Wenn Unternehmen Cloud-Services nutzen wollen, m ssen sie sicherstellen, dass sie die f r sie geltenden internen und externen Richtlinien einhalten. Insbesondere f r regulierte Branchen wie Banken, Versicherungen und Betreiber kritischer Infrastrukturen (KRITIS) gibt es detaillierte Vorschriften, deren Einhaltung durch ein angemessenes Compliance-Management sichergestellt werden muss. Wir pr fen, welche Aspekte bei der Sicherstellung von Cloud Compliance f r jedes Unternehmen relevant sind. Zudem zeigen wir in diesem Blogbeitrag beispielhaft f r die Bankenbranche auf, was gem der EBA-Leitlinie zu Auslagerungen zu ber cksichtigen ist. Cloud Compliance-Aspekte f r jedes Unternehmen Cloud-Services stellen beim IT-Outsourcing zus tzliche Risiken und Herausforderungen f r das Compliance-Management dar. Compliance-Vorgaben stellen dabei sicher, dass Risiken ermittelt, berwacht und gesteuert werden und angemessene Ma nahmen vorgesehen werden, um diese langfristig im Griff zu behalten. Folgende f nf Aspekte, die beim IT-Outsourcing Ber cksichtigung finden sollten, sind grunds tzlich f r die Sicherstellung von Cloud Compliance f r jedes Unternehmen relevant: IT-Strategievorgabe: wann Nutzung von Cloud-Services Bewertung der Service-Kritikalit t (Risikoanalyse) Vertragliche Regelungen Bewertung und Auswahl des Auftragnehmers berwachung und Kontrolle von Leistungen und Vereinbarungen Diese relevanten Aspekte werden nachfolgend genauer betrachtet. Vorgaben der EBA und BaFin Bei den Banken sind spezielle europ ische und nationale Vorgaben ma geblich. Die Europ ische Bankenaufsichtsbeh rde (EBA) formuliert mit ihren wegweisenden Leitlinien zu Auslagerungen (EBA/GL/2019/02) Vorgehensweisen f r das Outsourcing von Dienstleistungen. Sie strebt auf europ ischer Ebene eine Harmonisierung der Auslagerungs-Vereinbarungen mit Providern und Aufsichtspraktiken an. Das Outsourcing von Cloud-Services ist Teil des Betrachtungsrahmens dieser Leitlinien und geht aus den aufgehobenen Empfehlungen zur Auslagerung an Cloud-Anbieter der EBA hervor. Die Bundesanstalt f r Finanzdienstleistungsaufsicht (BaFin) beaufsichtigt die Banken und Finanzdienstleister. Beh rden und Finanzinstitute sollen alle erforderlichen Anstrengungen unternehmen, den Leitlinien der EBA nachzukommen. Die BaFin bernimmt grunds tzlich diese Leitlinien der EBA in ihre Aufsichtspraktik und ver ffentlicht Vorschriften, wie z.B. die Mindestanforderungen an das Risiko-Management (MaRisk). In diesen Mindestanforderungen spiegeln sich dann auch die EBA-Leitlinien wider. Relevant in diesem Zusammenhang ist auch die Bankaufsichtliche Anforderungen an die IT (BAIT) als Rahmen f r die technisch-organisatorische Ausstattung der Institute. Relevante Cloud Compliance Aspekte Vergleich Die folgende Tabelle stellt die abzudeckenden Aspekte beim Outsourcing dar und stellt die empfohlenen Richtlinien f r jedes Unternehmen den Anforderungen der EBA-Leitlinien gegen ber: Tabelle: Empfohlene Richtlinien f r jedes Unternehmen / Vorgabe der EBA-Leitlinien Relevanter Aspekt Empfohlene Richtlinie f r jedes Unternehmen Vorgaben der EBA-Leitlinien 1. IT-Strategievorgabe Ganzheitliche und zielgerichtete IT-Strategie gem. Unternehmensstrategie Sourcing-Strategie (ggfs. als Teil der IT-Strategie) Auslagerungsstrategie Exit-Strategie/Ausstiegs-Strategie 