EZB veröffentlicht Konsultationspapier zu Cloud-Auslagerungen
Die Europäische Zentralbank (EZB) hat am 03.06.2024 einen neuen Leitfaden zur Konsultation gestellt, der die Anforderungen für Banken bei der Auslagerung von IT-Diensten an Cloud-Service-Provider (CSP) festlegt. Der neue Leitfaden soll das Verständnis der EZB für die entsprechenden rechtlichen Anforderungen aus der DORA verdeutlichen und die gestiegenen aufsichtsrechtlichen Erwartungen an Cloud-Auslagerungen verdeutlichen.
Hintergrund und Zielsetzung
Die EZB hat erkannt, dass Cloud-Dienste für Finanzinstitute zunehmend an Bedeutung gewinnen, da sie Flexibilität, Skalierbarkeit und Kosteneffizienz bieten. Gleichzeitig bergen sie jedoch auch besondere Risiken, vor allem im Hinblick auf die IT-Sicherheit, die Einhaltung von Datenschutzbestimmungen und die operationelle Resilienz. Der neue Leitfaden zielt darauf ab, diese Risiken zu adressieren und einheitliche Standards für das Outsourcing an CSPs festzulegen.
Der neue Leitfaden der EZB gilt für Banken, die direkt von der EZB beaufsichtigt werden, ist aber auch für CSPs und andere Finanzunternehmen, die der DORA unterliegen, relevant.
Die EZB erklärt, dass ihr Leitfaden in Verbindung mit dem neuen DORA-Regelwerk und den bereits bestehenden Leitlinien zu Auslagerungsvereinbarungen zu lesen ist, wobei DORA im Zweifel Vorrang hat. Des Weiteren soll Leitfaden keine rechtsverbindlichen Anforderungen festlegen und „nicht als Einführung neuer Regeln oder Anforderungen ausgelegt werden“. Der Leitfaden ist also eher als Interpretationshilfe im Hinblick auf die aufsichtsseitigen Erwartungen zu den (bald) bestehenden gesetzlichen Anforderungen zu verstehen.
Wesentliche Inhalte des Konsultationspapiers
Der neue Leitfaden enthält eine Reihe von Bezügen zu bewährten Praktiken für den gesamten Lebenszyklus des Cloud-Outsourcings, einschließlich der Phase vor dem Outsourcing („pre-outsourcing analysis“), der Aufsicht und Überwachung während der Laufzeit der Vereinbarung, der Vorkehrungen für die Geschäftskontinuität sowie Ausstiegsstrategien und Vertragsbeendigung. Die EZB erwartet von den beaufsichtigten Instituten, die IKT-Dienstleistungen in die Cloud auslagern, dass sie beim Risikomanagement, bei den Prozessen und bei den Kontrollen mindestens das gleiche Maß an Sorgfalt walten lassen wie diejenigen, die IKT-Dienstleistungen in-house in Anspruch nehmen.
In dem Leitfaden finden sich durchaus konkrete Überlegungen und Empfehlungen, die im Rahmen der aktuell laufenden DORA-Umsetzungsprojekte hilfreich sein können (z.B. einen sehr nützlichen Verweis auf die Liste der EU-Kommission zu Drittländern, in denen ein angemessenes Datenschutzniveau herrscht, und die zur Heranziehung der Risikobewertung für die Auslagerung von Cloud-Diensten in Drittländer genutzt werden kann). Aus dem EZB-Leitfaden ist auch deutlich zu entnehmen, dass die IT-Auslagerungen in die Cloud eine eigenständige Kategorie unter den IT-Assets der Unternehmen sein sollen und eine besondere Risikobewertung benötigen. In die IT-Outsourcing-Strategie ist eine spezielle Strategie für Cloud-Auslagerungen zu integrieren, die selbstverständlich mit der Strategie zum IKT-Drittparteienmanagement nach DORA konsistent sein muss. Generell sollen Cloud-Dienste an allen Stellen der IT-Governance gesondert behandelt werden, da die Auslagerungen und Prozesse in der Cloud mit höheren und zusätzlichen Risiken verbunden sind.
Großen Wert legt die EZB in ihrem Leitfaden auf die Themen IKT-Sicherheit, Datenvertraulichkeit und -integrität. So werden z.B. höchste Verschlüsselungsstandards nicht nur bei der Speicherung von Daten in der Cloud, sondern auch auf dem Transportweg und bei Nutzung der Daten in der Cloud verlangt. Einen weiteren Schwerpunkt legt die EZB in ihrem Leitfaden auf die Sicherstellung der Geschäftskontinuität – zum Beispiel darf ein abrupter Ausfall der in die Cloud ausgelagerten Dienste, insbesondere bei Cloud-Auslagerungen von kritischen/wichtigen IKT-Funktionen, nicht zu einer Beeinträchtigung der Geschäftstätigkeit führen, die über die maximal tolerierbare Ausfallzeit oder den maximal tolerierbaren Datenverlust hinausgehen.
