Auslagerung an Cloud-Service-Provider: Asset Manager stehen vor Regulierungswelle

Die Bundesbank hat immer wieder ihre Offenheit für die Anwendung innovativer Technologien in der Finanzindustrie betont. Mit Blick auf die Auslagerung an Cloud-Service-Provider legte Vorstand Joachim Wuermeling kürzlich sogar nach – und bezeichnete Cloud-Lösungen als wichtiges Element für die Wettbewerbsfähigkeit von Banken. Auch die Europäische Wertpapier- und Marktaufsichtsbehörde („European Securities and Market Authority“, ESMA) hat sich mit dem Thema beschäftigt.

ESMA verschärft Vorgaben für Cloud-Auslagerung

Mit den Leitlinien zur Auslagerung an Cloud-Service-Provider setzt die ESMA einen Trend fort: Die aufsichtsrechtlichen Anforderungen für IT-Auslagerungen an Cloud-Service-Provider verschärfen sich nun auch für Asset Manager und weitere Wertpapierdienstleister, Zentralverwahrer sowie Ratingagenturen. Die ESMA-Leitlinien gelten für alle Auslagerungsvereinbarungen mit Cloud-Service-Providern, die seit 31.07.2021 abgeschlossen, verlängert oder geändert werden. Die Umsetzung soll bis zum 31.12.2022 erfolgen. Gelingt die Umsetzung nicht oder nur teilweise, müssen die betroffenen Unternehmen die ESMA darüber informieren.

Damit rollt eine neue Regulierungswelle auf die Asset-Management-Branche zu – auf die sie sich gut vorbereiten kann. Denn die Regulierungsbestrebungen mit anschließenden Prüfprozessen aus dem Bereich der Banken und Versicherungsunternehmen können als Orientierung dienen. Für diese Segmente hatten die Europäische Bankaufsichtsbehörde („European Banking Authority“, EBA) sowie die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung („European Insurance and Occupational Pensions Authority“, EIOPA) in den vergangenen Jahren bereits Richtlinien für die Cloud-Auslagerung vorgegeben.

Cloud-Service-Provider: Guidelines zeigen technologische Tiefe

Ein Vergleich der ESMA-Leitlinien mit den Guidelines für Banken und Versicherer weist große Ähnlichkeiten auf der Inhaltsebene auf – Themen wie Governance, Kontrolle und Dokumentation, Risikoanalyse und Due-Diligence-Prüfung, Ausgestaltung von Vertragsbestandteilen, Ausstiegsstrategien sowie Zugangs- und Prüfungsrechte finden sich wieder. Überraschend ist jedoch die technische Tiefe mancher Vorgaben. Sie zeigt, dass sich die Aufsichtsbehörden mit jeder Regulierungswelle auch mehr technologisches Wissen aneignen. So wird etwa nicht nur der Umgang mit dem Thema Informationssicherheit gefordert. In den ESMA-Richtlinien finden sich auch Konkretisierungen hinsichtlich Datenverschlüsselung, die es in den EBA- und EIOPA-Guidelines nicht gibt.   

Doch auch wenn die ESMA dazu gelernt hat, bleiben die Guidelines hinter den Erwartungen zurück. Das Potenzial der Automatisierung bei der IT-Sicherheit wird nicht gehoben. Auch ist es nicht gelungen, sich von den Anforderungen eines klassischen IT-Outsourcings zu lösen und Richtlinien zu entwickeln, die besser als die Regelwerke der EBA und EIOPA auf die moderne Welt der Cloud eingehen. Nicht berücksichtigt wurde beispielsweise, dass die Cloud-Service-Provider oft mit maximal standardisierten Services arbeiten. Und häufig bieten sie Leistungskomponenten nach dem Baukasten-Prinzip an, die nicht individualisiert sind. Das bringt in der Praxis eine klare Trennung der Verantwortlichkeiten mit sich: Der Asset Manager verantwortet die Zusammenstellung der Leistungen für die Cloud-Strategie und damit die Auslagerung, der Cloud-Service-Provider die Funktion der einzelnen Bausteine.

Cloud-Service-Provider: Praktische Umsetzung erschwert

Vor diesem Hintergrund erweist sich die regulatorische Anforderung, Prüfungsrechte gegenüber den Cloud-Service-Providern sicherzustellen und regelmäßig in der Praxis durchzuführen, als große Herausforderung für die Asset Manager. Mit dem Paradigmenwechsel im Rahmen einer Cloud-Strategie wäre es stattdessen sinnvoller, die Prüfungsaufgabe für Leistungsbausteine, die im Verantwortungsbereich der Cloud-Service-Provider liegen, auch an diese Unternehmen zu übertragen.

