hier auf der Webseite der BaFin.

Im März 2022 tagte außerdem das im Dezember-Protokoll angesprochene Sonderfachgremium Cloud des Fachgremiums IT der BaFin rund um das Thema Configuration Management Database (CMDB). Das Gremium befasste sich mit dem Proportionalitätsgrundsatz in Bezug auf das Bestandsverzeichnis für Komponenten der IT-Systeme und ihre Beziehung zueinander. Daneben wurde die operative Verantwortung im Kontext 8.2 BAIT seitens der Cloud Service Provider (CSP) und der Institute, für Schnittstellen sowie deren Dokumentation aufgegriffen.

Die Abstraktionsgrenze bilden demnach die gemeinsam betriebenen Schichten. Oberhalb der Grenze ist das Institut verantwortlich, sodass eine vollständige Abbildung und Dokumentation erforderlich ist. Unterhalb der Abstraktionsgrenze ist der CSP verantwortlich, eine Aufnahme ist daher i.d.R. nciht erforderlich. An der Abstraktionsgrenze müssen die Parametrisierung der Services und die Servicebeschreibung des CSP aufgenommen werden.

Das Protokoll des Sonderfachgremiums Cloud des Fachgremiums IT finden Sie hier auf der Webseite der BaFin.

Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de

BaFin avisiert mehr gezielte IT-Prüfungen mit Fokus IT-Sicherheit

Auf dem Non Performing Loans-Forum 2022 spricht der Exekutivdirektor Bankenaufsicht der Bundsanstalt für Finanzdienstleistungsaufsicht (BaFin), Raimund Röseler, über Risiken und entsprechende Maßnahmen der BaFin. Dabei hält er u.a. fest, dass internationale Konflikte das Risiko von Cyberangriffen steigern. Als Beispiel dafür führt er den Angriffskrieg Russlands gegen die Ukraine an. Obwohl sich aus dieser Situation heraus noch keine konkreten, erfolgreichen Angriffe ergeben haben, bleibe das Risiko hoch. Nicht nur Institute selbst seien dem Risiko ausgesetzt, gerade Cybervorfälle und Angriffe bei Service Providern und Infrastrukturanbietern stellen eine hohe Gefährdung für den Finanzmarkt und seine Teilnehmer dar.

„Welche Bank und welcher Kreditanalyst ist wirklich in der Lage, die IT-Sicherheit der Bankkunden zu beurteilen? Ich jedenfalls kenne nur wenige Institute, die sich damit intensiver befassen.“, wirft Raimund Röseler auf. Gerade vor diesem Hintergrund plant die BaFin mehr gezielte IT-Prüfungen bei Instituten und Dienstleistern und plant auch im Rahmen der operativen Aufsicht die Einhaltung von aufsichtlichen IT-Anforderungen zu prüfen. Hierzu hält Röseler fest: „Kein Bank-Manager sollte sich herausreden und mit dem Finger auf die IT-Dienstleister zeigen können.“

Den Vortrag von Raimund Röseler finden Sie hier auf der Webseite der BaFin.

Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de

Nachhaltigkeit und digitaler Wandel gehen Hand in Hand

Die Europäische Kommission befasst sich im Rahmen ihres Strategic Foresight Reports 2022 mit der Vereinbarkeit von Nachhaltigkeit und digitalem Wandel. Basis für den Report bildet ein Bericht des Joint Research Center (JRC), der die Notwendigkeit der Verbindung beider Themen aufzeigt. Die zehn Fokusthemen des JRC-Berichts werden dabei auch im Report der Europäischen Kommission aufgegriffen:

1. Stärkung von Resilienz und strategischer Autonomie in kritischen Sektoren
2. Stärkung der grünen und digitalen Diplomatie
3. Strategisches Management der Versorgung mit kritischen Materialien und Gütern, um Abhängigkeiten zu vermeiden
4. Stärkung des wirtschaflichen und sozialen Zusammenhalts
5. Anpassung von Bildungs- und Trainingssystemen, um mit der sich schnell verändernden Realität Schritt zu halten
6. Mobilisierung zukunftssicherer Investitionen in neue Technologien und Infrastukturen
7. Entwicklung von Rahmenwerken zur Überwachung
8. Sicherstellung eines zukunftssicheren regulatorischen Rahmenwerks für den Binnenmerkt, um nachhaltige Business-Modelle und Verbraucherverhaltensmuster zu fördern
9. Stärkung des globalen Ansatzes, basierend auf einem „Reduce, Repair, Reuse, Recycle„-Prinzip
10. Robuste Cybersicherheit und sichere Rahmen zum Datenaustausch fördern, um einerseits kritische Infrastrukturen resilienter zu machen und andererseits Vertrauen in Digitialisierung und Nachhaltigkeit zu stärken

Die Kommission kommt zu dem Ergebnis, dass durch eine Auseinandersetzung mit den Zusammenhängen und Spannungen zwischen den Bereichen entlang der zehn Fokusthemen bis 2050 eine erfolgreiche Verbindung beider Themenkomplexe möglich ist. Dabei wird eine regenerative und klimaneutrale Wirtschaft gefördert, die Verschmutzung verringert, Biodiversität und natürliches Kapital wiederherstellt und die EU damit resilienter und autonomer. Dabei werde zeitgleich ein fairer Wandel zum Nutzen von Mensch, Gemeinschaft und Region ermöglicht.

Den Strategic Foresight Report 2022 finden Sie hier auf der Webseite der Kommission.
Den Report des JRC finden Sie hier auf dessen Webseite.

Quelle: Europäische Kommission – ec.europa.eu

Auch wenn die Orientierungshilfe zum Cloud-Outsourcing unverbindlich ist, wird sie oft als Basis für Auslagerungen in die Cloud herangezogen. Eine Vertiefung und Anpassung der Informationen ist wünschenswert und hilfreich, zieht aber auch Aufwände nach sich. Eine gute Gelegenheit, um sich auch mit der generellen Compliance im Kontext Outsourcing auseinanderzusetzen!

Wir bei ADWEKO stehen Ihnen bei der Kontrolle ihres Outsourcing Managements sowie der Umsetzung neuer Vorgaben gerne zur Seite.

sprechen sie mit

Pia Streicher!