Überzogene Anforderungen? DK mahnt praxisnahe Regeln für Cloud-Dienste und einen Abgleich mit DORA an

Selten ist die DK so deutlich: Die Deutsche Kreditwirtschaft hat zu dem Entwurf eines Leitfadens der Europäischen Zentralbank (EZB) zur Auslagerung von Cloud-Diensten an Cloud-Service-Provider eine Stellungnahme ab­ge­ge­ben. Höf­lich for­mu­liert: “Der Leit­fa­den for­mu­liert de­tail­lier­te auf­sicht­li­che Er­war­tun­gen an die be­deu­ten­den In­sti­tu­te im ein­heit­li­chen Auf­sichts­me­cha­nis­mus (SSM)”. Fak­tisch wird die DK in der Stel­lung­nah­me aber recht deutlich …

Die DK kritisiert, dass die Anforderungen der EZB über die bestehenden Regelungen von DORA hinausgehen und fordert eine Angleichung der Definitionen und Anforderungen an DORA. Insbesondere wird die “proportional risikoorientierte” Umsetzung vermisst. Die DK schlägt vor, dass die Definition von “kritischen oder wichtigen Funktionen” sowie die Anforderungen an die Informations- und Kommunikationstechnologie (IKT)-Assets und Cloud-Dienste mit DORA abgeglichen werden sollten.

Außerdem sollten Anforderungen, die kleine Banken unverhältnismäßig belasten könnten, gestrichen oder abgeschwächt werden. Die DK fordert auch Klarstellungen und Anpassungen bei den Vorgaben zur Risikobewertung, Governance, Verfügbarkeit und Resilienz von Cloud-Diensten sowie bei den Exit-Strategien. Und es sollten übermäßige Kontrollen und Prüfungen, die über DORA hinausgehen, vermieden werden, um die Praktikabilität und Umsetzbarkeit zu gewährleisten.

Vor dem Hintergrund, dass mit der DORA-Verordnung und den ergänzenden Regulierungsstandards der ESAs umfangreiche Vorgaben u. a. auch für Cloud-Auslagerungen eingeführt werden, sollten die im EZB-Leitfaden enthaltenen zusätzlichen Anforderungen risikoorientiert und proportional angewendet werden können.

Die Stellungnahme kann hier kostenlos heruntergeladen werden.aj