In einer Zeit, in der die Digitalisierung den Finanzsektor grundlegend transformiert, spielen Cloud First-Strategien eine immer größere Rolle. Die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) hat im Mai 2021 Leitlinien veröffentlicht, die die Anwendung von Cloud-Diensten im Finanzsektor regeln. Insbesondere die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat wendet diese Leitlinien an und schafft damit einen klaren Rahmen für Unternehmen im Bereich der Auslagerung an Cloud-Anbieter. Dieser Beitrag betrachtet die Hintergründe sowie die wesentlichsten Kriterien, die Unternehmen beachten sollten.

Hintergrund: ESMA-Leitlinien und BaFin-Ankündigung

Die BaFin kündigte am 29. Juni 2021 an, die ESMA-Leitlinien zur Auslagerung an Cloud-Anbieter anzuwenden. Diese Leitlinien wurden im Mai 2021 veröffentlicht und gelten seit dem 31. Juli 2021. Die BaFin setzt damit klare Signale für die Ausrichtung der eigenen Verwaltungspraxis im Finanzsektor.

Die Leitlinien der ESMA bieten Orientierung für nationale Aufsichtsbehörden und verschiedene Marktteilnehmer im Finanzsektor, darunter Verwalter alternativer Investmentfonds (AIFM), Wertpapierfirmen, Kreditinstitute und mehr. Diese sind dazu aufgerufen, die Leitlinien bei der Nutzung von Cloud-Diensten zu beachten und umzusetzen.

Anwendungsbereich der ESMA-Leitlinien

Die ESMA-Leitlinien richten sich an eine breite Palette von Marktteilnehmern im Finanzsektor. Dazu gehören Verwalter alternativer Investmentfonds, Organisationen für gemeinsame Anlagen in Wertpapieren, Zentralverwahrer, Ratingagenturen und weitere. Die Leitlinien bieten eine klare Struktur, die sicherstellen soll, dass die Auslagerung an Cloud-Anbieter den höchsten Sicherheits- und Compliance-Standards entspricht.

Wesentliche Kriterien gemäß ESMA-Leitlinien

1. Governance, Kontrolle und Dokumentation:

Eine klare Governance-Struktur ist entscheidend, um die Kontrolle über ausgelagerte Funktionen zu gewährleisten. Die ESMA-Leitlinien legen Wert auf eine definierte Verantwortlichkeitsstruktur und detaillierte Dokumentation, um Transparenz und Nachvollziehbarkeit sicherzustellen.

2. Risikoanalyse der Auslagerung und Due-Diligence-Prüfung:

Vor Abschluss einer Auslagerungsvereinbarung müssen Unternehmen eine gründliche Risikoanalyse durchführen. Dies betrifft besonders Vereinbarungen mit einem Cloud-Anbieter, die als kritisch oder wesentlich eingestuft werden. Eine sorgfältige Due-Diligence-Prüfung des Cloud-Anbieters, einschließlich der Identifikation möglicher Interessenkonflikte, ist unerlässlich.

3. Zentrale Bestandteile des Vertrags:

Die Auslagerungsvereinbarung muss klare Bestandteile umfassen, einschließlich der Rechte und Pflichten beider Vertragsparteien. Ein solider Vertrag bildet die Grundlage für eine sichere und effektive Zusammenarbeit mit dem Cloud-Anbieter.

Erweiterung durch BaFin-Ankündigung: ESMA-Leitlinien in der Praxis

Die Ankündigung der BaFin, die ESMA-Leitlinien anzuwenden, spiegelt sich in der Verwaltungspraxis wider. Diese Leitlinien orientieren sich stark an bestehenden Mindestanforderungen an das Risikomanagement (MaRisk) und den bankaufsichtlichen Anforderungen an die IT (BAIT). Die ESMA-Leitlinien erweitern jedoch diese Standards um spezifische Regelungen, die auf Cloud-Anbieter zugeschnitten sind.

Handlungsbedarf für Unternehmen

Angesichts der Ankündigung der BaFin sollten Unternehmen im Finanzsektor handeln. Hier sind einige Schritte, die unternommen werden sollten:

Prüfung der Anwendbarkeit:

Unternehmen sollten prüfen, ob die ESMA-Leitlinien auf sie anwendbar sind.

