Auslagerungsregister, Cloud-Register & SLA-Verwaltung

Aufsichtskonforme Erfassung und Steuerung von Auslagerungen & Fremdbezügen

• Neue Anzeigepflichten für (geplante) wesentliche Auslagerungen
• MaRisk-konforme Erfassung von Auslagerungsverträgen und SLAs
• Dokumentation der Risikoanalyse-Ergebnisse, des Auslagerungs- Genehmigungs-Prozesses (Auslagerungsverantwortlicher!)
• Vollständige Hinterlegung der Sub-Dienstleister-Informationen bei Weiterverlagerungen
• Abbildung von Outsourcing-Konzentrationen
• Erfassungen von Cloud-Auslagerungen im Cloud-Register

Die Anforderungen an das zentrale und einheitliche Auslagerungsregister sind durch die letzte MaRisk-Novelle deutlich erweitert worden. Insbesondere bei (geplanten) wesentlichen Auslagerungen. Wesentliche Neuerungen ergeben sich insbesondere bei der Risikoanalyse mit einer Zusammenfassung der wesentlichen Ergebnisse. Ebenso sind beispielweise der Genehmiger der Auslagerung, die Bewertung der Ersetzbarkeit des Dienstleisters mit ggf. alternativen Dienstleistern zu hinterlegen und eine Einschätzung der Zeitkritikalität der ausgelagerten Prozesse zu dokumentieren.

Alle wesentlichen Weiterverlagerungen (inkl. Ort des Sub-Dienstleisters und ggf. Ort der Datenhaltung) sind zu erfassen. Das Auslagerungsregister ist auf Verlangen der Aufsichtsbehörden zugänglich zu machen ist. Das Finanzmarktstabilisierungsgesetz (FiSG) verlangt sogar die Meldung einer beabsichtigten wesentlichen Auslagerung und deren Vollzug sowie wesentliche Änderungen und schwerwiegende Vorfälle im Rahmen von bestehenden wesentlichen Auslagerungen an die Aufsicht. Die praktische Umsetzung dieser Vorgaben stellt viele betroffene Institute weiterhin vor große Herausforderungen. Bei Cloud-Auslagerungen haben die Institute die Cloud-Dienstleistungs- und -Bereitstellungsmodelle (public/private Cloud) sowie die spezifische Art der Daten (Produktion, Backup) und deren Standorte (Ort der Datenspeicherung) bei der Auslagerung von Funktion an einen Cloud-Anbieter umfassend zu dokumentieren.

Oft besteht in den Instituten jedoch kein einheitlicher Prozess zur Aktualisierung der bestehenden Verträge bei Anpassungen der Vorgaben (MaRisk, BAIT, Datenschutz etc.) und bestehende Auslagerungsvereinbarungen sind unvollständig bzgl. messbarer Leistungs- und Qualitätsvorgaben sowie der konkreten Festlegung von ISM-/BCM-Vorgaben, IT-Notfallplanung oder Prüfrechten.