Bitte warten...

Ziele der EBA Guidelines

 

Die „Guidelines on outsourcing arrangements“ der EBA (European Banking Authority) umfassen neue Regelungen für die aufsichtsrechtliche Behandlung von Auslagerungen. Sie verlangen von Instituten eine umfassende Bestandsaufnahme sowie die Überprüfung, Bewertung und Dokumentation ihrer Provider-Beziehungen (Due Diligence).
Die neuen Regelungen betreffen v. a. den Governance-Rahmen (z. B. das Risikomanagement, die Organisation und die Dokumentationspflichten) sowie den Auslagerungsprozess (z. B. die Auslagerungsvoranalyse). Darüber hinaus müssen Institute ein einheitliches und vollständiges Auslagerungsregister aller Outsourcing-Beziehungen führen, unterteilt nach kritischen/unkritischen oder wichtigen/unwichtigen Auslagerungsverträgen. Dieses muss der jeweiligen Aufsichtsbehörde mindestens alle drei Jahre zur Verfügung gestellt werden.

 

Entstehung und Entwicklung der EBA Guidelines

 

Die Europäische Bankenaufsichtsbehörde (EBA) veröffentlichte am 25. Februar 2019 die finale Version ihrer neuen Leitlinien zur Auslagerung. Die Leitlinien traten am 30. September 2019 in Kraft. Sie wurden entwickelt, um gleiche Wettbewerbsbedingungen zu gewährleisten und einen stärker harmonisierten Rahmen für die Auslagerungsvereinbarungen von Finanzinstituten zu schaffen.

 

Die neuen EBA-Leit­li­nien gel­ten künf­tig nicht nur für Kre­dit- und Finanz­di­enst­leis­tungs­in­sti­tute, son­dern auch für Zah­lungs- und E-Geld-Insti­tute. Damit wurden die CEBS-Leitlinien (Committee of European Banking Supervisors, Vorgängerbehörde der EBA) von 2006 abgelöst, die nur für Kreditinstitute galten. Auch die Empfehlungen der EBA zur Auslagerungen an Cloud-Dienstleister aus dem Jahr 2017 wurden in die neuen Leitlinien aufgenommen.
Da die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Leitlinien der EBA in der Regel in deutsches Recht umsetzt und entsprechend in ihre Verwaltungspraxis übernimmt, ist davon auszugehen, dass sich Institute, die den EBA-Leitlinien bisher noch nicht unterliegen, auf entsprechende Anpassungen in der nationalen Regulatorik (MaRisk, BAIT) vorbereiten müssen.

 

Links

 

 

Maßnahmen zur Erfüllung der Anforderungen

 

  • Regelmäßige Durchführung externer Audits
  • Schwachstellen-Management mittels Scan Engine, darüber hinaus werden sowohl externe Schwachstellentests als auch interne Penetrationstests und WLAN-Scans regelmäßig von zertifizierten Dienstleistern durchgeführt
  • Computer Emergency Response Teams (CERT), z. B. vom Bundesamt für Sicherheit in der Informationstechnik (BSI), Homeland, Heise etc., senden Informationen zu aktuellen Sicherheitslücken an vereinbarte Accounts des Security-Teams
  • Business Continuity Management (BCM) nach ISO 22301 (das IT-Notfallmanagement ist ein integraler Bestandteil des Gesamtmodells)
  • Regelung interner Produktionszugriffe durch eine umfassende Prozessregelung (Data Leakage Prevention)

 

Weiterführende Informationen

 

  • Zertifizierung nach PCI-DSS
  • ISO 27001 Zertifizierung für den IT-Betrieb/inkl. 27002 ff.
  • Zertifizierung durch den TÜV „Trusted Site Infrastructure“ Level 3 zur Bestätigung einer zuverlässigen IT-Infrastruktur
  • Anwendungsentwicklung: Orientierung an ISO/EIC 15504-5 (SPICE Level 3)
  • RZ-Betrieb: Orientierung an ISO27001/ITIL