Die Europäische Wertpapier- und Marktaufsichtsbehörde hat Leitlinien zur Auslagerung an Cloud Service Anbieter veröffentlicht, die ab 31. Juli 2021 angewendet werden sollen. Zweck der Leitlinien ist es, Unternehmen dabei zu helfen, die Risiken, die sich aus ihren Cloud-Outsourcing-Vereinbarungen ergeben können, zu identifizieren, anzugehen und zu überwachen, und einen konvergenten Ansatz bei der Beaufsichtigung von Cloud-Outsourcing-Vereinbarungen durch die zuständigen Behörden in der EU zu unterstützen.
Die Leitlinien gelten ab dem 31. Juli 2021 für alle Cloud-Outsourcing-Vereinbarungen, die an oder nach diesem Datum abgeschlossen, erneuert oder geändert werden. Unternehmen sollten bestehende Cloud-Outsourcing-Vereinbarungen überprüfen und entsprechend ändern, um sicherzustellen, dass sie diesen Leitlinien bis zum 31. Dezember 2022 Rechnung tragen.
Leitlinie 1: Governance, Aufsicht und Dokumentation
Ein Unternehmer sollte über eine definierte und aktuelle Cloud-Outsourcing-Strategie verfügen, die mit den relevanten Strategien und internen Richtlinien und Prozessen der Firma übereinstimmt, auch in Bezug auf die Informations- und Kommunikationstechnologie, die Informationssicherheit und das operative Risikomanagement.
Leitlinie 2: Analyse und Due-Diligence-Prüfung vor dem Outsourcing
Bevor ein Unternehmen eine Cloud-Outsourcing-Vereinbarung eingeht, sollte sie a) beurteilen, ob die Cloud-Outsourcing-Vereinbarung eine kritische oder wichtige Funktion betrifft; b) alle relevanten Risiken der Cloud-Outsourcing-Vereinbarung identifizieren und bewerten; c) eine angemessene Due-Diligence-Prüfung des potenziellen CSP durchführen und d) alle Interessenkonflikte, die durch das Outsourcing entstehen können, identifizieren und bewerten.
Leitlinie 3: Wesentliche Vertragselemente
Die jeweiligen Rechte und Pflichten eines Unternehmens und ihres CSP (Cloud Service Providers) sollten in einem schriftlichen Vertrag klar festgelegt werden. Im Falle der Auslagerung von kritischen oder wichtigen Funktionen sollte die schriftliche Vereinbarung mindestens die in den Ziffern a) bis o) genannten Informationen, Rechte und Pflichten enthalten.
Leitlinie 4: Informationssicherheit
Ein Unternehmen sollte in ihren internen Richtlinien und Verfahren sowie in der schriftlichen Cloud-Outsourcing-Vereinbarung angemessene Anforderungen an die Informationssicherheit festlegen und die Einhaltung dieser Anforderungen laufend überwachen, auch um vertrauliche, personenbezogene oder anderweitig sensible Daten zu schützen. Dabei sollte ein risikobasierter Ansatz angewendet werden.
Leitlinie 5: Ausstiegsstrategien
Im Falle der Auslagerung kritischer oder wichtiger Funktionen sollte ein Unternehmen sicherstellen, dass sie in der Lage ist, die Cloud-Outsourcing-Vereinbarung ohne unangemessene Unterbrechung ihrer Geschäftstätigkeiten und Dienstleistungen für ihre Kunden und ohne Beeinträchtigung der Einhaltung ihrer Verpflichtungen gemäß den geltenden Rechtsvorschriften sowie der Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten zu beenden.
Leitlinie 6: Zugriffs- und Prüfungsrechte
Ein Unternehmen sollte sicherstellen, dass die schriftliche Cloud-Outsourcing-Vereinbarung die wirksame Ausübung der Zugangs- und Prüfungsrechte sowie der Aufsichtsoptionen gegenüber dem CSP durch die Wertpapierfirma und die zuständige Behörde nicht einschränkt. Das Unternehmen sollte sicherstellen, dass der CSP den Sub-Outsourcer angemessen beaufsichtigt.
Leitlinie 7: Sub-Outsourcing
Wenn das Sub-Outsourcing von kritischen oder wichtigen Funktionen (oder wesentlichen Teilen davon) erlaubt ist, sollte die schriftliche Cloud-Outsourcing-Vereinbarung zwischen dem Unternehmen und dem CSP u.a. die Bedingungen angeben, die im Falle eines Sub-Outsourcings einzuhalten sind, und sicherstellen, dass der CSP den Sub-Outsourcer angemessen beaufsichtigt.
Leitlinie 8: Schriftliche Mitteilung an die zuständigen Behörden
Ein Unternehmen sollte ihre zuständige Behörde rechtzeitig schriftlich über geplante Cloud-Outsourcing-Vereinbarungen unterrichten, die eine kritische oder wichtige Funktion betreffen. Die Firma sollte ihre zuständige Behörde auch rechtzeitig und schriftlich über Cloud-Outsourcing-Vereinbarungen informieren, die eine Funktion betreffen, die zuvor als nicht kritisch oder nicht wichtig eingestuft war und dann kritisch oder wichtig wurde.
Leitlinie 9: Beaufsichtigung von Cloud-Outsourcing-Vereinbarungen
Die zuständigen Behörden sollten die Risiken, die sich aus den Cloud-Outsourcing-Vereinbarungen der Unternehmen ergeben, im Rahmen ihres Aufsichtsverfahrens bewerten. Diese Bewertung sollte sich insbesondere auf die Vereinbarungen konzentrieren, die sich auf die Auslagerung kritischer oder wichtiger Funktionen beziehen.
Fazit: auf die Adressaten der ESMA Leitlinien, u.a. Kreditinstitute und Wertpapierunternehmen, kommen neue aufsichtsrechtliche „Pflichten“ hinsichtlich Cloud-Nutzung zu. Sämtliche neuen (ab 31.07.2021) sowie bestehenden (ab 31.12.2022) Auslagerungen bzw. Vereinbarungen mit Cloud-Service-Anbietern sind wohl neu zu bewerten und anzupassen. Dazu wird es angemessene Strategien, Verfahren und Prozesse benötigen, die es gilt aufzusetzen und zu implementieren. Wenn Sie dabei fachliche Unterstützung benötigen …
Kontaktieren Sie mich noch heute!