2. Bewertung der Service-Kritikalit t (Risikoanalyse) Risikoanalyse und Bewertung der Service-Kritikalit t je auszulagernder Service Risikoanalyse und Bewertung der Services Kritische Auslagerung/Funktionen sind definiert 3. Vertragliche Regelungen Mindestumfang Vertrag: Grunds tzliche Anforderungen: Leistungsgegenstand und Qualit t spezifizieren Leistungsspezifikationen / KPIs sind festzuhalten Informations- und Pr fungsrechte des AG Informations- und Pr fungsrechte des AG / uneingeschr nktes Untersuchungs-/ Pr fungsrecht, vollst ndiges Zugangsrecht (krit. Auslagerungen) Weisungsrechte Datenschutz /-sicherheit Datenschutz /-sicherheit K ndigung / Exit-Regelung Angemessene K ndigungsrechte /-fristen / Exit-Regelung Informations-Pflichten des AN Informations-Pflichten des AN Weiterverlagerung (an andere Provider) / Vorbehalt AG Anwendbares Recht Anwendbares Recht (Teil der Risikobewertung der Auslagerungsvereinbarung) 4. Bewertung und Auswahl des AN Anforderungen und Kriterien gem individueller Gesch ftsanforderungen im Unternehmen, z.B. anhand von: Angemessene Pr fung Eignung- und Leistungsf higkeit des Providers, Due-Diligence-Pr fung Standort, Standort EU, Drittstaat (unter best. Voraussetzungen) Zertifizierungen Zertifizierungen / Pr fberichte 5. berwachung und Kontrolle von Leistungen Reporting und fortlaufende Pr fung entsprechend festgelegter KPIs, Auditierung Angemessenes Reporting und Pr fung gem. vertraglicher Leistung Fortlaufende berpr fung von Leistungs- und Qualit tsstandards Empfehlungen f r jedes Unternehmen Es sollte eine ganzheitliche und zielgerichtete IT-Strategie, die einen Sourcing Strategie-Teil enth lt, gem Unternehmens-Strategie und -Zielen entwickelt werden. Es muss zudem eine detaillierte Risikoanalyse und Bewertung der auszulagernden Services vorgenommen werden. Bei den vertraglichen Regelungen mit einem Provider sollte ein Mindestma an Punkten ber cksichtigt und der Leistungsgegenstand und die Leistungsqualit t sollten eindeutig spezifiziert werden. Der Auftragnehmer ist dazu verpflichtet, dass er dem Auftraggeber erforderliche Informations- und Pr fungsrechte und Weisungsrechte einr umt und die Informationspflichten des Auftragnehmers m ssen im Vertrag klar geregelt sein. Angemessene K ndigungsregelungen im Vertrag sollen unter anderem die M glichkeit bieten, auf schlecht erbrachte Leistung reagieren und Vorbereitungen f r einen Providerwechsel oder ein Insourcing durchf hren zu k nnen. Letztlich m ssen zu Datenschutz und -sicherheit, wie z.B. der Vertraulichkeit von Daten, angemessene vertragliche Regelungen vereinbart werden, die den Gesetzesvorgaben entsprechen. Au erdem muss das anwendbare Recht des Vertrags geregelt sein, bzw. ob der Vertrag dem deutschen Recht unterliegt. Anforderungen an Banken (EBA-Leitlinie) Die EBA-Leitlinie betrachtet den gesamten Auslagerungsprozess und gibt konkrete Anforderungen an das Risiko-Management vor. Es wird unterschieden zwischen der Auslagerung von kritischen oder bedeutenden Funktionen und sonstigen Auslagerungen. Die Leitlinien enthalten feste Bewertungskriterien f r auszulagernde Services und die Service-Kritikalit t, somit bilden ausgelagerte kritische/bedeutende Funktionen den Schwerpunkt f r h here einzuhaltende Vorgaben. Bei kritischen Auslagerungen gelten zudem umfangreiche Dokumentations- und Informationspflichten gegen ber der zust ndigen Aufsichtsbeh rde (i.d.R. die BaFin). Ein Service Provider muss nicht zwangsl ufig den ausgelagerten Service selbst erbringen, sondern kann hierf r Subunternehmer einsetzen. Generell d rfen getroffene Vertragsvereinbarungen dabei nicht mit aufsichtsbeh rdlicher Aus bung des Pr fungsrechts in Konflikt stehen. F r die Bewertung und Auswahl des Providers wird, insbesondere bei der Auslagerung kritischer Funktionen, ein hohes Ma an Pr fung und Dokumentation der Provider und seiner Eignung gefordert (Due-Diligence-Pr fung). Eine umfangreiche berwachung und Kontrollm glichkeit des Providers m ssen sichergestellt werden. Diese Regelungen gelten auch f r potenziell eingesetzte Subunternehmer bei Weiterverlagerung. Um die vertragliche Leistung pr fen zu k nnen, muss hierf r eine interne Organisation mit ausreichenden Ressourcen und Leistungsf higkeit f r die Steuerung und berwachung des, bzw. der Service Provider vorhanden sein. Fazit Die f nf Aspekte und die empfohlenen Richtlinien k nnen f r jedes Unternehmen angewendet werden, um Cloud Compliance im Unternehmen sicherzustellen. In Abh ngigkeit von Risikoschwerpunkten der jeweiligen Branche oder des Unternehmens kann auf den empfohlenen Richtlinien aufgesetzt und unterschiedliche Aspekte versch rft werden. Dabei ist ein f r das eigene Unternehmen angemessene Regelwerk zu schaffen. Die Anforderungen der EBA-Leitlinien sind gegen ber den Empfehlungen f r alle Unternehmen vergleichbar, jedoch in einigen Aspekten deutlich weitreichender: Rechenschafts-, Dokumentations- und Melde-Pflichten der Finanzinstitute gegen ber Aufsichtsbeh rden und der Analyse potenzieller Risiken, um insbesondere den hohen gesetzlichen und regulatorischen Anforderungen der Finanzbranche gerecht zu werden. Die Leitlinien bieten einen sinnvollen Rahmen der Ausgestaltung von Auslagerungsvereinbarungen. Der Beitrag Cloud Compliance – aktuelle Vorgaben erschien zuerst auf amendos gmbh.
Obwohl sich agile Projektmethoden mittlerweile zunehmend aus der Softwareentwicklung heraus in verschiedenste Unternehmensbereiche verbreiten, werden meist die Compliance-Abteilungen und Compliance-Projekte bei der agilen Transformation vernachlässigt. In
zum Artikel gehenIm Rahmen von Cloud-Strategien werden gern Begriffe wie Cloud Native, Multi Cloud und Cloud Agnostic verwendet. In meinem Blog-Beitrag nehme ich eine Einordnung dieser Begriffe vor und zeige die Konsequenzen auf, die sich für Unternehmen ergeben.
zum Artikel gehenIm letzten Teil meiner Blog-Serie habe ich euch die Unterschiede zwischen lokaler physischer Hardware und Cloud-Diensten gezeigt, die Möglichkeiten zur Virtualisierung genauer erklärt und mit Docker eine erste Technologie vorgestellt. Nun möchte ich aktue
zum Artikel gehenCloud-Computing ist seit Jahren auf Wachstumskurs. Allerdings basieren viele Cloud-Lösungen auf x86-Plattformen. Doch auch Anwender von Power-Systemen können von der Cloud profitieren und die Vorteile nutzen. Cloud-basierte Power-Services bieten IaaS-Serv
zum Artikel gehenIn meiner Blog-Serie zeige ich euch, wie ihr bestehende Applikationen in die Cloud übertragt. Im ersten Teil erkläre ich euch, worum es sich beim Cloud Computing handelt und erläutere die Unterschiede zwischen den einzelnen Arten der Cloud-Architekturen.
zum Artikel gehen