Was ist bei Auslagerungen hinsichtlich der Sicherheit von Sicherheit von Daten und Systemen zu beachten? Auslagerung: Sicherheit von Daten und Systemen sind von Instituten und Zahlungsinstituten im Rahmen des Auslagerungscontrollings zu managen. Institute und Zahlungsinstitute haben sicherzustellen, dass die Dienstleister sofern notwendig geeignete IT-Sicherheitsstandards erfüllen.

 

Auslagerung: Sicherheit von Daten und Systemen

 

Auslagerung: Sicherheit von Daten und Systemen bei Cloud-Diensten

Sofern notwendig (z. B. im Rahmen von Cloud-Outsourcing oder sonstigen Auslagerungen im IT-Bereich), sollten die Institute und Zahlungsinstitute Anforderungen an die Daten- und Systemsicherheit im Rahmen der Auslagerungsvereinbarung festlegen und die Einhaltung dieser Anforderungen fortlaufend überwachen.

Bei einer Auslagerung an Cloud-Dienste und sonstigen Auslagerungsvereinbarungen, die den Umgang mit oder die Übertragung von personenbezogenen oder vertraulichen Daten umfassen, sollten die Institute und Zahlungsinstitute einen risikobasierten Ansatz betreffend den Standort bzw. die Standorte der Datenspeicherung und Datenverarbeitung (d. h. Land oder Region) und hinsichtlich Überlegungen zur Informationssicherheit wählen.

Unbeschadet der Anforderungen gemäß der Verordnung (EU) 2016/679 sollten die Institute und Zahlungsinstitute bei Auslagerungen (insbesondere in Drittstaaten) die Unterschiede bei den nationalen Vorschriften für den Datenschutz berücksichtigen. Die Institute und Zahlungsinstitute sollten sicherstellen, dass in der Auslagerungsvereinbarung die Pflicht des Dienstleisters festgelegt ist, vertrauliche, personenbezogene und anderweitig sensible Informationen zu schützen und alle rechtlichen Anforderungen den Datenschutz betreffend zu erfüllen, die für das Institut oder Zahlungsinstitut gelten (z. B. der Schutz von personenbezogenen Daten und die Einhaltung des Bankgeheimnisses oder vergleichbarer rechtlicher Geheimhaltungspflichten hinsichtlich der Informationen der Kunden).

 

Auslagerung: Sicherheit von Daten und Systemen mit Einbindung der Internen Revision

Die Institute und Zahlungsinstitute sollten im Rahmen der schriftlichen Auslagerungsvereinbarung sicherstellen, dass die Funktion der Internen Revision in der Lage ist, die ausgelagerte Funktion unter Verwendung eines risikobasierten Ansatzes zu prüfen.

Unabhängig von der Kritikalität oder Wesentlichkeit der ausgelagerten Funktion sollte in den schriftlichen Auslagerungsvereinbarungen zwischen den Instituten und Dienstleistern auf die Informationserfassung und Untersuchungsbefugnisse der zuständigen Behörden und Abwicklungsbehörden gemäß Artikel 63 Absatz 1 Buchstabe a der Richtlinie 2014/59/EU und Artikel 65 Absatz 3 der Richtlinie 2013/36/EU mit Blick auf Dienstleister mit Sitz in einem Mitgliedstaat Bezug genommen werden. Es sollten darüber hinaus diese Rechte auch bezüglich Dienstleistern mit Sitz in Drittstaaten gewährleistet werden.

Was die Auslagerung von kritischen oder wesentlichen Funktionen anbelangt, so sollten die Institute und Zahlungsinstitute im Rahmen der Auslagerungsvereinbarung sicherstellen, dass der Dienstleister ihnen und ihren zuständigen Behörden, einschließlich der Abwicklungsbehörden, und jeder anderen von ihnen oder den zuständigen Behörden benannten Person Folgendes gewährt:

  • vollständigen Zugang zu allen relevanten Geschäftsräumen (z. B. Hauptsitze und Betriebszentren), einschließlich des gesamten Spektrums an relevanten Geräten, Systemen, Netzwerken, Informationen und Daten, die für die Wahrnehmung der ausgelagerten Funktion eingesetzt werden, auch in Zusammenhang mit Finanzinformationen, Personal und den externen Prüfern des Dienstleisters („Zugangs- und Informationsrechte“); sowie
  • uneingeschränkte Rechte auf Kontrolle und Prüfung in Zusammenhang mit der Auslagerungsvereinbarung („Prüfungsrechte“), um ihnen die Überwachung der Auslagerungsvereinbarung zu ermöglichen und die Einhaltung aller geltenden aufsichtlichen und vertraglichen Anforderungen sicherzustellen.

 

Die Teilnehmer haben zum Thema Auslagerungen auch folgende S&P Seminare besucht…

MaRisk- Compliance im Fokus der Bankenaufsicht – Umsetzung der neuen Anforderungen aus den MaRisk 6.0,CRD IV, §25 KWG neu

MaRisk-Compliance –  Aufbauseminar für Compliance Officer Risk-Assessment – IKS-Schlüsselkontrollen – Compliance-Reporting

Depot A – im Fokus der Bankenaufsicht –  Beurteilungsstandards, Checklisten und Musterbeschlüsse Rating-Plausibilisierung und zuverlässige Kreditanalyse im Depot A

Professionelles Projektmanagement – Erfolgreiche Projektumsetzung in der Praxis

Seminar IT-Compliance Manager: Monitoring + Kontrolle + Reporting

Auslagerung: Sicherheit von Daten und Systemen

One thought on “Auslagerung: Sicherheit von Daten und Systemen

Kommentare sind geschlossen.