Protokoll Sonderfachgremium IT am 31.05.2023

Die BaFin hat das Protokoll der letzten beiden Sitzungen vom 13.12.2022 und 31.05.2023 des Sonderfachgremiums IT zum Thema „Cloud/IT-Betrieb“ veröffentlicht. Die Diskussion konzentrierte sich auf Prozesse und Verfahren, die in Kapitel 8 der BAIT/VAIT behandelt werden und in der Regel den IT-Betriebseinheiten zugeordnet sind.
Die Teilnehmer des Gremiums stimmten darin überein, dass sich regulatorische Rahmenbedingungen und praktische Erfahrungen im Laufe der Zeit ändern können und dass diese Änderungen Anpassungen der Diskussionsergebnisse erfordern könnten. Daher sind die Diskussionsergebnisse kein endgültiger Leitfaden zur Implementierung für beaufsichtigte Unternehmen. Stattdessen zielen sie darauf ab, einen Orientierungsrahmen zu schaffen, der von den beaufsichtigten Unternehmen mit den Cloud-Anbietern ausgehandelt, konkretisiert, implementiert und regelmäßig überprüft werden muss.
Die Anforderungen an den IT-Betrieb von Banken und Versicherungsunternehmen leiten sich hauptsächlich aus den EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken, den Leitlinien zu Auslagerungen, den MaRisk und den BAIT/VAIT bzw. EIOPA Leitlinien und Mindestanforderungen an die Geschäftsorganisation ab. Insbesondere wurde die Fokussierung auf Prozesse wie das Management von Veränderungen, Störungs- und Problembehandlung, Datensicherungskonzepte, Lebenszyklus-Management der IT-Komponenten und Kapazitätsmanagement hervorgehoben.
Ein zentrales Thema ist die Herausforderung, die sich aus der sogenannten „Abstraktionsgrenze“ ergibt, die die Zuständigkeit zwischen beaufsichtigten Unternehmen und Cloud-Anbieter definiert. Dies erfordert eine angemessene Ausgestaltung der Schnittstelle zwischen Cloud-Anbieter und beaufsichtigtem Unternehmen. Hierzu wurden spezifische Herausforderungen identifiziert, wie die eingeschränkten Detailinformationen zur Ausgestaltung der Cloud-Services oder das Fehlen kundenspezifischer Berichtsdokumente von den Dienstleistern.
Im Protokoll wurden auch Lösungsansätze diskutiert, um die IT-Betriebsprozesse der Cloud-Anbieter zu bewerten und sicherzustellen, dass sie den aufsichtlichen und eigenen Anforderungen genügen. Hierzu gehören unter anderem die Nutzung von Service-Level-Agreements, ein Risikomanagement, die Durchführung von Regelterminen zwischen beaufsichtigtem Unternehmen und Cloud-Anbieter und die Anpassung der IT-Betriebsprozesse des beaufsichtigten Unternehmens.
Die hier vorgestellten Diskussionsergebnisse sind als erste Lösungsansätze zu verstehen und stellen keine abschließenden Handlungsempfehlungen dar. Das Gremium betont die Notwendigkeit der kontinuierlichen Überwachung und Anpassung der Prozesse im Einklang mit sich ändernden regulatorischen Rahmenbedingungen und praktischen Erfahrungen.