Am 17. Januar tritt die DORA (Digital Operational Resilience Act) -Verordnung in Kraft und verpflichtet Banken unter anderem auch zur effektiven Steuerung von Auslagerungsrisiken im Rahmen des Managements von Drittparteienrisiken, besonders das Cloud-Outsourcing.
Vor dem Hintergrund muss auch die Anpassung nachgelagerter Cloud-Rechtsakte erfolgen. Der EZB-Leitfaden will daher die rechtlichen Anforderungen und Erwartungen der EZB an beaufsichtigte Banken klären. Dabei steht das Management von Drittparteien als eine zentrale Aufsichtspriorität im Mittelpunkt der EZB.
Wesentliche Inhalte betreffen die folgenden Schwerpunkte:
Die Finanzinstitute müssen regelmäßige Risikoanalysen, insbesondere hinsichtlich Konzentrationsrisiken und Abhängigkeiten von einzelnen Dienstleistern vornehmen. Dazu gehören die Bewertung der Abhängigkeit von spezifischen Anbietern, geografischen Standorten und Funktionalitäten und die Schwierigkeiten beim Wechsel des Dienstleisters.
- Geschäftsfortführung und Notfallwiederherstellung
Es werden regelmäßige Tests der Notfallwiederherstellungspläne der Cloud Service Provider (CSP) verlangt inklusive unangekündigter Spot-Checks. Es sind Mitarbeiterschulungen des Personals vorgesehen, das in Notfallwiederherstellungsverfahren involviert ist. Identifizierte Mängel müssen dokumentiert und analysiert werden, um daraus einen Sanierungsplan zu entwickeln.
- IT-Sicherheit und Datenintegrität
Es werden hohe Verschlüsselungsstandards für Daten bei der Übertragung („in transit“), Speicherung („at rest“) und wenn möglich auch bei der Verwendung („in use“) gesetzt. Die Speicherung und Verarbeitung von Daten soll unter Berücksichtigung rechtlicher und politischer Risiken in akzeptablen Ländern erfolgen.
Es sollen Standardvertragsklauseln für Cloud-Computing-Dienstleistungen genutzt werden, die von Behörden entwickelt werden (wo vorhanden und wenn möglich): Vertragliche Bestimmungen zur Überwachung und Verbesserung der Dienstleistungsqualität werden verlangt. Aus den Verträgen solle klare und transparente Darstellungen der Kosten für Vor-Ort-Audits hervorgehen.
- Compliance und Regulierung
Regelmäßig ist die Einhaltung von regulatorischen Anforderungen und internen Sicherheitsrichtlinien zu überprüfen, alle relevanten Prozesse und Sicherheitsmaßnahmen sind zu dokumentieren. Eine enge Zusammenarbeit mit den zuständigen nationalen und europäischen Aufsichtsbehörden wir erwartet.
Wir haben uns in die Konsultation direkt und auch über die Deutsche Kreditwirtschaft, die European Banking Federation und die European Association of Public Banks mit folgenden Petita eingebracht:
Harmonisierter Ansatz: Der EZB-Leitfaden sollte klar auf DORA abgestimmt sein und keine zusätzlichen Anforderungen einführen, die in der Verordnung nicht enthalten sind. Konsistenz und Kohärenz zwischen DORA und dem EZB-Leitfaden sind notwendig, um eine reibungslose Umsetzung und eine verbesserte digitale Resilienz sicherzustellen.
Umsetzbarkeit: Die Umsetzung verschiedener Anforderungen, wie z.B. der Analyse und Tests vor der Auslagerung oder die Vertragsanpassungen, ist im Entwurf herausfordernd, da die Einhaltung von der Bereitschaft der Anbieter abhängt, die relevanten Daten bereitzustellen. Hier wäre die Nutzung der von DORA bereitgestellten Aufsicht über IKT-Drittanbieter hilfreich.
Risikobasierter Ansatz, Proportionalität: Die DORA und die ergänzenden Standards der ESAs stellen umfangreiche und strenge Anforderungen an alle Finanzunternehmen. Es ist wichtig, dass der EZB-Leitfaden eine risikoorientierte Umsetzung und die Geltung der Verhältnismäßigkeit klar betont.
Verfügbarkeit und Resilienz von Cloud-Leistungen: Die EZB empfiehlt, für die Datensicherung nicht denselben Cloud-Anbieter zu nutzen und fordert Sicherungs- und Wiederherstellungsverfahren. Ein risikobasierter Ansatz sollte holistisch alle relevanten Aspekte berücksichtigen, zudem es auch andere Sicherheitsmaßnahmen jenseits der Einschaltung eines weiteren Cloud-Anbieters gibt.
Rückführung von Daten „on premise“: Gemäß DORA identifizieren Finanzinstitute bereits alternative Lösungen und entwickeln Übergangspläne. Eine Klausel, die die Rückführung von Daten „on premise“ vorschreibt, würde die Vorteile der Cloud in Frage stellen und finanziell nicht tragbar machen.
Exit-Strategie: Die EZB-Leitlinie beschreibt Veränderungen, die zu einem Kündigungsgrund führen könnten, wie der Umzug eines Datenzentrums oder veränderte nationale gesetzliche Regelungen. Vielmehr sollte mit solchen Klauseln dem CSP die Möglichkeit geben, den Vertrag ordnungsgemäß zu erfüllen.
Bei allen Banken laufen die Vorbereitungen für die DORA-Umsetzung auf Hochtouren – die zeitlichen Vorgaben sind kaum zu schaffen. Vor dem Hintergrund wünschen wir uns für unsere Mitgliedsinstitute klare Vorgaben, damit DORA effizient und wirkungsvoll seine Ziele erreichen kann.