Digital Trust Blog

EIOPA Konsultation: Richtlinien zu Outsourcing an Cloud-Service-Anbieter

Die Europäische Behörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) hat zum 31.01.2020 ihre Richtlinien für das Outsourcing an Anbieter von Cloud-Diensten unter Berücksichtigung der Rückmeldung der Konsultationsphase finalisiert. Als Reaktion auf die Kommentare hat die EIOPA das Datum zu dem die Richtlinien verpflichtend anzuwenden sind vom    1. Juli 2020 auf den 1. Januar 2021 verschoben.

Ebenfalls verlängert wurde der Zeitraum für die Überprüfung von bestehenden Vereinbarungen vom 1. Juli 2022 bis zum 31. Dezember 2022. Um innerhalb der Richtlinien das Proportionalitätsprinzip stärker zu verankern, wurde der Grundsatz der risikobasierten Überprüfung eingeführt, demzufolge nur diejenigen Cloud-Dienste, die sich auf kritische und wichtige operative Unternehmensfunktionen oder Aktivitäten beziehen zwingend überprüft und ggf. angepasst werden müssen.

Weitere Informationen zum ursprünglichen Entwurf finden Sie hier.

EBA Guidelines Outsourcing 2019 (EBA/GL/2019/02)

Zeitplan, Anwendbarkeit, wesentliche Neuerungen und Erfahrungsberichte

 

Zeitplan

Die am 25. Februar 2019 veröffentlichten EBA Leitlinien zu Auslagerungen traten am 30. September 2019 in Kraft. Eine verlängerte Umsetzungsfrist bis zum 31.12.2021 besteht grundsätzlich für Anforderungen an das Register und die Überprüfung wesentlicher Auslagerungsverträge.

Die EBA Leitlinien zu Auslagerungen tragen den EU-rechtlichen Vorgaben, insbesondere PSD 2 (2015/2366/EU), MiFID II (2017/565) und der CRD (2013/36/EU) Rechnung. Einhergehend mit dem rasanten Anstieg an (IT-) Auslagerungen sowie (IT-) Leistungsbezügen waren sie der Haupttreiber für die Ablösung der bisherigen CEBS Guidelines 2006. Sie erweitern den Anwendungsbereich und legen einheitlich für Institute, Zahlungsinstitute und E-Geld-Institute interne Governance Anforderungen für Auslagerungen fest, insbesondere mit Blick auf Auslagerungen kritischer oder wesentlicher Funktionen. Die EBA Leitlinien integrieren die Anforderungen an Cloud Dienste und ersetzen damit auch die EBA Recommendations on outsourcing to cloud service provider 2017 (EBA/REC/2017/03).

Die PSD II Richtlinie und ihre Anforderungen

Mit der Verabschiedung der zweiten Zahlungsdiensterichtlinie (PSD II) ist eine Art „Grundgesetz“ für den EU-Zahlungsverkehrsmarkt in Kraft getreten. Ergänzt um diverse delegierte Rechtsverordnungen durch 2nd-Level (RTS/ITS) und 3rd-Level Dokumente (Guidelines) sind vielfältige Anforderungen definiert worden. Die neuen Anforderungen erweitern u.a. den Zahlungsdienstebegriff sowie den Anwendungsbereich und haben Auswirkungen auf bestehende Prozesse, wie die Vorfallüberwachung, -meldung oder operative Sicherheitsmaßnahmen. Die Anforderungen bedingen ebenso die Gestaltung neuer Prozesse, wie die Nutzung starker Kundenauthentifizierung bei bestimmten Transaktionen oder die Bereitstellung des Kontozugangs für Dritte nach Kundeneinwilligung.

Digitalisierung von Geschäftsprozessen im Finanzsektor

Warum Digitalisierung von Geschäftsprozessen?

Im Finanzsektor wird die Digitalisierung als große Chance wahrgenommen, um Prozesse und Systeme fit für die Zukunft zu gestalten. Insbesondere die Geschäftsprozesse von Finanzdienstleistern stehen im Fokus, da diese meist auf gewachsenen Strukturen und selbstentwickelten Kernbankensystemen basieren. Häufig können diese durch die Einführung und Nutzung neuer Technologien effizienter gestaltet werden. Darüber hinaus fördert der Einsatz von digitalen Technologien die Transparenz und Flexibilität und ermöglicht es, flexibler auf Kunden- und Marktanforderungen zu reagieren.

Anhand von drei Beispielen zeigen wir welches Digitalisierungs- und Optimierungspotential bei Finanzdienstleistern in der Regel besteht. Anschließend stellen wir unseren erprobten Ansatz vor, mit dem Digitalisierungs- sowie Optimierungspotenziale identifiziert und umgesetzt werden können.

/* */