DDORA & IT-Sicherheit

EZB-Leitfaden zur Auslagerung von Cloud-Diensten: Tipps zur Umsetzung von DORA

EZB-Leitfaden zur Auslagerung von Cloud-Diensten: Tipps zur Umsetzung von DORA ECB Guide on Cloud Outsourcing: Implementation Tips for DORA Compliance
0
Shares
0
0
0
0
0
0

Bedeutung von Cloud-Auslagerung und DORA im Banken- und Zahlungsverkehr

Die Europäische Zentralbank („EZB“) hat im Juli 2025 nach umfänglichen Konsultationen einen Leitfaden zur Auslagerung von Cloud-Diensten veröffentlicht. Durch diese unverbindlichen Empfehlungen teilt die EZB ihre Erwartungen an die Einhaltung der Vorgaben aus der zwischenzeitlich in Kraft getretenen Verordnung über die digitale operationale Resilienz (Digital Operational Resilience Act – „DORA“) mit und gibt darüber hinaus bewährte Verfahren zur wirksamen Steuerung der Auslagerungsrisken an die Hand. Damit reagiert die EZB vor dem Hintergrund weiterhin stark zunehmender Nutzung von Cloud-Services auf die im Rahmen ihrer Aufsichtstätigkeit festgestellten Mängel im Bereich der operationellen Resilienz. Auch wenn der EZB-Leitfaden sich nur an solche Institute richtet, die unmittelbar unter Aufsicht derselben steht, lassen sich den praktischen Hinweisen zahlreiche nützliche Erwägungen entnehmen, die auch für alle anderen Unternehmen, die Cloud-Dienstleistungen in Anspruch nehmen, von Relevanz sind.

Auch die BaFin hat in ihrer Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter (Stand: Februar 2024) bereits Erwartungen an die Nutzung von Cloud-Dienstleistungen formuliert. Diese decken schon viele der im EZB-Leitfaden genannten Praxishinweise thematisch ab. Aufgrund der vielfach detaillierteren Hinweise und der umfassenderen Verquickung mit den Vorgaben der DORA erwarten wir, dass sich auch die BaFin intensiv mit dem EZB-Leitfaden auseinandersetzen und die eigene Erwartungshaltung nachschärfen wird.

Das betrifft insbesondere die im EZB-Leitfaden behandelten Themenbereiche, Governance, Resilienz, Datensicherheit, Exit-Strategie und Überwachung.

1.      Cloud Governance im Banking: Anforderungen der EZB und DORA

Die EZB betont, dass die beaufsichtigten Unternehmen für die ausgelagerten Tätigkeiten stets vollumfänglich verantwortlich bleiben. Konsequent empfiehlt die EZB, sicherzustellen, dass die Cloud-Anbieter über gleichwertige Verfahren, Prozesse und Kontrollen für das Risikomanagement verfügen und verlangt von den beaufsichtigten Unternehmen, dass sie beim Risikomanagement, in ihren Prozessen sowie bei den Kontrollen mindestens das gleiche Maß an Sorgfalt walten lassen, wie dies auch bei der Nutzung von inhouse-Lösungen nötig wäre. Die EZB erwartet, dass Unternehmen die Cloud nicht nur als ausgelagerte Infrastruktur betrachten, sondern deren Funktionsweise, Risiken und Sicherheitsmaßnahmen aktiv verstehen und in ihr eigenes IKT-Risikomanagement einbinden.

Die Cloud-Strategie sollte integraler Bestandteil der gesamten Unternehmensstrategie sein und explizit auf die Anforderungen im Bereich digitale operative Resilienz ausgerichtet werden. In diesem Zusammenhang nennt die EZB etwa die unklare Verantwortungsverteilung infolge nicht abgestimmter Strategien als Hauptursache operationeller Risiken bei Cloud-Nutzung und sieht in der übergreifenden organisatorischen und vertraglichen Rollenverteilung einen zentralen Schritt zur Schließung solcher Lücken.

Worauf ist bei der Ex-ante-Risikobewertung zu achten?

Ein besonderer Schwerpunkt der Empfehlungen betrifft die verpflichtende Ex-ante-Risikobewertung nach Art. 28 Abs. 4 DORA, die vor jeder neuen Auslagerung an Cloud-Anbieter durchzuführen und anschließend regelmäßig zu aktualisieren ist.

