Telefon: +49(0)69 6435-7225
Telefax: +49(0)69 6435-7227
info@plenum.de

EBA Final Report - Recommendations on Outsourcing to cloud service providers (EBA/REC/2017/03)

09.01.2018

Zurück

Die EBA hat am 20.12.2017 ihren finalen Bericht mit Empfehlungen zu Outsourcing an Cloud Service Provider (Cloud Outsourcing) vorgelegt.

 

eba empfehlungen

In dem Bericht gibt die EBA zu folgenden Punkten Empfehlungen ab:

  • Prüfung der Wesentlichkeit/Materialitätsprüfung
  • Informationspflicht gegenüber der Aufsicht
  • Zugriffs-/Zugangs-/Zutritts- und Prüfrechte
  • Sicherheit der Daten und Systeme
  • Standort der Daten und der Datenverarbeitung
  • Weiterverlagerung
  • Notfallpläne und Ausstiegsstrategie

 

ziele

  • Auflösung von Unsicherheiten bei Finanzinstituten hinsichtlich der aufsichtlichen Anforderungen an Outsourcing an einen Cloud Service Provider
  • Klarstellung der bestehenden Empfehlungen und der Anwendung der allgemeinen Guidelines der Aufsicht an das Outsourcing auf die Anforderungen zu Cloud Outsourcing
  • Berücksichtigung von Kontext, Wesen und Risiko von Cloud Outsourcing
  • Überbrücken der Zeitspanne bis zur geplanten generellen Überarbeitung der Outsourcing Guidelines

 

Überblick

Nachstehende Abbildung gibt einen Überblick zu den einzelnen Regelungssachverhalten mit den wesentlichen Kernaussagen. Dabei sind die Sachverhalte, die Zugangs- oder Zutrittsrechte bzw. Netzzugriff betreffen, zusammengefasst (Kapitel 4.3 und 4.4 der Empfehlung).

 

 

 

wichtige klarstellungen im finalen bericht

  • Es gelten weiterhin die Prinzipien der CEBS Leitlinien zu Outsourcing zur Ermittlung der Wesentlichkeit.
  • Die Empfehlungen gelten für alle Auslagerungen in die Cloud, nicht nur für wesentliche.
  • Informationspflicht zu wesentlichen Auslagerungen von Daten und Services vor der Auslagerung.
  • Nicht nur ein Land, sondern auch mehrere Länder können Speicherorte von Daten sein.
  • Das von Instituten zu führende Register für Cloud Outsourcing ist - im Gegensatz zu den Meldungen an die Aufsichtsbehörden - nicht eingeschränkt auf wesentliche Cloud Outsourcing Dienste.
  • Bezüglich der Zutritts- und Zugriffs- bzw. Prüfungsrechte hat die EBA u. a. klar postuliert, dass generell vertraglich nicht auf Zutrittsrechte verzichtet werden darf, gleichwohl einzelne Prüfungen auch virtuell bzw. über technologische Mittel erfolgen können.
  • Zu Daten- und Systemsicherheit wird u. a. betont, dass nicht nur der Cloud Outsourcing Provider verantwortlich ist.
  • Erläuterungen, ab wann bei einer Weiterverlagerung ein anlassbezogenes Risk Assessment erwartet wird.
  • Erwartungshaltung an den Test von Notfallplänen
  • In Ausstiegsstrategien ist auch auf ein umfangreiches Zerstören aller Daten in allen Umgebungen, Kopien und Datensicherungen einzugehen.

 

fazit

Mit den vorliegenden Empfehlungen hat die EBA einen ersten wichtigen und begrüßenswerten Schritt unternommen, um Sicherheit in die Erwartungshaltung der Regulatoren zu Cloud Outsourcing zu bringen.

Verschiedene Themen wurden im Rahmen der Konsultation aufgegriffen und umfangreich erläutert. Durch die Freiheitsgrade kann es zu unterschiedlichen Ausgestaltungen durch die nationalen Aufsichtsbehörden in Europa kommen. Dies beträfe u. a. direkt das konzernweite Cloud Outsourcing mehrerer selbstständiger Konzernunternehmen.

In einigen Punkten, wie bspw. der Diskussion über die Länder, in denen die Daten gespeichert sind, sind die Schwierigkeiten und Gegensätzlichkeiten, die zwischen global agierenden und optimierenden Cloud Service Providern und regional agierenden Aufsichtsbehörden bestehen, sehr deutlich hervorgetreten.

Bis sich am Markt eine laufende Prüfungspraxis entwickelt hat, empfehlen wir, vor einer Auslagerung von Dienstleistungen oder Prozessen in die Cloud in direkte Abstimmung mit der Aufsicht zu gehen.

Nachdem Cloud Outsourcing zunächst als ein weltweiter Markt bzw. eine weltweite Serviceplattform anzusehen ist, ist es fraglich, ob es gelingt, diesen Markt mit regionalen Maßnahmen zu regulieren.

Wir verwenden auf unserer Webseite verschiedene Cookies: notwendige Cookies, die für die Nutzung unserer Webseiten zwingend erforderlich sind sowie Performance Cookies, mit denen wir aggregierte Daten zur Webseitennutzung und Statistiken generieren. Wenn Sie auf "zustimmen" klicken, stimmen Sie der Verwendung aller Cookies zu. Unter "cookie-einstellungen" können Sie eine individuelle Auswahl treffen. Aus Anlass der Rechtsprechung des EuGH haben sich die Rechtsgrundlagen der Datenübermittlung für die Nutzung des Analysetools Google Analytics und des Verzeichnisses Google Fonts geändert. Wenn Sie auf "zustimmen" klicken, willigen Sie auch in den Datentransfer in die USA ein. Mehr in unseren Datenschutzregelungen.

ihre einstellungen für diese webseite

Wir verwenden folgende nicht technisch notwendigen Cookies auf unserer Webseite. Mit Setzen des Hakens willigen Sie der Datenverarbeitung des angeklickten Cookies ein. Die Einwilligung ist freiwillig und kann jederzeit mittels der Cookie-Einstellungen widerrufen bzw. angepasst werden. Weitere Informationen dazu und zur Datenverarbeitung mittels Cookies finden Sie in unserer Datenschutzerklärung.