Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel baut auf unserem früheren Blog auf, der praktische Anleitungen zur Stärkung der operativen Resilienz und zum Management des Konzentrationsrisikos in Finanzdienstleistungsinstituten (FSIs) bietet.
Um die Konsistenz mit bestehenden und bevorstehenden Vorschriften sicherzustellen, haben wir die Standard regulatorischen Leitlinien für BSB, einschließlich laufender Konsultationen zum Thema operative Resilienz, in unseren Ansatz aufgenommen.
Dies schließt ein:
- Konsultation des Financial Stability Board (FSB) zur Verbesserung des Risikomanagements und der Aufsicht von Drittanbietern (22. Juni 2023 FSB-Konsultation)
- Der EU-Gesetz über digitale operative Resilienz (DORA)
- UK SS1/21: Operative Resilienz und SS2/21 Outsourcing und Risikomanagement von Drittanbietern
- Uk CTP Regime: Kritische Dritte für den britischen Finanzsektor (PS16/24, SS6/24 & SS7/24)
- US-Interagency Guidance on Third-Party Relationships (US-Interagency Guidance on Third-Party Relationships)
- US Treasury Report on Cloud Computing
- Richtlinien für Das Risiko von Drittanbietern in Kanada
- Einrichtung eines Forums zur Cloudresilienz durch die Währungsbehörde Singapurs
- IOSCO-Prinzipien für Outsourcing 2021
Unser Ansatz entspricht den aufgeführten Publikationen und wird im Laufe der Zeit aktualisiert. Unser Ziel ist es, Kunden dabei zu unterstützen, in einer verantwortungsvollen und konformen Weise im Einklang mit bestehenden und zukünftigen FSI-Vorschriften zu wachsen und zu innovativ zu sein.
Übersicht
Wenn es um den Einsatz von Cloudtechnologie in FSIs geht, sind operative Resilienz und Konzentrationsrisiken miteinander verbunden, da dies durch die Stärkung der operativen Resilienz in verschiedenen Vorschriften behoben wird. Beide befassen sich mit einer Vielzahl von Maßnahmen, einschließlich der Identifizierung und Überwachung kritischer Beziehungen von Drittanbietern, Anforderungen zur Stärkung von Risikogovernance und -management sowie Anleitungen zu Geschäftskontinuität und Exitplanung.
Wir möchten BSB dabei unterstützen, ihre operative Resilienz zu beheben und zu stärken, um sie dabei zu unterstützen, das Konzentrationsrisiko auf Unternehmensebene in einer Weise zu bewältigen, die mit den gesetzlichen Richtlinien in Einklang steht. Es ist wichtig, dass dieses Thema ganzheitlich und unter Berücksichtigung aller Beziehungen von Drittanbietern behandelt wird. Die Nutzung von Clouddiensten und Abhängigkeiten von lokalen Softwareprodukten muss gewartet und geschützt werden. Darüber hinaus wird die Vergabe von Unteraufträgen in Bezug auf kritische Funktionen häufig in regulatorischen Leitlinien behandelt.
In der FSB-Konsultation vom 22. Juni 2023 wurde ein kritischer Dienst als dienstlicher Dienst definiert, dessen Ausfall oder Unterbrechung die Rentabilität eines Finanzinstituts, seine kritischen Vorgänge oder seine Fähigkeit, wichtige rechtliche und regulatorische Verpflichtungen zu erfüllen, erheblich beeinträchtigen könnte. Es sind vor allem diese Dienstleistungen, die im Fokus stehen, wenn es um das Management von Konzentrationsrisiken geht.
Konzentration ist vom Konzentrationsrisiko zu unterscheiden. Die Konzentration von Abhängigkeiten von Drittanbietern ist heute in vielen wichtigen FSI-Diensten üblich, und es ist möglicherweise nicht möglich, sie zu beseitigen. Wenn Sie instance die breite Nutzung von Finanzinformationsnetzwerken (z. B. Bloomberg oder Thomson Reuters) und Software-Herausgebern wie IBM und Oracle in Betracht ziehen, wird klar, dass eine vollständige Substitution eine Herausforderung darstellen würde. Man kann einen Exit-Plan für einen bestimmten Drittanbieterdienst ausarbeiten, aber es wird schwierig, die gesamte Nutzung einer Drittanbieterlösung für große Finanzinstitute einzustellen. Daher sollte der Fokus auf der Verringerung des Konzentrationsrisikos liegen, damit es innerhalb der Risikotoleranzen eines organization bleibt.
Einige dieser Beispiele sind zwar bereits systemrepretativ wichtig, werden aber nicht oft als erhöhte Konzentrationsrisiken wahrgenommen, da sie auf mehrere geografisch verteilte Standorte verteilt sind. Daher haben die meisten Fehler nur eine begrenzte (nicht globale) Auswirkung. Darüber hinaus bieten sie höchste Resilienz durch ein hochmodernes Design wie sichere und resiliente Vorgänge, Automatisierung und Implementierung von Zero Trust. Diese Entwürfe wurden von mehreren unabhängigen Dritten durch verschiedene Zertifizierungsprozesse bestätigt. Diese kollektiven Maßnahmen haben das Gesamtrisikoprofil heruntergefahren, obwohl die Konzentration auf fester Ebene noch besteht.
