Bad Homburg, 14. März 2024 – Mit einer neuen Aufsichtsmitteilung hat die BaFin im Januar ihre Regelungen für Finanzdienstleister konkretisiert, die IT-Services an Cloud-Anbieter auslagern. Die bislang gültige „Orientierungshilfe“ aus dem Jahr 2018 wurde hierbei wesentlich erweitert und auch um Hinweise zur Umsetzung des Digital Operational Resilience Act (DORA) ergänzt. Die wichtigsten Neuerungen:
Im Kapitel „Vorbereitende Handlungen und Governance-Rahmen für die Cloud“ macht die BaFin jetzt konkrete „Interne Vorgaben für die Nutzung der Cloud“ und legt fest, welche Themen als Mindestumfang in den institutseigenen Vorgaben zu Entwicklung und Betrieb von Cloud-Anwendungen aufzunehmen sind. Diese Regelungen müssen einen risikobasierten Ansatz verfolgen. Zudem fordert die Regulierungsbehörde eine konkrete „Ressourcenausstattung und Qualifikation“ der Personen, die mit Aufgaben im Cloud-Umfeld betraut sind – und zwar auch für Entscheidungsträger, die „angemessene und einschlägige Kompetenzen und Kenntnisse über die Funktionsweise der Cloud, der mit ihr verbundenen Risiken“ haben müssen.