Um alle mit der Auslagerung von Cloud-Diensten zusammenhängenden Risiken zu ermitteln und zu bewerten, gibt die EZB detaillierte Anweisungen, welche Schritte sich zweckmäßig anbieten. Dazu schlägt die EZB vor, zu analysieren:

  1. welche Kontrollprozesse für die relevanten Risiken eingerichtet werden müssen,
  2. wie die Kontrollprozesse integriert werden können,
  3. ob der Cloud-Anbieter die erforderlichen Informationen bereitstellt,
  4. ob der Cloud-Anbieter die Kontrollen ordnungsgemäß implementiert hat, und
  5. ob der Cloud-Anbieter die notwendigen personellen Ressourcen mitbringt.

Welche Risiken müssen bei der Nutzung von Cloud-Diensten beachtet werden?

Nach Überzeugung der EZB hat es sich bewährt, bestimmte explizit genannte Risiken bei der Ex-ante-Risikobewertung gesondert in den Blick zu nehmen. Dies betrifft:

  • die Abhängigkeit von einzelnen Anbietern,
  • Probleme bei der Speicherung und Verarbeitung von Daten,
  • physische und regionale Risiken,
  • signifikante Qualitätseinbußen und Preissteigerungen,
  • sowie Risiken, die sich aus dem Betrieb in Multi-Tenant-Umgebungen ergeben.

In dem sich stetig wandelnden technologischen Umfeld empfiehlt die EZB regelmäßige Kontrollen, um Situationen zu vermeiden, in denen sich aus Untätigkeit oder Unkenntnis Abhängigkeiten verschärfen. Konzentrationsrisiken sollten daher in die Richtlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen aufgenommen werden.

2.      Resilienz und Notfallmanagement

Um die Geschäftstätigkeit auch im Fall einer schwerwiegenden Betriebsstörung aufrechterhalten zu können, empfiehlt die EZB im Rahmen der allgemeinen Geschäftsfortführungsleitlinie angemessene IKT- Geschäftsfortführungsmaßnahmen vorzusehen, die eine ganzheitliche Perspektive verfolgen.

Wie stellen Unternehmen die Verfügbarkeit von Cloud-Daten sicher?

Ein besonderes Risiko bei der Verwendung von Cloud-Diensten besteht darin, dass Unternehmen im Falle eines Ausfalls weitgehend ohne Zugang zu ihren Daten dastehen und ihre eigenen Geschäftstätigkeiten nicht erbringen können. Im Rahmen der Reaktions- und Wiederherstellungspläne sollen sich die beaufsichtigen Unternehmen daher dezidiert mit Fragen rund um Daten-Backup sowie Wiederherstellung von Daten auseinandersetzen. Dabei sind

  • der Umfang der zu sichernden Daten, sowie
  • die Mindesthäufigkeit der Sicherung

auf Grundlage der Kritikalität der Informationen oder des Vertraulichkeitsgrads festzulegen.

Nach Ansicht der EZB hat sich bewährt, bei der Auswahl der geeigneten Lösung die Risikobewertung zu berücksichtigen und Sicherungsdaten so zu speichern, dass sie physisch und logisch von ihren Quellsystemen getrennt sind.

Für Cloud-Auslagerungen, die kritische oder wichtige Funktionen betreffen, empfiehlt die EZB in einem risikobasierten Ansatz z. B.:

  • verschiedene Anbieter zu nutzen,
  • Rechenzentren an unterschiedlichen geografischen Standorten zu verwenden (georedundante Server-Architektur) oder
  • eine hybride Cloud-Architektur zu implementieren.

Es ist darauf zu achten, dass der plötzliche Ausfall der Cloud-Dienste nicht dazu führt, dass die im Geschäftsfortführungsplan festgelegten Toleranzobergrenzen für i) Ausfallzeiten oder ii) Datenverlust überschritten werden.

Wie sollte die Notfallwiederherstellungsstrategie überwacht werden?

