Auslagerungsregister & Cloud-Register (Umsetzungsfrist: 31.12.2021!)

• MaRisk-konforme Erfassung von Auslagerungsverträgen und Service Level Agreements (SLAs)
• Dokumentation der Risikoanalyse-Ergebnisse und des Auslagerungs- Genehmigungs-Prozesses (Auslagerungsverantwortlicher!)
• Vollständige Hinterlegung der Sub-Dienstleister-Informationen bei Weiterverlagerungen
• Neue Meldepflicht für beabsichtigte wesentliche Auslagerungen
• Abbildung von Outsourcing-Konzentrationen im Auslagerungsregister
• Erfassungen von Cloud-Auslagerungen im Cloud-Register

Die Anforderungen an das zentrale und einheitliche Auslagerungsregister sind durch die MaRisk-Novelle deutlich erweitert worden. Für wesentliche Auslagerungen sind nun bis zu 20 Merkmale je Auslagerung zu erfassen und an die Aufsicht zu melden. Wesentliche Neuerungen ergeben sich insbesondere bei der Erfassung des Datums der letzten Risikoanalyse mit einer Zusammenfassung der wesentlichen Ergebnisse sowie dem Datum der nächsten Analyse. Ebenso sind beispielweise der Genehmiger der Auslagerung, die Bewertung der Ersetzbarkeit des Dienstleisters mit ggf. alternativen Dienstleistern zu hinterlegen und eine Einschätzung der Zeitkritikalität der ausgelagerten Prozesse zu dokumentieren.

Alle wesentlichen Weiterverlagerungen (inkl. Ort des Sub-Dienstleisters und ggf. Ort der Datenhaltung) sind zu erfassen. Das Auslagerungsregister ist auf Verlangen der Aufsichtsbehörden zugänglich zu machen ist. Das neue Finanzmarktstabilisierungsgesetz (FiSG) verlangt sogar die Meldung einer beabsichtigten wesentlichen Auslagerung und deren Vollzug sowie wesentliche Änderungen und schwerwiegende Vorfälle im Rahmen von bestehenden wesentlichen Auslagerungen an die Aufsicht. Die praktische Umsetzung dieser Vorgaben wird viele betroffene Institute vermutlich vor eine Herausforderung stellen. Bei Cloud-Auslagerungen haben die Institute die Cloud-Dienstleistungs- und -Bereitstellungsmodelle (public/private Cloud) sowie die spezifische Art der Daten (Produktion, Backup) und deren Standorte (Ort der Datenspeicherung) bei der Auslagerung von Funktion an Cloud-Anbieter umfassend zu dokumentieren.

Oft besteht in den Instituten jedoch kein einheitlicher Prozess zur Aktualisierung der bestehenden Verträge bei Anpassungen der Vorgaben (MaRisk, BAIT, Datenschutz etc.) und bestehende SLAs sind unvollständig bzgl. messbarer Leistungs- und Qualitätsvorgaben sowie der konkreten Festlegung von ISM-/BCM-Vorgaben, IT-Notfallplanung oder Prüfrechten.

Im Seminar berichtet der erfahrene Praxis-Referent aus seiner Auslagerungsmanagement-Praxis und gibt wertvolle Hinweise und Praxistipps zur risikoorientierten und prüfungssicheren Ausgestaltung der neuen Anforderungen an das Auslagerungsregister.