Überprüfung bestehender Regelungen:

Interne Regelungen, Strategien und Auslagerungsvereinbarungen sollten auf Anpassungsbedarf überprüft werden.

iAP – Ihr Experte für sichere Cloud-Nutzung im Finanzsektor

Als erfahrener Berater im Finanzsektor unterstützt iAP Banken im Bereich Identity and Access Management (IAM) sowie im Bereich Internes Kontrollsystem (IKS) unter Einhaltung aller regulatorischen Anforderungen (BaFin, ESMA, EZB, EBA). Unsere Expertise ermöglicht es Unternehmen, nicht nur die ESMA-Leitlinien umzusetzen, sondern auch die Sicherheit und Compliance in der Cloud-Nutzung zu optimieren.

Fazit: Cloud-First mit Sicherheit und Compliance

Die ESMA-Leitlinien bieten einen klaren Rahmen für Unternehmen im Finanzsektor, die auf Cloud-First-Strategien setzen. Durch die Betrachtung der wesentlichsten Kriterien, die Leitlinien der BaFin und die Expertise von iAP wird deutlich, dass Sicherheit und Compliance im Fokus stehen. Unternehmen, die proaktiv handeln, können nicht nur regulatorischen Standards gerecht werden, sondern gestalten auch eine sichere und zukunftsfähige Cloud-Nutzung.

Foto: istockphoto/mixdabass

Wenn Sie eine IT-Audit-Checkliste erstellen, erstellen Sie ein System zur Bewertung der Nachhaltigkeit der Informationstechnologie-Infrastruktur Ihres Unternehmens. Sie prüfen ihre IT-Richtlinien, -Verfahren und betrieblichen Abläufe. Es ist wichtig zu verstehen, wo Sie sich gerade befinden, wo Ihre Stärken liegen und welche Schwächen Sie haben, denn dies dient der Ermittlung der Wachstumschancen des Unternehmens. Ein IT-Audit kann dabei helfen, potenzielle Sicherheitsrisiken zu identifizieren und ihre Software und Hardware neu zu bewerten.

Unternehmen sind dafür verantwortlich, ihre informationstechnischen Verfahren regelmäßig zu überprüfen. Dieser Prozess trägt zum Schutz der Kunden, Lieferanten, Aktionäre und Mitarbeiter bei. Mit einer vorhandenen IT-Audit-Checkliste können Unternehmen vierteljährlich oder jährlich eine umfassende Risikobewertung durchführen. Diese Bewertung kann verwendet werden, um einen jährlichen Prüfungsplan zu erstellen, der alle wesentlichen Bereiche eines Unternehmens über einen gewissen Zeitraum abdeckt. Dabei sollten auch strategische, in die Zukunft gerichtete Aspekte mit berücksichtigt werden.

Die Checkliste für die IT-Bewertung kann von Netzwerkfehlern bis hin zu unzureichenden Datenflüssen, Protokollierung ungenauer Informationen, die möglicherweise die Daten des Unternehmens gefährden könnten, enthalten. Ein weiterer Vorteil einer IT-Audit-Checkliste besteht darin, dass sie eine Richtlinie für Ihre Mitarbeiter darstellt. Wenn Mitarbeiter verstehen, was zum Schutz von Daten erforderlich ist und auf welche Bereiche sie sich konzentrieren müssen, können sie potenzielle Risiken oder Schwächen proaktiv identifizieren. Sobald sie identifiziert sind, ist es einfacher, einen Plan zu erstellen, um etwaige prozessuale Fehler zu beheben. Des Weiteren besteht die Möglichkeit Mitarbeiter mit einer internen IT Audit Checkliste auf interne oder externe Audits vorzubereiten. Somit wird Transparenz geschafft und Weichen für eine reibungslosen Ablaufs einer Auditierung werden gestellt.

Wenn Sie bereits über eine IT-Audit-Checkliste verfügen, fragen Sie sich möglicherweise, ob diese noch wirksam ist. Die heutige Technologie entwickelt sich jedoch rasant weiter, dabei müssen ältere Prüfungsverfahren aktualisiert werden. Um dem gerecht zu werden, muss entschieden werden, welche Prioritäten im IT-Management gesetzt werden. Eine IT-Audit Checkliste kann als Leitfaden dienen. Dabei werden auf Basis vergangener Audits Aktualisierungen in der Checkliste vorgenommen, welche das Potential haben, neue Schwachstellen oder neue Problembereiche zu identifizieren.

Wenn Ihr Unternehmen beispielsweise expandiert, erwägen Sie möglicherweise den Kauf zusätzlicher Hardware und gewähren neuen Mitarbeitern Zugriff auf vertrauliche Informationen. Diese Art der Erweiterung erfordert einen genauen Blick auf Ihre IT-Abläufe und -Prozesse. Prozessbegleitend aktualisieren Sie ihre IT-Audit-Checkliste aktualisieren, um sicherzustellen, dass Sie Ihre neuen und aktualisierten Verfahren und Prozesse nicht aus den Augen verlieren.