Das wäre eine Erleichterung für die gesamte Finanzdienstleistungsbranche – und auch für die Aufsicht. Sie könnte die Cloud-Service-Provider direkt prüfen, statt die „Hintertür“ über Banken, Versicherer und Asset Manager zu nutzen. Mit dem Verordnungsentwurf zur Widerstandsfähigkeit gegen Cyberangriffe („Digital Operational Resilience Act“, DORA) hat die Europäische Kommission im vergangenen Jahr sogar bereits Vorschläge für eine zentrale Aufsicht für IT-Dienstleister veröffentlicht. Allerdings mahlen die Mühlen in Brüssel langsam. Sie entsprechen nicht der Agilität und Schnelligkeit, die die Cloud bietet, aber auch einfordert.

Schnelles Reagieren empfiehlt sich jedoch jetzt für die Unternehmen, die von der Umsetzung der ESMA-Leitlinien betroffen sind. Zwar müssen die Vorschläge erst noch in nationales Recht überführt werden. Aber die Erfahrung zeigt, dass die Aufsichtsbehörden im Falle einer Prüfung auch die europäischen Guidelines zugrunde legen. Das erfolgt unabhängig von abweichenden nationalen Vorgaben. Bei der Umsetzung der Leitlinien sind die Asset Manager im Vorteil, die bereits einen Blick auf die Banken oder Versicherungen geworfen haben und schon mit der Operationalisierung begonnen haben.

Sorgsame Dokumentation der Auslagerung an Cloud-Service-Provider

Da die Aufseher besonderen Wert auf die risikoorientierte Herangehensweise eines Unternehmens legen, ist es ratsam, die Herleitung aller technisch-organisatorischen Maßnahmen für die Cloud-Auslagerung sowie den Entscheidungsprozess selbst sorgsam und für externe Dritte nachvollziehbar zu dokumentieren. Auch mit Blick auf die Entbindung der Vorstände von der persönlichen Haftung ist das ein wichtiger Punkt. Für die Aufgaben, die nun rund um die regulierungskonforme Cloud-Auslagerung anstehen, benötigen Asset Manager eine tiefgehende Expertise in den neuen Technologien. Hinzu kommen mit dem Paradigmenwechsel verbundene neue Denkweisen.

Zudem ist ein fundiertes Wissen über die regulatorischen Anforderungen gefragt. Inhouse können Asset Manager das nur schwer stemmen, denn auf dem Markt für Fachkräfte ist dieses interdisziplinäre Profil kaum verfügbar oder extrem teuer. Die Alternative besteht darin, mit externen Partnern zu arbeiten. Sie verfügen im Optimalfall sogar über Erfahrungswerte aus den bereits regulierten und geprüften Segmenten der Banken und Versicherer. Diese Erfahrungen gilt es zu nutzen – denn auch die Aufsicht hat sich inzwischen tieferes Know-how angeeignet und ist gut vernetzt. (sg)

Über die Autoren

Daniel Wagenknecht ist Senior Manager bei KPMG im Bereich Financial Services. Er berät Banken und Versicherer bei IT-Management-Themen. Spezialisiert hat er sich auf die Themen Sourcing und Cloud-Beratung. So unterstützt er Mandanten unter anderem bei der Entwicklung von Sourcing und Cloud Strategien, Auswahl passender Dienstleister und Vertragsgestaltungen. Hinzu kommt die Konzeptionierung und der Aufbau von Sourcing-Management, Transformation der IT sowie die Umsetzung von aufsichtsrechtlichen Anforderungen bei Sourcing- und Cloud-Vorhaben.

Gerrit Bojen ist Partner bei KPMG im Bereich Financial Services. Er leitet die deutsche Cloud-Practice und besitzt langjährige Berufserfahrung als Programm- und Transformationsmanager in Bank- und Systemintegrationsprojekten. Gemeinsam mit seinem interdisziplinären Team von Cloud-Architekten, Financial-Services-Experten und Cloud-Compliance-Beratern konzipiert und beschleunigt er die Cloud-Journey für Financial Services.

Lesen Sie auch: Cloud-Service-Provider: Seigende Nachfrage nach Cloud-Migration