14.03.2024 10:28 Uhr in Computer & Internet und in Wirtschaft & Finanzen von microfin Unternehmensberatung GmbH
Cloud-Auslagerungen: Was die BaFin jetzt fordert
Neue Aufsichtsmitteilung konkretisiert VorgabenKurzfassung: Mit einer neuen Aufsichtsmitteilung hat die BaFin im Januar ihre Regelungen für Finanzdienstleister konkretisiert, die IT-Services an Cloud-Anbieter auslagern. Die bislang gültige "Orientierungshilfe" aus dem Jahr 2018 wurde hierbei wesentlich erweitert und auch um Hinweise zur Umsetzung des Digital Operational Resilience Act (DORA) ergänzt.
microfin Whitepaper: Wie die BaFin heute Cloud-Auslagerungen sieht
[microfin Unternehmensberatung GmbH - 14.03.2024] Bad Homburg, 14. März 2024 - Mit einer neuen Aufsichtsmitteilung hat die BaFin im Januar ihre Regelungen für Finanzdienstleister konkretisiert, die IT-Services an Cloud-Anbieter auslagern. Die bislang gültige "Orientierungshilfe" aus dem Jahr 2018 wurde hierbei wesentlich erweitert und auch um Hinweise zur Umsetzung des Digital Operational Resilience Act (DORA) ergänzt. Die wichtigsten Neuerungen:
Im Kapitel "Vorbereitende Handlungen und Governance-Rahmen für die Cloud" macht die BaFin jetzt konkrete "Interne Vorgaben für die Nutzung der Cloud" und legt fest, welche Themen als Mindestumfang in den institutseigenen Vorgaben zu Entwicklung und Betrieb von Cloud-Anwendungen aufzunehmen sind. Diese Regelungen müssen einen risikobasierten Ansatz verfolgen. Zudem fordert die Regulierungsbehörde eine konkrete "Ressourcenausstattung und Qualifikation" der Personen, die mit Aufgaben im Cloud-Umfeld betraut sind - und zwar auch für Entscheidungsträger, die "angemessene und einschlägige Kompetenzen und Kenntnisse über die Funktionsweise der Cloud, der mit ihr verbundenen Risiken" haben müssen.
Ganz neu hinzugekommen ist das Kapitel "Sichere Anwendungsentwicklung und IT-Betrieb in der Cloud". Hier sieht die BaFin signifikante Risiken durch die Komplexität der Anwendungen auf Basis von Cloud-Diensten und dadurch, dass die zumeist anbieterspezifische Ausgestaltung zu einem sogenannten Provider-Lock-in führen kann. Zudem fordert die Behörde - im Vorgriff auf kommende DORA-Regelungen - eine laufende Überwachung der Cloud-Betriebsprozesse des beaufsichtigten Unternehmens.
Mit dem ebenfalls neuen Kapitel "Überwachung und Kontrolle der Auslagerung an Cloud-Anbieter" unterstreicht die BaFin die Bedeutung des Modells der geteilten Zuständigkeit, das auch auf den Informationsverbund anzuwenden ist. Ansatzpunkte für die Überwachung der Leistungserbringung und der Informationssicherheit münden in Hinweisen zur Durchführung von Überwachungs- und Kontrollmaßnahmen.
Die microfin Unternehmensberatung hat eine Übersicht über alle Veränderungen in einem Dokument zusammengestellt, zu denen die Finanzaufsicht selbst das Fazit zieht: "Doch, die BaFin erlaubt das!". "Wir meinen, dass damit mehr Klarheit für die Branche geschaffen wurde", so Sebastian Dosch, Principal Consultant bei microfin, "und wir leisten mit unserer Übersicht eine Hilfestellung dabei, dies in den weiteren Regulierungskontext einzuordnen."
Das Dokument steht hier kostenlos zum Download bereit: https://www.microfin.de/grc/advisory/anfrage-whitepaper-aufsichtsmitteilung-cloud-auslagerungen/
Im Kapitel "Vorbereitende Handlungen und Governance-Rahmen für die Cloud" macht die BaFin jetzt konkrete "Interne Vorgaben für die Nutzung der Cloud" und legt fest, welche Themen als Mindestumfang in den institutseigenen Vorgaben zu Entwicklung und Betrieb von Cloud-Anwendungen aufzunehmen sind. Diese Regelungen müssen einen risikobasierten Ansatz verfolgen. Zudem fordert die Regulierungsbehörde eine konkrete "Ressourcenausstattung und Qualifikation" der Personen, die mit Aufgaben im Cloud-Umfeld betraut sind - und zwar auch für Entscheidungsträger, die "angemessene und einschlägige Kompetenzen und Kenntnisse über die Funktionsweise der Cloud, der mit ihr verbundenen Risiken" haben müssen.
