Richtlinien zur Cloud-Auslagerung

Nachdem EBA und EIOPA bereits Richtlinien für Cloud-Auslagerungen für Banken und Versicherungen vorgegeben haben, schließt sich nun die ESMA (European Securities and Markets Authority) mit den Guidelines on outsourcing to cloud service providers für Kapitalverwaltungsgesellschaften / Asset Manager an.  Diese gelten ab dem 31. Juli 2021 und müssen bis Ende 2022 von den betreffenden Unternehmen umgesetzt werden.

Die Guidelines sollen Unternehmen und Aufsichtsbehörden dabei helfen, mit der Nutzung von Cloud-Services verbundene Risiken zu identifizieren, zu managen und angemessen zu überwachen. Die Vorgaben beziehen sich dabei auf den gesamten Outsourcing-Lebenszyklus, von der Outsourcing-Entscheidung über die Selektion eines Cloud Service Providers (CSP) bis hin zur Überwachung der Cloud Services und der Gestaltung von Exitstrategien.

Thematisch werden dabei die bereits aus den Fassungen von EBA und EIOPA bekannten Bereiche aufgegriffen, wie etwa Anforderungen an Verträge mit dem Dienstleister, Informationssicherheit, Exitstrategien, Prüf- und Kontrollrechte, Weiterverlagerungen, und die Überwachung der Cloud-Auslagerungen. Dabei werden insbesondere bei der vorgelagerten Analyse und Bewertung der Risiken ausführlichere Cloud-Spezifika aufgeführt.

Regelungsbereiche der ESMA Guidelines on Cloud Outsourcing

Governance, Aufsicht und Dokumentation

Die Cloud-Outsourcing-Strategie eines Unternehmens sollte konsistent mit der Unternehmensstrategie sein und eine klar definierte Funktion für das Management der Cloud-Auslagerungen definieren. Darüber hinaus sollte eine Cloud-Auslagerungsfunktion etabliert und die Leistungserbringung des CSP überwacht werden. Für kritische und wesentliche Funktionen werden sehr konkrete Vorgaben für die Aufnahme in das Auslagerungsregister gemacht, unter anderem über die Angaben von Zeitkritikalität, geltendes Recht, Art der Cloud-Dienstleistung und Weiterverlagerungen inkl. Ort der Leistungserbringung.

Vorgelagerte Analyse des Outsourcing-Vorhabens und Due Diligence

Vor einer Cloud-Auslagerung ist zu identifizieren, ob eine kritische oder wesentliche Funktion betroffen ist. Für kritische und wesentliche Funktionen werden die Vorgaben zur Risikoeinschätzung sowie zur damit verbundenen Due Diligence konkretisiert. So sollen Risiken in Verbindung mit Informations- und Kommunikationstechnologie, Informationssicherheit, BCM, Legal & Compliance, Reputation und operationelle Risiken sowie mögliche Aufsichtsbeschränkungen berücksichtigt werden. Weiterhin sind die Risiken zu berücksichtigen, die sich unter anderem aus dem Cloud Service- und Deployment Model, der Interoperabilität von Systemen und Anwendungen zwischen den Auslagerungsunternehmen und dem CSP, dem Migrations- und/ oder Implementierungsprozess, der Portabilität von Unternehmensdaten oder der politischen bzw. rechtlichen Stabilität ergeben. Weitere bereits aus anderen Regularien bekannte Kriterien zur Risikoeinschätzung des Dienstleisters sind heranzuziehen, wie etwa dessen Reputation, Fähigkeiten und Organisationsstruktur.

Vertragsinhalte

Es werden typische Vertragsinhalte vor allem für kritische oder wesentliche Funktionen vorgegeben, wie etwa die Festlegung von geltendem Recht, der Erlaubnis von Weiterverlagerungen, von Leistungsüberwachung, von Zugangs- und Prüfrechten für die auslagernden Unternehmen und Aufsichtsbehörden.