Die DORA verpflichtet Unternehmen, die IKT-Geschäftsfortführungspläne sowie die IKT-Reaktions- und Wiederherstellungspläne zu testen. Bei der Ausweitung auf die Cloud-Dienste sollten die Unternehmen sich nicht ausschließlich auf einschlägige Zertifizierungen verlassen, sondern durch eigenes Personal selbst prüfen. Das erfordert entsprechende Schulungen. Die EZB empfiehlt unterschiedliche Szenarien für die Tests vorzusehen, wie z. B.:

  • Ausfall von Komponenten,
  • Ausfall des gesamten Standorts,
  • Ausfall einer Region, und
  • Teilausfälle.

Alle im Zuge der Tests erkannten Mängel sollten dokumentiert und analysiert werden, um geeignete Gegenmaßnahmen zu ergreifen.

3.      Datensicherheit, Vertraulichkeit und Integrität

Durch den Einsatz cloudbasierter Anwendungen erweitern Unternehmen ihren eigenen Sicherheits- und Verantwortungsbereich auf die Systeme der Cloud-Anbieter. Das bedeutet, dass auch diese externen Umgebungen in die internen Schutz- und Kontrollmechanismen einbezogen werden müssen – etwa durch Absicherung gegen unbefugte Zugriffe und Aufnahme in das IKT-Asset-Register.

Welche Kriterien sind bei der Standortwahl von Cloud-Anbietern entscheidend?

Die nach DORA und den Begleitgesetzen anzufertigenden IKT-Reaktions- und Wiederherstellungspläne müssen Szenarien politischer und sozialer Instabilität am Sitzland des Cloud-Dienstleisters sowie am Standort der Datenspeicherung und -verarbeitung Rechnung tragen. Die EZB empfiehlt, die Standorte, an denen Cloud-Anbieter Daten speichern dürfen, kritisch zu prüfen und möglichst auf Länder zu beschränken, die ein angemessenes Datenschutzniveau vorweisen. Hierbei sollen auch die rechtlichen und politischen Risiken Berücksichtigung finden. Datenstandorte sind regelmäßig einheitlich zu überprüfen und zu dokumentieren. Sofern ein relevanter Unterauftragnehmer in einem anderen Land als der Cloud-Anbieter ansässig ist, hat es sich bewährt, auch die sich hieraus ergebenen zusätzlichen Risiken zu bewerten. Die Einhaltung dieser geografischen Vorgaben soll auch mit geeigneten Nachverfolgungsmechanismen überwacht werden.

Wie sollte der Zugang zur Cloud ausgestaltet sein?

Zur Vermeidung von Risiken und Störungen sollten die Verantwortlichkeiten hinsichtlich der Verwaltung von Zugangs- und Konfigurationsrechten klar definiert und zwischen den Parteien abgestimmt werden. Dazu ist zum einen die Richtlinie für die Identitäts- und Zugangsverwaltung (Identity and Access Management – „IAM“) auf die in der Cloud gespeicherten Assets auszudehnen.

Darüber hinaus empfiehlt die EZB, Cloud-Anbieter vertraglich zu verpflichten, Anpassungen an die eigenen IT- und IAM-Richtlinien vorzunehmen. Ist die individuelle Verhandlung nicht durchsetzbar (die meisten großen Anbieter wie AWS und Microsoft verwenden Standardvereinbarungen), sollte geprüft werden, ob die Struktur des Anbieters den eigenen Rollen und Verantwortlichkeiten entspricht, um Handlungsbedarfe zu identifizieren.

Im Hinblick auf die Zugangsverwaltung empfiehlt die EZB,

  • Nutzer – insbesondere solche mit privilegierten Zugriffsrechten – stark zu authentifizieren, z. B. durch den Einsatz von Multi-Faktor-Authentifizierungslösungen,
  • die Zugriffsrechte regelmäßig zu überprüfen,
  • sämtliche Zugriffe privilegierter Nutzer in Echtzeit nachzuverfolgen und zu dokumentieren,
  • Business Owner zu benennen,
  • den Zugriff durch geeignete Maßnahmen wie Zweifaktorauthentifizierung und VPN-Verschlüsselung zu sichern,
  • den Zugriff eines Cloud-Anbieters auf Systeme und Daten durch Überwachungstools zu überwachen und diese regelmäßig zu prüfen.

Wie sollten Daten verschlüsselt werden?

Nach DORA sind Unternehmen verpflichtet, Schutzmaßnahmen implementieren, die kryptografische Schlüssel beinhalten. Im Hinblick auf die ordnungsgemäße Verschlüsselung von Daten durch Einsatz kryptografischer Schlüssel wird geraten:

  • detaillierte Strategien und Verfahren für den gesamten Lebenszyklus der Verschlüsselung und für kryptografische Kontrollen vorzusehen,
  • aktuelle Standards zu implementieren und die Aktualität der Verschlüsselungsmechanismen regelmäßig (durch Fachleute) zu überprüfen,
  • Kryptografische Schlüssel anhand von bewährten Verfahren zu kontrollieren, und
  • einzigartige Schlüssel zu verwenden.

Neben der Verschlüsselung weist die EZB ergänzend auf den Einsatz von i) Multi-Cloud Technologien, ii) Netzwerksegmentierungen und iii) vergleichbaren Maßnahmen zum Schutz vor Datenverlust hin.

4. Welche Ausstiegsstrategien empfiehlt die EZB?

Zur Vermeidung von Ausfällen oder Friktionen bei der Beendigung der Auslagerung sieht Art. 28 Abs. 8 DORA die Pflicht zur Erstellung von Ausstiegsstrategien in Bezug auf kritische oder wichtige Funktionen vor.

Übergeordnete Ausstiegstrategie

Die EZB erkennt ein bewährtes Verfahren darin, eine übergeordnete Ausstiegsstrategie festzulegen, welche die einzelnen detaillierten und technischen Ausstiegspläne für einzelne Auslagerungen zusammenführt. Diese Szenarien müssen zu den vertraglichen Vereinbarungen (z. B. Kündigungsrechten) und tatsächlichen Kapazitäten passen und insbesondere ausreichend Zeit für alle erforderlichen Schritte vorsehen. Ein wesentlicher Bestandteil sollte die Fähigkeit des Unternehmens behandeln, die Daten in eigene Systeme oder auf alternative Anbieter zu übertragen. Hierbei rücken Technologien wie virtuelle Maschinen oder Container für die Portierbarkeit ins Zentrum der Aufsicht.

Die Unternehmen sollten sich im Rahmen der Ausstiegspläne damit auseinandersetzen, wie groß die Datenmenge ist und wie komplex die Anwendungen sind, die migriert werden müssten. Außerdem sind darin die (internen wie externen) personellen Ressourcen und deren Fachkenntnisse in den Blick zu nehmen. Die EZB empfiehlt, die wichtigsten Schritte des Migrationsprozesses regelmäßig zu proben, um die Fähigkeiten der betrauten Personen zu testen. Außerdem sollte ein Dritter, der nicht mit der Erstellung der Ausstiegspläne betraut ist, diese auf ihre Durchführbarkeit kontrollieren.

Beispiele für vertragliche Kündigungsrechte

Die EZB legt nahe, die Aufnahme folgender vertraglicher Kündigungsgründe in den Vereinbarungen zu erwägen:

  • fortgesetzt unzureichende Leistung,
  • erhebliche Verstöße gegen Vertragsbedingungen oder gegen geltende Gesetze oder Vorschriften
  • örtliche Verlagerung von Geschäftsbereichen oder Rechenzentren,
  • Fusion oder Verkauf,
  • die Verlagerung des Hauptsitzes des Cloud-Anbieters in einen anderen Rechtsraum,
  • die Verlagerung des Rechenzentrum-Standorts in einen anderen Staat,
  • eine Änderung der nationalen Gesetzgebung, die sich auf die Auslagerungsvereinbarung EZB-Leitfaden zur Auslagerung von Cloud-Diensten an Cloud-Anbieter auswirkt,
  • eine Änderung der für den Datenstandort und die Datenverarbeitung anwendbaren rechtlichen Vorschriften, sofern der Cloud-Anbieter nicht in der Lage oder nicht gewillt ist, die von ihm erbrachten Dienstleistungen mit den geänderten rechtlichen Vorschriften in Einklang zu bringen,
  • erhebliche Änderungen des Cybersicherheitsrisikos des Unterauftragnehmers und
  • dauerhafte Verstöße gegen die vereinbarte Dienstleistungsgüte oder erhebliche Leistungsausfälle.

