Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 1. Februar 2024 eine Mitteilung zu Auslagerungen an Cloud-Anbieter veröffentlicht. Diese basiert auf der Orientierungshilfe aus November 2018 und zeigt auf, wie die BaFin Auslagerungen an Cloud-Anbieter bewertet. In ihrer Aufsichtsmitteilung wurden die Inhalte zur Governance von Cloud-Auslagerungen, zu Einführungsprozessen und vertraglichen Mindeststandards aktualisiert. 

Ziel ist es, den beaufsichtigten Unternehmen Hinweise zu Entwicklung, Betrieb und Cybersicherheit in der Cloud sowie zur konkreten Überwachung und Kontrolle von Leistung und Sicherheit des Cloud-Anbieters zu geben.  

Die Mitteilung enthält zwei neue Kapitel. Eines behandelt die sichere Anwendungsentwicklung und den sicheren IT-Betrieb in der Cloud. Ein besonderer Fokus liegt dabei auf dem Thema Cybersicherheit. Das zweite neue Kapitel befasst sich mit der Überwachung und Kontrolle der Leistungserbringung von Cloud-Anbietern. Hier hebt die BaFin das Modell der geteilten Zuständigkeit, die Überwachung der Dienstleistungsgüte, sowie Informationssicherheit und IT-Vorfälle hervor. Insbesondere in Kapitel drei sind zahlreiche Konkretisierungen zur Wesentlichkeitsbestimmung und Inhalten einer Risikoanalyse zu finden.  

Im Hinblick auf die bevorstehende Umsetzung der Anforderungen des Digital Operational Resilience Act (DORA) zum Januar 2025 bietet die Aufsichtsmitteilung eine wertvolle Hilfestellung und Konkretisierung.