Kategorie: Outsourcing/ Cloud

Bleiben Sie auf dem Laufenden - der Outsourcing/ Cloud RSS-Feed

BaFin Rundschreiben 11/2021 (BA) Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)

Themenbereich Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Zeitplan & Rechtliche Grundlagen, wesentliche Inhalte 

IT-Compliance FS 

Zeitplan und rechtliche Grundlagen 

Die Bundesanstalt fĂŒr Finanzdienstleistungsaufsicht (BaFin) hat am 16. August 2021 die „Zahlungsdiensteaufsichtliche Anforderungen an die IT“ (ZAIT) in der finalen Fassung veröffentlicht. Das Rundschreiben betrifft alle Zahlungs- und E-Geld-Institute im Sinne von § 1 Absatz 3 Zahlungsmittelgesetz (ZAG). Die ZAIT finden unmittelbar nach Veröffentlichung Anwendung. Die Aufsicht weist in Ihrem Anschreiben darauf hin, dass es einer allgemeinen Übergangsfrist insoweit nicht bedarf, weil die ZAIT bereits bestehende aufsichtsrechtliche Anforderungen ergĂ€nzend interpretieren. Es sollen jedoch die Übergangsfristen aus den EBA-Leitlinien entsprechende Anwendung finden. Damit ist davon auszugehen, dass in Bezug auf die Umsetzung der vertraglichen Anforderungen und die Erstellung des erforderlichen Auslagerungsregisters insoweit der
31. Dezember 2021 maßgebend ist.           

Die inhaltlichen Anforderungen der ZAIT orientieren sich an den IT-Anforderungen fĂŒr Banken (BAIT) und beinhalten insbesondere die EBA Anforderungen aus den EBA Leitlinien fĂŒr IKT und Sicherheitsrisikomanagement (GL/2017/17) sowie die EBA-Leitlinien zu Auslagerungen (GL 2019/02). Durch das separate Rundschreiben fĂŒr Zahlungs- und E-Geld-Institute werden die IT-Anforderungen fĂŒr diese Adressaten dem ZAG entsprechend bei gleichzeitiger BerĂŒcksichtigung des ProportionalitĂ€tsgrundsatzes konkretisiert. 

BaFin MaRisk (RS 10/2021) und BAIT Novelle 2021 (RS 10/2017 Fassung 16.08.2021): Themenbereich Dienstleistermanagement und deren Auswirkungen auf (IT-) Auslagerungen

Zeitplan, wesentliche Änderungen (Neuerungen) und PrĂ€zisierungen

IT-Compliance FS

Zeitplan

Die Bundesanstalt fĂŒr Finanzdienstleistungsaufsicht (BaFin) hat am 16. August 2021 das neue Rundschreiben „Mindestanforderungen an das Risikomanagement“ (MaRisk) veröffentlicht. Die 6. MaRisk Novelle 2021 setzt auch fĂŒr (IT-) Auslagerungen die europĂ€ischen Leitlinien zu Auslagerungen (EBA Guidelines on outsourcing arrangements 2019) sowie zum Management von IKT- und Sicherheitsrisiken (Guidelines on ICT and Security Risk Management 2019) in die nationale deutsche Aufsichtspraxis um. Die Überarbeitung ist in erster Linie auf Änderungen dieser internationalen Regelsetzung zurĂŒckzufĂŒhren. Weil die Inhalte der Mindestanforderungen an die IT (BAIT) auf den Mindestanforderungen an das Risikomanagement aufbauen, wurde die BAIT-Novelle parallel zur 6. MaRisk Novelle entwickelt und gleichzeitig am 16. August veröffentlicht. In der Novelle der BAIT 2021 konkretisiert die Aufsicht ihre Erwartungen an die IT und die Informationssicherheit von Banken. Diese gelten auch in Bezug auf die Anforderungen an Auslagerungen und sonstigen Fremdbezug von IT-Dienstleistungen (Abschnitt 9). Die Änderungen in Bezug auf das Dienstleistermanagement sind hier weitgehend redaktionell.