Viele Unternehmen wachsen so schnell, dass sie mit der Dokumentation der IT-Prozesse und -verfahren nicht mehr hinterherkommen und die Gefahr besteht, dass Abläufe unterschiedlich gehandhabt werden und sich darin Risiken verstecken Für Ihre Unternehmensinterne IT-Audit-Checklisten bedeutet das, dass möglicherweise nicht die IT-Realität des Unternehmens widerspiegelt wird.

Ein Teil der Aktualisierung Ihrer IT-Audit-Checkliste besteht darin, die aktuellen Risiken für Ihr Unternehmen zu identifizieren, Prozesse und Verfahren zu erstellen, um diese zu beheben, und dann alle diese Informationen in die IT-Audit-Checkliste aufzunehmen. Möglicherweise ist sich das Management nicht sicher, welchen neuen Risiken das Unternehmen ausgesetzt ist. Um unerkannte Risiken zu minimieren kann mit Hilfe von Fachexperten aus dem IT-Umfeld oder IT-Auditoren entgegengewirkt werden, um die aktuelle technologische Situation zu bewerten und die potenziellen Risiken zu ermitteln. Weil einige Risiken branchenunabhängig sind, haben viele Unternehmen auch ähnliche gelagerte Risiken.

Beispiele branchenunabhängiger IT-Risiken:

Markenschutz, Compliance Verstöße, Vertraulichkeitsverletzungen
Informationssicherheitslücken
Datenverlust aufgrund steigender Anzahl mobiler Geräte
Daten-Diebstahl, Produktivitätsverlust, Hardwareschäden und Kosten aufgrund zunehmender Malware-Epidemien
Datenmanagement Systeme (DMS) und Cloud Computing
Datenverlust und Compliance-Verstöße verursacht durch elektronische Archivierung

Es gibt also mehrere gute Gründe eine IT-Audit-Checkliste auf dem neuesten Stand zu halten und IT-Prozesse und Verfahrensdokumentationen konsequent zu überprüfen und zu verbessern.

Eine sich ständig ändernde IT-Technologie kann aus verschiedenen Gründen gefährdet sein. Hinzu kommt, dass sich Hacker und Cybersicherheitsbedrohungen ständig weiterentwickeln. Wenn Sie eine IT-Audit-Checkliste erstellen, setzen Sie sich proaktiv mit der Realität der heutigen IT-Welt auseinander und leisten Ihren Beitrag zum Schutz Ihres Unternehmens. Die Checkliste verdeutlicht die zu überprüfenden Bereiche, in denen Dokumente der Prozesse und Verfahren fehlen oder in denen sie möglicherweise überhaupt nicht vorhanden sind. Das Wachstum Ihres Unternehmens kann zu zusätzlichen IT-Risiken führen, die Sie in der Vergangenheit möglicherweise nicht hatten. Mithilfe Ihrer Checkliste können Sie potenzielle Probleme identifizieren und den Schutz einrichten, bevor ein Problem tatsächlich auftritt. Zu viele Unternehmen haben keine regelmäßige konsistente Überprüfung, was bedeutet, dass sie sich potenziellen Risiken in Hinblick auf die Cybersicherheit aussetzen.

Leider verfügt nicht jedes Unternehmen über eine IT-Abteilung. Dies bedeutet, dass externe Unterstützung erforderlich ist, um eine IT-Audit-Checkliste effektiv zu erstellen. Im Grunde genommen wird eine interne Revision durch externe Mitarbeiter gestellt. Auch Start-Ups stehen oftmals nach geraumer Zeit vor dem Problem, die Prozesse und Abläufe dahingehend zu schärfen, dass die Compliance eingehalten wird.

Wir von Independent Consulting + Audit Professionals GmbH haben die Expertise Ihr Unternehmen revisionssicher zu gestalten. Wir helfen Ihnen dabei Ihre IT Audit-Checkliste zu erstellen, ihre Mitarbeiter auf die IT-Prüfungen vorzubereiten, damit diese effektiv und effizient durchgeführt werden können. Wir helfen Ihnen IT-Risiken zu identifizieren und zu bewerten, um sie dann auch proaktiv anzugehen, bevor Hacker und Cybersicherheitsbedrohungen Ihr Unternehmen schädigen.

Schlagwortarchiv für: Cloud Computing