In Bezug auf die Vertragsgestaltung mit CSPs ergibt sich aus dem neuen EZB-Leitfaden nur wenig Neues, aber immerhin macht die EZB deutlich, dass CSPs verpflichtet werden sollen, eine separate digitale oder physische Kopie zu unterzeichnen, wenn ein Vertragsschluss nur online stattgefunden hat. Dies soll das Risiko einseitiger Änderungen vermeiden.
Die Innenrevision eines Instituts soll nach Vorstellung der EZB sicherstellen, dass die Risikobewertungen nicht ausschließlich auf Zeugnissen und Bescheinigungen des CSP beruhen, ohne dass unabhängige Bewertungen vorgenommen werden. Die EZB hält es für eine gute Praxis, dass Institute bei der Prüfung eines CSP zusammenarbeiten und ein gemeinsames Inspektionsteam zusammenstellen, dem mindestens ein technischer Experte aus jedem Institut angehört, vorausgesetzt, dass die Institute die Möglichkeit haben, auf bilateraler Basis individuell bei dem CSP in Bezug auf für sie relevante Fragen nachzufragen.
Die Konsultation zu dem neuen EZB-Leitfaden endet am 15. Juli 2024. Es kann davon ausgegangen werden, dass die EZB die eingegangenen Kommentare zusammen mit einer Feedback-Erklärung und dem endgültigen Leitfaden noch veröffentlicht, bevor die DORA am 17. Januar 2015 in Kraft tritt.
Fazit:
Wie schon mit den EBA-Leitlinien für das Outsourcing und mit DORA verkennt die Aufsicht auch in ihrem neuen Leitfaden, dass selbst große Finanzinstitute oft nur über begrenzte Verhandlungsmöglichkeiten gegenüber den marktbeherrschenden CSPs verfügen. Dies spiegelt ein nur theoretisches Verständnis der Struktur von CSPs wider und schränkt die Möglichkeiten der Unternehmen ein, Teile der Leitlinien zu erfüllen, die von ihnen eine stärkere Beteiligung an den Strategien und Verfahren der CSPs verlangen. Zum Beispiel ist der Vorschlag der EZB, dass Institute sicherstellen sollten, dass ihre CSPs “gleichwertige” Risikomanagementpraktiken, -prozesse und -kontrollen eingeführt haben, nicht praktikabel und berücksichtigt nicht die “one-to-many”-Natur von CSPs. CSPs können nicht über gleichwertige Risikomaßnahmen für jedes einzelne Finanzinstitut verfügen, für das sie Dienstleistungen erbringen.
Mit der Einführung von DORA wurde avisiert, dass die Fragmentierung der bisherigen Aufsichtspraxis verringert und die Regeln für die betriebliche operative Resilienz harmonisiert werden. Durch die Herausgabe des neuen Leitfadens hat die EZB allerdings eher zusätzliche Unsicherheiten geschaffen. Denn während viele Unternehmen mitten in ihren DORA-Umsetzungsprozessen stecken, müssen nun noch weitere Überlegungen und Evaluierungen zu den Cloud-Auslagerungen der Unternehmen getroffen werden. Darüber hinaus fügt sich der EZB-Leitfaden in eine bereits überfüllte Regulierungslandschaft ein, zu der auch die EBA-Leitlinien für Outsourcing von 2019 und die ESMA-Leitlinien für Cloud-Outsourcing von 2020 gehören. Anstelle von Harmonisierung und aufsichtsrechtlicher Konsistenz müssen sich die Unternehmen jetzt mit sich überschneidenden und in einigen Fällen widersprüchlichen regulatorischen Erwartungen auseinandersetzen.
Insbesondere vor dem Hintergrund, dass Auslagerungen in die Cloud voraussichtlich das „new normal“ werden, bleibt zu hoffen, dass die EZB bei der finalen Fassung der Leitlinien noch ein wenig mehr die Umsetzbarkeit ihrer Anforderungen achtet und nicht über die Anforderungen hinausgeht, die die DORA selbst an die Unternehmen stellt. Schließlich soll der Leitfaden nach den eigenen Äußerungen der EZB nur als Interpretationshilfe der DORA dienen und keine neuen bzw. höheren regulatorischen Anforderungen stellen.