Cloud in der Finanzindustrie – Jetzt sicher und compliant durchstarten

Die Nutzung von Cloud ist unabdingbar

Die Nutzung von Cloud-Technologie ist im FS-Sektor unabdingbar. Dies zeigt auch die PwC Studie zum Thema „Cloud Computing im Bankensektor“. Das Thema Cloud Computing besaß bereits zum Zeitpunkt der Studie fĂŒr 68 Prozent der Institute eine hohe Branchenrelevanz. Und fĂŒr die nĂ€chsten fĂŒnf Jahre rechnen die IT-Entscheider mit einer deutlich wachsenden Bedeutung.
FĂŒr viele GeschĂ€ftsmodelle und Prozesse, insbesondere im Zusammenhang mit Digitalisierungsinitiativen wird sich der Einsatz von Cloud Computing als integraler Bestandteil und Erfolgsfaktor festigen.

Cloud-Nutzer wissen insbesondere die verbesserte Service-QualitĂ€t, die KomplexitĂ€tsreduktion der eigenen IT-Architektur sowie die VerfĂŒgbarkeit von speziellen Ressourcen zu schĂ€tzen. Institute, welche noch keine Cloud-Lösungen nutzen, versprechen sich insbesondere eine höhere FlexibilitĂ€t durch die Nutzung von neuen Cloud-Services.

EIOPA Konsultation: Richtlinien zu Outsourcing an Cloud-Service-Anbieter

Die EuropĂ€ische Behörde fĂŒr das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) hat zum 31.01.2020 ihre Richtlinien fĂŒr das Outsourcing an Anbieter von Cloud-Diensten unter BerĂŒcksichtigung der RĂŒckmeldung der Konsultationsphase finalisiert. Als Reaktion auf die Kommentare hat die EIOPA das Datum zu dem die Richtlinien verpflichtend anzuwenden sind vom    1. Juli 2020 auf den 1. Januar 2021 verschoben.

Ebenfalls verlĂ€ngert wurde der Zeitraum fĂŒr die ÜberprĂŒfung von bestehenden Vereinbarungen vom 1. Juli 2022 bis zum 31. Dezember 2022. Um innerhalb der Richtlinien das ProportionalitĂ€tsprinzip stĂ€rker zu verankern, wurde der Grundsatz der risikobasierten ÜberprĂŒfung eingefĂŒhrt, demzufolge nur diejenigen Cloud-Dienste, die sich auf kritische und wichtige operative Unternehmensfunktionen oder AktivitĂ€ten beziehen zwingend ĂŒberprĂŒft und ggf. angepasst werden mĂŒssen.

Weitere Informationen zum ursprĂŒnglichen Entwurf finden Sie hier.

EBA Guidelines Outsourcing 2019 (EBA/GL/2019/02)

Zeitplan, Anwendbarkeit, wesentliche Neuerungen und Erfahrungsberichte

 

Zeitplan

Die am 25. Februar 2019 veröffentlichten EBA Leitlinien zu Auslagerungen traten am 30. September 2019 in Kraft. Eine verlĂ€ngerte Umsetzungsfrist bis zum 31.12.2021 besteht grundsĂ€tzlich fĂŒr Anforderungen an das Register und die ÜberprĂŒfung wesentlicher AuslagerungsvertrĂ€ge.

Die EBA Leitlinien zu Auslagerungen tragen den EU-rechtlichen Vorgaben, insbesondere PSD 2 (2015/2366/EU), MiFID II (2017/565) und der CRD (2013/36/EU) Rechnung. Einhergehend mit dem rasanten Anstieg an (IT-) Auslagerungen sowie (IT-) LeistungsbezĂŒgen waren sie der Haupttreiber fĂŒr die Ablösung der bisherigen CEBS Guidelines 2006. Sie erweitern den Anwendungsbereich und legen einheitlich fĂŒr Institute, Zahlungsinstitute und E-Geld-Institute interne Governance Anforderungen fĂŒr Auslagerungen fest, insbesondere mit Blick auf Auslagerungen kritischer oder wesentlicher Funktionen. Die EBA Leitlinien integrieren die Anforderungen an Cloud Dienste und ersetzen damit auch die EBA Recommendations on outsourcing to cloud service provider 2017 (EBA/REC/2017/03).