Dr. Sibel Kocatepe, LL.M. (Köln/Istanbul), Referentin, Referat GIT 2: Incident Reporting, Überwachung IT-Mehrmandantendienstleister und Krisenprävention, Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)
I. Einleitung
Der Einsatz von Cloud-Diensten im Finanzsektor schreitet mit hoher Dynamik voran. Treiber dieser Entwicklung ist neben potentiellen Kostenersparnissen und der flexiblen Skalierbarkeit auch der Ersatz von Legacy-Systemen und -Strukturen. Die Finanzaufsicht setzt auf verschiedenen Ebenen an, um potentielle Risiken, die mit Auslagerungen in die Cloud einhergehen, zu erkennen und zu mitigieren. Dabei gilt: Für Finanzinstitute muss der aufsichtsrechtskonforme Einsatz von Cloud-Diensten praktikabel bleiben. Daher fallen Cloud-Dienstleister unter ein aufsichtliches Überwachungsrahmenwerk. Die seit dem 1. Januar 2022 geltenden Regelungen im Zuge des Gesetzes zur Stärkung der Finanzmarktintegrität (FISG)[1] auf nationaler sowie der ab dem 17.1.2025 anzuwendende Digital Operational Resilience Act (DORA)[2] auf europäischer Ebene leisten dazu wesentliche Beiträge.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat in den vergangenen Jahren die Risiken, Probleme und auch die Bedürfnisse der Finanzbranche bei der Nutzung von Cloud-Dienstleistungen identifiziert. In der Folge hat die BaFin Lösungen erarbeitet, um die aufsichtsrechtskonforme Nutzung von Cloud-Dienstleistungen durch Finanzunternehmen zu unterstützen. Die Ansätze reichen dabei von der Mitarbeit an einer Vielzahl internationaler Arbeitsgruppen zu aufsichtlichen Anforderungen bei Cloud-Auslagerungen über die Kommunikation mit beaufsichtigten Unternehmen und Cloud-Dienstleitstern zu Vertragsgestaltungen bis hin zur Erarbeitung eines nationalen und europäischen Überwachungsrahmens für Auslagerungsunternehmen, der insbesondere Cloud-Anbieter im Fokus hat.
II. Empfehlungen, Leitlinien, Orientierungshilfe und Protokolle als aufsichtsrechtliches Grundgerüst
Mit der Veröffentlichung der Recommendations on outsourcing to cloud service providers im Jahr 2017 war die Europäische Bankenaufsichtsbehörde (European Banking Authority – EBA) Vorreiter bei der Erarbeitung von Hinweisen zur aufsichtsrechtskonformen Nutzung von Cloud-Dienstleistungen im Finanzsektor.[3] Die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (European Insurance and Occupational Pensions Authority – EIOPA) und die Europäische Wertpapier- und Marktaufsichtsbehörde (European Securities and Markets Authority – ESMA) zogen 2019 und 2020 mit eigenen Guidelines on outsourcing to cloud service providers[4] nach. Die BaFin hat an diesen Regelwerken mitgewirkt. Aktuell beteiligt sie sich an den noch andauernden Arbeiten des Basler Ausschuss für Bankenaufsicht (Basel Committee on Banking Supervision – BCBS) an global gültigen Leitlinien für das Cloud-Outsourcing. Als integrierte Aufsicht setzt sich die BaFin dabei insbesondere für branchenübergreifend harmonisierte Anforderungen ein. [...]
Beitragsnummer: 22105