Ganz neu hinzugekommen ist das Kapitel "Sichere Anwendungsentwicklung und IT-Betrieb in der Cloud". Hier sieht die BaFin signifikante Risiken durch die Komplexität der Anwendungen auf Basis von Cloud-Diensten und dadurch, dass die zumeist anbieterspezifische Ausgestaltung zu einem sogenannten Provider-Lock-in führen kann. Zudem fordert die Behörde - im Vorgriff auf kommende DORA-Regelungen - eine laufende Überwachung der Cloud-Betriebsprozesse des beaufsichtigten Unternehmens.
Mit dem ebenfalls neuen Kapitel "Überwachung und Kontrolle der Auslagerung an Cloud-Anbieter" unterstreicht die BaFin die Bedeutung des Modells der geteilten Zuständigkeit, das auch auf den Informationsverbund anzuwenden ist. Ansatzpunkte für die Überwachung der Leistungserbringung und der Informationssicherheit münden in Hinweisen zur Durchführung von Überwachungs- und Kontrollmaßnahmen.
Die microfin Unternehmensberatung hat eine Übersicht über alle Veränderungen in einem Dokument zusammengestellt, zu denen die Finanzaufsicht selbst das Fazit zieht: "Doch, die BaFin erlaubt das!". "Wir meinen, dass damit mehr Klarheit für die Branche geschaffen wurde", so Sebastian Dosch, Principal Consultant bei microfin, "und wir leisten mit unserer Übersicht eine Hilfestellung dabei, dies in den weiteren Regulierungskontext einzuordnen."
Das Dokument steht hier kostenlos zum Download bereit: https://www.microfin.de/grc/advisory/anfrage-whitepaper-aufsichtsmitteilung-cloud-auslagerungen/
Weitere Informationen
microfin Unternehmensberatung GmbH
microfin ist ein auf die digitale Transformation spezialisiertes Beratungsunternehmen mit einer Leidenschaft für technologischen Fortschritt und seine komplexen Herausforderungen. microfin ermöglicht echte Innovationssprünge durch den cleveren Einsatz von Cloud, Outsourcing, Data & AI. Dazu zeigen die microfin-Enabler Wege durch Organisation, Kosten und Technik sowie Recht und Regulatorik auf.
microfin befähigt Menschen, Transformation zu gestalten - mit Beratung, Produkten und Schulungen.
Weitere Informationen: https://www.microfin.de
microfin ist ein auf die digitale Transformation spezialisiertes Beratungsunternehmen mit einer Leidenschaft für technologischen Fortschritt und seine komplexen Herausforderungen. microfin ermöglicht echte Innovationssprünge durch den cleveren Einsatz von Cloud, Outsourcing, Data & AI. Dazu zeigen die microfin-Enabler Wege durch Organisation, Kosten und Technik sowie Recht und Regulatorik auf. microfin befähigt Menschen, Transformation zu gestalten - mit Beratung, Produkten und Schulungen.
Weitere Informationen: https://www.microfin.de
microfin Unternehmensberatung GmbH, Herr Branimir Brodnik
Kaiser-Friedrich-Promenade 12, 61348 Bad Homburg, Deutschland
Tel.: 0049 - 6172 - 17763 - 0; http://www.microfin.de
Kaiser-Friedrich-Promenade 12, 61348 Bad Homburg, Deutschland
Tel.: 0049 - 6172 - 17763 - 0; http://www.microfin.de
Weitere Meldungen dieses Unternehmens
Erfolgreiche Pressearbeit eBook
Eine Pflichtlektüre für mehr Sichtbarkeit durch Pressemitteilungen.
Pressefach abonnieren
via RSS-Feed abonnieren
via E-Mail abonnieren
Pressekontakt
Herr Ingo Weber
Dr. Haffa & Partner GmbH
Karlstraße 42
80333 München
Deutschland
Drucken
Weiterempfehlen
PDF
Schlagworte
Permanentlinks
https://www.prmaximus.de/138766Dr. Haffa & Partner GmbH
Karlstraße 42
80333 München
Deutschland
https://www.prmaximus.de/pressefach/microfin-unternehmensberatung-gmbh-pressefach.html
Die Pressemeldung "Cloud-Auslagerungen: Was die BaFin jetzt fordert" unterliegt dem Urheberrecht.
Jegliche Verwendung dieses Textes, auch auszugsweise, erfordert die vorherige schriftliche Erlaubnis des Autors.
Autor der Pressemeldung "Cloud-Auslagerungen: Was die BaFin jetzt fordert" ist microfin Unternehmensberatung GmbH, vertreten durch Branimir Brodnik.