Informationssicherheit

Auslagernde Unternehmen sollen Vorgaben zur Informationssicherheit in ihren internen Richtlinien und in Auslagerungsverträgen mit Cloud-Dienstleistern festhalten. Die Einhaltung dieser Richtlinien durch die Dienstleister soll regelmäßig geprüft werden. Auch bezüglich der Informationssicherheit werden die Vorgaben für kritische oder wesentliche Funktionen detailliert, so sollen auf einem risikoorientierten Ansatz basierend folgende Bereiche mindestens berücksichtigt werden: Informationssicherheitsorganisation zwischen Unternehmen und CSP, Identity and Access Management, Encryption and Key Management, Operations und Netzwerksicherheit, APIs, BCM and Disaster Recovery und Ort der Datenspeicherung. Außerdem soll sichergestellt werden, dass der CSP international anerkannte Informationssicherheitsstandards erfüllt und angemessene Kontrollen etabliert hat. Betrachtet man die praktische Umsetzung, werden für die Informationssicherheit in der Cloud meist typischerweise der C5 des BSI oder die Cloud Control Matrix (CCM) der CSA umgesetzt.

Exitstrategien

Werden kritische oder wesentliche Funktionen ausgelagert, so muss ein auslagerndes Unternehmen sicherstellen, dass es zu keiner Unterbrechung seiner Geschäftsaktivitäten und der Bereitstellung von Kundenservices kommt. Ebenso dürfen die Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit der Unternehmensdaten nicht gefährdet werden. Zur Sicherstellung dieser Anforderungen sind Exitpläne zu erstellen, Alternativlösungen zu identifizieren und die Transition der Leistungen „für den Fall der Fälle“ zu planen. Bei der Erstellung der Exitpläne und -lösungen sollen Auslöser für die Exitstrategie, Rollen- und Verantwortlichkeiten sowie Erfolgskriterien für die Transition definiert werden. Die Angemessenheit der Exitstrategie sollte in einem risikoorientierten Ansatz getestet werden.

Zugangs- und Prüfrechte

Die Zugangs- und Prüfrechte von Auslagerungsunternehmen und Aufsichtsbehörden dürfen durch die Auslagerungsvereinbarung nicht eingeschränkt werden. Zertifikate und Prüfberichte können im Falle von kritischen oder wesentlichen Auslagerungen zur Einschätzung des Dienstleisters berücksichtigt werden, wenn diese die geforderten Mindestanforderungen erfüllen, wie zum Beispiel die regelmäßige Aktualisierung der Nachweise, die Abdeckung des relevanten Scopes und das vertraglich vereinbarte Recht zur Forderung der Erweiterung des Zertifikat-Scopes. Darüber hinaus sollte das auslagernde Unternehmen über das Recht verfügen, selbst Vor-Ort-Prüfungen durchzuführen.

Weiterverlagerungen

Wie bei Banken und Versicherungen sollte auch bei Asset Managern bei der Weiterverlagerung von kritischen oder wesentlichen Funktionen die Auslagerungsvereinbarung vorgegebene Anforderungen beinhalten, unter anderem die Bedingungen für die Weiterverlagerung, ein mögliches Zustimmungsvorbehalt oder zumindest eine Informationspflicht des Auslagerungsunternehmens für geplante Weiterverlagerungen bzw. wesentlicher Änderungen und ein Sonderkündigungsrecht, falls das Auslagerungsunternehmen die geplante/geänderte Weiterverlagerung ablehnt.

Schriftliche Benachrichtigung an zuständige Behörden

Das auslagernde Unternehmen sollte die zuständige Aufsichtsbehörde zeitnah und schriftlich über geplante Cloud-Auslagerungen kritischer oder wesentlicher Funktionen informieren.

Fazit

Die ESMA formuliert mit ihren Guidelines on cloud outsourcing konkrete Anforderungen für Asset Manager an das Management von Cloud-Auslagerungen. Wer die EBA Guidelines on Outsourcing oder die EIOPA Guidelines on Outsourcing to CSP kennt, erkennt die meisten Inhalte wieder. Die Erfahrung aus dem Banken- und Versicherungsbereich zeigt jedoch, dass die praktische Umsetzung der Anforderungen Herausforderungen birgt und einige Zeit in Anspruch nimmt. Im Hinblick auf die Umsetzungsfrist bis Ende 2022 gilt es deshalb für die betreffenden Unternehmen sich zeitnah einen Überblick zu ihrem resultierenden Handlungsbedarf zu verschaffen und mit der Umsetzung der Anforderungen zu starten.