Vertragliche Vereinbarungen sollten für den Fall der Kündigung einen ausreichend langen Übergangszeitraum vorsehen und sicherstellen, dass die Kündigungsrechte des Cloud-Anbieters auf die eigene Ausstiegsstrategie abgestimmt sind.

Liste alternativer Dienstleister

Soweit die Ausstiegsstrategie die Verlagerung ausgelagerter Dienstleistungen auf einen anderen Anbieter vorsieht, wird empfohlen, dass eine Liste alternativer qualifizierter Dienstleister vorgehalten wird, die regelmäßig überprüft und aktualisiert wird. Bei Verlagerung in den internen Betrieb sind demgegenüber technische Analysen durchzuführen und insbesondere der Zeitaufwand hierfür zu schätzen, wobei auch die eigenen personellen und technischen Ressourcen regelmäßig kritisch zu prüfen sind.

5. Wie sollte das IKT-Drittparteienrisiko überwacht werden?

Die zuverlässige Überwachung des IKT-Risikomanagementrahmens ist nach Ansicht der EZB Voraussetzung für dessen Gelingen. Die EZB verdeutlicht, dass die beaufsichtigten Unternehmen selbst bei weitreichender Auslagerung der Überprüfung der Einhaltung der Anforderungen für das IKT-Risikomanagement als Managed Services uneingeschränkt für die Überprüfung der Einhaltung der IKT-Risikomanagementanforderungen verantwortlich bleiben. Zur gewissenhaften Überprüfung sollte sich ein Unternehmen nicht nur auf die Auskünfte des Auslagerungsunternehmens verlassen. Hierfür ist neben der Verwendung unabhängiger Überwachungstools das Vorhalten geeigneter Fachkräfte entscheidend.

Meldung von Vorfällen

Durch eine umfassende Berichterstattung des Cloud-Dienstleisters soll die effektive Identifikation und Nachverfolgung der betroffenen Dienste ermöglicht werden, damit potenzielle Auswirkungen auf die Geschäftstätigkeiten bewertet werden können. Die einzelnen Schritte der Behandlung eines Vorfalls sind zu dokumentieren. Den Unternehmen ist zu raten, angemessene Vorfalls- und Überwachungsberichte vertraglich zu vereinbaren.

Internes Audit – was ist zu beachten?

Nach Artikel 8 Abs. 3 der Delegierten Verordnung (EU) 2024/1773 reicht es nicht aus, sich ausschließlich auf die Angaben des Cloud-Anbieters und auf Zertifizierungen durch Dritte zu verlassen. Stattdessen muss die interne Revision mit eigenen Ressourcen unter anderem überwachen, ob:

  • die internen Richtlinien ordnungsgemäß angewendet werden,
  • die Risikobewertung sorgfältig durchgeführt wird und
  • das Risikomanagement des Cloud-Anbieters von ausreichender Qualität ist.

In Anlehnung an Art. 30 Abs. 3 lit. e Ziff. i) DORA empfiehlt die EZB, Zugangs-, Inspektions- und Auditrechte für das Unternehmen sowie die zuständigen Behörden vertraglich zu vereinbaren.

Das Audit des Cloud-Anbieters kann zudem ausgelagert werden (vgl. Art. 8 Abs. 2 lit. a der Delegierten Verordnung (EU) 2024/1773) und auch mit anderen beaufsichtigten Unternehmen gemeinsam durchgeführt werden (Pooled Audit). Die EZB empfiehlt in diesem Zusammenhang die Bildung eines gemeinsamen Inspektionsteams, in das jedes beaufsichtigte Unternehmen mindestens einen technischen Experten entsendet. Die Leitung dieser Inspektionsteams soll sich regelmäßig abwechseln, um blinden Flecken bei der Durchführung der Audits vorzubeugen.

Standardvertragsklauseln

Die EZB empfiehlt, als Best practice Regelungen dazu zu vereinbaren:

  • wie Mängeln bei der Erbringung von Dienstleistungen nachgegangen und Abhilfemaßnahmen verlangt werden können,
  • wie Dienstleistungen auf Verschlechterungen überwacht werden können,
  • wie die Kosten für Vor-Ort-Audits berechnet werden.

Eine Version des ursprünglichen Vertrags sollte aufbewahrt werden, genau wie alle Änderungen daran.

Was bedeutet das für Ihr Unternehmen?

