ESMA konsultiert Richtlinien zum Cloud-Outsourcing

Die Europäische Wertpapier- und Marktaufsichtsbehörde (European Securities and Market Authority, ESMA) hat am 3. Juni 2020 ein Konsultationspapier zu Leitlinien für die Auslagerung von Funktionen auf Cloud-Dienste veröffentlicht. Zuständige Aufsichtsbehörden sowie Marktteilnehmer, die von Dritten bereitgestellte Cloud-Dienste nutzen, haben die Möglichkeit bis zum 1. September 2020 an der Konsultation teilzunehmen. Anschließend plant ESMA den finalen Entwurf bis zum ersten Quartal 2021 zu veröffentlichen.

Der Leitlinienentwurf definiert konkrete Outsourcing-Anforderungen bei der Auslagerung von Cloud-Diensten. Insbesondere sollen Unternehmen und Behörden dabei unterstützt werden, Risiken und Herausforderungen, die durch Auslagerung entstehen, zu identifizieren und zu bewerten sowie systematisch zu überwachen. Die Konsultation steht im Einklang mit den Leitlinien zur Auslagerung an Cloud-Service-Provider, die von der EIOPA im Februar 2020 veröffentlicht wurden.

Folgende Themenschwerpunkte werden konkretisiert:

  • Die Führungs-, Dokumentations-, Aufsichts- und Überwachungsmechanismen, über die Unternehmen verfügen sollten. Dazu zählen insbesondere Informations- und Kommunikationsstrategien, Strategien für das operative Risikomanagement sowie weitere interne Richtlinien und Prozesse.
  • Bewertung und Due Diligence, die vor der Auslagerung durchgeführt werden sollten
  • Vorvertragliche Anforderungen und Informationssicherheit
  • Mindestelemente von Outsourcing und Sub-Outsourcing Verträgen
  • Exit-Strategien sowie Zugangs- und Prüfungsrechte
  • Meldung an die zuständigen Aufsichtsbehörden
  • Überwachung von Cloud-Outsourcing Vereinbarungen

Steven Maijoor, Vorsitzender der ESMA, betont in dem Zusammenhang, dass Cloud-Outsourcing viele Vorteile mit sich bringt. Zum Bespiel eine verbesserte betriebliche Effizienz, Kostenreduktion und Flexibilität. Trotzdem müssen etwaige Risiken in Bezug auf Daten- und Informationssicherheit angemessen bewertet werden. Daher sollten Unternehmen geeignete Maßnahmen implementieren, um ihren Cloud-Service-Provider überwachen zu können.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */