Detail

EBA Final Report - Recommendations on Outsourcing to cloud service providers (EBA/REC/2017/03)

09.01.2018

Die EBA hat am 20.12.2017 ihren finalen Bericht mit Empfehlungen zu Outsourcing an Cloud Service Provider (Cloud Outsourcing) vorgelegt.

Überblick

In dem Bericht gibt die EBA zu folgenden Punkten Empfehlungen ab:

  • Prüfung der Wesentlichkeit / Materialitätsprüfung
  • Informationspflicht gegenüber der Aufsicht
  • Zugriffs- /Zugangs- / Zutritts- und Prüfrechte
  • Sicherheit der Daten und Systeme
  • Standort der Daten und der Datenverarbeitung
  • Weiterverlagerung
  • Notfallpläne und Ausstiegsstrategie

Ziele

  • Auflösung von Unsicherheiten bei Finanzinstituten hinsichtlich der aufsichtlichen Anforderungen an Outsourcing an einen Cloud Service Provider
  • Klarstellung der bestehenden Empfehlungen und der Anwendung der allgemeinen Guidelines der Aufsicht an das Outsourcing auf die Anforderungen zu Cloud Outsourcing
  • Berücksichtigung von Kontext, Wesen und Risiko von Cloud Outsourcing
  • Überbrücken der Zeitspanne bis zur geplanten generellen Überarbeitung der Outsourcing Guidelines. Überblick Nachstehende Abbildung gibt einen Überblick zu den einzelnen Regelungssachverhalten mit den wesentlichen Kernaussagen. Dabei sind die Sachverhalte, die Zugangs- oder Zutrittsrechte bzw. Netzzugriff betreffen, zusammengefasst (Kapitel 4.3 und 4.4 der Empfehlung).

Überblick

Nachstehende Abbildung gibt einen Überblick zu den einzelnen Regelungssachverhalten mit den wesentlichen Kernaussagen. Dabei sind die Sachverhalte, die Zugangs- oder Zutrittsrechte bzw. Netzzugriff betreffen, zusammengefasst (Kapitel 4.3 und 4.4 der Empfehlung).

 

Wichtige Klarstellungen im finalen Bericht:

  • Es gelten weiterhin die Prinzipien der CEBS Leitlinien zu Outsourcing zur Ermittlung der Wesentlichkeit.
  • Die Empfehlungen gelten für alle Auslagerungen in die Cloud, nicht nur für wesentliche.
  • Informationspflicht zu wesentlichen Auslagerungen von Daten und Services vor der Auslagerung.
  • Nicht nur ein Land, sondern auch mehrere Länder können Speicherorte von Daten sein.
  • Das von Instituten zu führende Register für Cloud Outsourcing ist - im Gegensatz zu den Meldungen an die Aufsichtsbehörden - nicht eingeschränkt auf wesentliche Cloud Outsourcing Dienste.
  • Bezüglich der Zutritts- und Zugriffs- bzw. Prüfungsrechte hat die EBA u.a. klar postuliert, dass generell vertraglich nicht auf Zutrittsrechte verzichtet werden darf, gleichwohl einzelne Prüfungen auch virtuell bzw. über technologische Mittel erfolgen können.
  • Zu Daten- und Systemsicherheit wird u.a. betont, dass nicht nur der Cloud Outsourcing Provider verantwortlich ist.
  • Erläuterungen, ab wann bei einer Weiterverlagerung ein anlassbezogenes Risk Assessment erwartet wird.
  • Erwartungshaltung an den Test von Notfallplänen
  • In Ausstiegsstrategien ist auch auf ein umfangreiches Zerstören aller Daten in allen Umgebungen, Kopien und Datensicherungen einzugehen.

Fazit

Mit den vorliegenden Empfehlungen hat die EBA einen ersten wichtigen und begrüßenswerten Schritt unternommen, um Sicherheit in die Erwartungshaltung der Regulatoren zu Cloud Outsourcing zu bringen.

Verschiedene Themen wurden im Rahmen der Konsultation aufgegriffen und umfangreich erläutert. Durch die Freiheitsgrade kann es zu unterschiedlichen Ausgestaltungen durch die nationalen Aufsichtsbehörden in Europa kommen. Dies beträfe u.a. direkt das konzernweite Cloud Outsourcing mehrerer selbstständiger Konzernunternehmen.

In einigen Punkten, wie bspw. der Diskussion über die Länder, in denen die Daten gespeichert sind, sind die Schwierigkeiten und Gegensätzlichkeiten, die zwischen global agierenden und optimierenden Cloud Service Providern und regional agierenden Aufsichtsbehörden bestehen, sehr deutlich hervorgetreten.

Bis sich am Markt eine laufende Prüfungspraxis entwickelt hat, empfehlen wir, vor einer Auslagerung von Dienstleistungen oder Prozessen in die Cloud in direkte Abstimmung mit der Aufsicht zu gehen.

Nachdem Cloud Outsourcing zunächst als ein weltweiter Markt bzw. eine weltweite Serviceplattform anzusehen ist, ist es fraglich, ob es gelingt, diesen Markt mit regionalen Maßnahmen zu regulieren.

 

 

  • Outsourcing
  • IT-Risiko

Ihr Ansprechpartner

Peter Nuding, Senior Manager

Peter Nuding
Senior Manager

+49 (0)171 4903234
Peter.Nuding@plenum.de

Newsletter
abonnieren