Während die BaFin in ihrer Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter noch lediglich einen Ausblick auf DORA aus nationaler Perspektive gegeben hat, geht die EZB nun viel konkreter auf die spezifischen Anforderungen ein. Insofern verschärft der EZB-Leitfaden eine Vielzahl von Aspekten durch Verweise auf DORA, begleitende technische Standards und den Anspruch, ihre bewährten Verfahren als Maßstab für aufsichtliche Kohärenz zu setzen. Wir gehen davon aus, dass die hier aufgeworfenen aufsichtsrechtlichen Erwartungen die BaFin veranlassen dürften, die eigenen Anforderungen anzugleichen.

Die bestehenden und geplanten Cloud-Auslagerungen sollten kritisch überprüft werden. Indem Unternehmen frühzeitig den Empfehlungen der EZB folgen, erhöhen Sie nicht nur ihre digitale Resilienz, sondern antizipieren auch – zu einem späteren Zeitpunkt ohnehin verpflichtend werdende – Anpassungen.

0
0

Niklas Olschewski berät Unternehmen aus den Branchen Zahlungsdienste, Blockchain & DLT sowie Kredit- und Finanzwirtschaft. Er ist in seiner Beratungspraxis vornehmlich auf Bank- & Bankaufsichtsrecht, Geldwäscherecht und Zahlungsdiensteaufsichtsrecht fokussiert.



Indem Sie fortfahren, akzeptieren Sie unsere Datenschutzerklärung.
You May Also Like
FFinTech
Von Outsourcing zu Third Party Arrangements: Die neuen EBA-Leitlinien zum Drittparteienmanagement • Teil 1: Überblick über die wichtigsten Neuerungen
Weiterlesen
  • 4 Minuten

Von Outsourcing zu Third Party Arrangements: Die neuen EBA-Leitlinien zum Drittparteienmanagement 2/2

Die neuen EBA-Leitlinien erweitern das Verständnis von Drittparteienrisiken deutlich. Dieser zweite Teil zeigt, was dies konkret für Banken, Zahlungs- und E-Geldinstitute bedeutet – von neuen organisatorischen Anforderungen bis zur Integration mit DORA. Was sind die größten Herausforderungen und wo ergeben sich Chancen?
Weiterlesen
LLegal
Von Outsourcing zu Third Party Arrangements: Die neuen EBA-Leitlinien zum Drittparteienmanagement • Teil 1: Überblick über die wichtigsten Neuerungen
Weiterlesen
  • 7 Minuten

Von Outsourcing zu Third Party Arrangements: Die neuen EBA-Leitlinien zum Drittparteienmanagement 1/2

Am 8. Juli 2025 hat die European Banking Authority (EBA) ein neues Konsultationspapier zu den EBA-Leitlinien für das Drittparteienmanagement veröffentlicht. Der Entwurf geht deutlich über die bisherigen Outsourcing Guidelines von 2019 hinaus. Ziel ist die Schaffung eines einheitlichen europäischen Rahmens für das Management von Drittparteienrisiken, der insbesondere mit dem Digital Operational Resilience Act (DORA) abgestimmt ist. Der erste Teil der Analyse beleuchtet die wichtigsten Neuerungen und zentralen Inhalte; eine praxisorientierte Bewertung folgt in Teil 2.
Weiterlesen
FFinTech
Neues Buch: Das Recht der digitalen Zahlungsdienstleistungen
Weiterlesen
  • 2 Minuten

PayTechLaw – jetzt als Buch!

Mit dem Titel „PayTechLaw – Das Recht der digitalen Zahlungsdienstleistungen“ ist im Verlag C.H. BECK ein Handbuch erschienen, das sich ganz dem regulatorischen und zivilrechtlichen Rahmen des digitalen Bezahlens widmet. Die Herausgeber: Prof. Dr. Carsten Herresthal, LL.M., sowie die Annerton-Partner Dr. Matthäus Schindele und Frank Müller, LL.M. – allesamt ausgewiesene Expert:innen im Zahlungsdienste- und Aufsichtsrecht. Unterstützt wurden sie von einem hochkarätigen Autorenteam – mit vielen vertrauten Namen aus dem Annerton-Umfeld und darüber hinaus.
Weiterlesen