FSIs müssen sich auf die Stärkung der operativen Resilienz konzentrieren, und dies muss auf eine Weise erfolgen, die mit Vorschriften und Richtlinien in Einklang steht. Es ist wichtig zu beachten, dass Vorschriften keine FSIs zwingen, Hybrid- oder Multicloudlösungen bereitzustellen, sondern stattdessen einen prinzipienbasierten, risikobasierten und technologieneutralen Ansatz zur Bewältigung von Konzentrationsrisiken zu verfolgen. Diese Risiken können auch in einer lokalen Umgebung bestehen.
Über betriebliche Aspekte hinaus heben die Vorschriften auch nicht operative Risiken im Zusammenhang mit dem Outsourcing hervor, insbesondere Finanzinsolvenzrisiken und Abwicklungsansätze. Nicht-betriebsrelevante Risiken können nicht durch technologische Maßnahmen gehandhabt werden, sondern werden durch rechtliche Maßnahmen während der Vergabephase und durch Aufruf der Exitstrategie angegangen.
Ein 6-stufiger Ansatz zum Management von betriebsbedingten Risiken in Finanzdienstleistungen
Es gibt mehrere Aspekte, die berücksichtigt werden müssen, bevor kritische Entscheidungen zum Umgang mit operativen Risiken getroffen werden. Deshalb haben wir einen sechsstufigen Ansatz zur Bewältigung von Konzentrationsrisiken und zur Stärkung der operativen Resilienz eingeführt:
Schritt 1: Aktualisieren der Cloudrisikogovernance
Cloudtechnologie in der Regulierung von Finanzdienstleistungen wird heute hauptsächlich durch Outsourcing-Richtlinien von Drittanbietern geregelt, die speziell in diesem Zusammenhang gelten, wobei verschiedene Regulierungssätze für die lokale IKT-Umgebung gelten. Neuere Konsultationen, auf die in der Einführung verwiesen wird, verfolgen einen ganzheitlichen Ansatz, wenn es um die Stärkung der operativen Resilienz geht. Für instance werden Verordnungsentwürfe wie DORA und DORA ICT RMF nicht nur für lokale Einrichtungen gelten, sondern auch die Nutzung von IKT-Drittanbietern als integralen Bestandteil des Rahmens betrachten.
Darüber hinaus liegt der Schwerpunkt, wie in der FSB-Konsultation vom 22. Juni 2023 beschrieben, auf kritische Dienste. Wir sehen dies auch in anderen Vorschriften wie dora. Der Fokus auf kritische Dienste ist notwendig, da sonst der Umfang der zu bewertenden Dienste zu groß wird, wenn technologiebezogene Dienste zunehmend vernetzt werden.
Daher empfehlen wir, dass Unternehmen interne Risikogovernance-Frameworks überdenken und diese neuen maßnahmen zur operativen Resilienz mit Schwerpunkt auf kritischen Diensten ganzheitlich integrieren und verschiedene Richtlinien für Drittanbieter- oder Cloud-Outsourcing integrieren, um die Compliance sicherzustellen.
Einige geeignete Fragen, die in diesem Zusammenhang gestellt werden sollten, sind:
- Wurden klare organisatorische Risikotoleranzen definiert?
- Welche Dienste sind unternehmenskritisch?
- Welche für reale Bedrohungsszenarien plausiblen können sich darauf auswirken?
- Wie groß ist die Allgemeine Risikobereitschaft meiner Firma?
Risikogovernance-Frameworks müssen ebenfalls jährlich aktualisiert werden, um die kontinuierliche Einhaltung in einer sich schnell entwickelnden regulatorischen Landschaft sicherzustellen.
Die Vorschriften und Richtlinien aus der Einführung richten sich an diese Fragen als Ausgangspunkt, wenn es um die Stärkung des operativen Risikos geht. Um diese Anforderungen in allen Ländern zu berücksichtigen, hat Microsoft eine umfangreiche Reihe von Checklisten für die Einhaltung von Finanzdienstleistungen erstellt, um Kunden bei der Selbstbewertung von Vorschriften in verschiedenen Ländern/Regionen bei der Verwendung von Cloudtechnologie zu unterstützen. Diese Checklisten enthalten regulatorische Zuordnungen und zeigen bestimmte Informationen auf, die bei der Bewertung der Verwendung von Microsoft-Cloudtechnologie relevant sind.
Darüber hinaus wurde das Compliance Program for Microsoft Cloud entwickelt, um Risiko- und Compliancefunktionen in allen drei Verteidigungslinien bei der Einhaltung dieser Vorschriften und bei der Bewältigung von Allgemeinen Risiken im Zusammenhang mit der Nutzung der Cloud zu unterstützen. Das Programm bietet sowohl proaktive als auch reaktive Features und bietet einen Premium-Supportkanal für Risikobeteiligte.
Schritt 2: Identifizieren der Konzentration
Je höher die Konzentration der Dienstleistungen mit einem einzigen Drittanbieter ist, desto höher ist das Potenzial von nachteiligen Auswirkungen, wenn etwas schief geht, was als Konzentrationsrisiko bezeichnet wird. Dieses Risiko ist der Grund, warum Organisationen ein klares Verständnis aller Abhängigkeiten zwischen Geschäftsprozessen, IKT-Plattformen, Software und Beziehungen von Drittanbietern haben müssen.
Die Zuordnung dieser Abhängigkeiten wird in der Regel im Rahmen der Geschäftsauswirkungsanalyse (Business Impact Analysis, BIA) durchgeführt. Sobald alle Beziehungen von Drittanbietern identifiziert und kritischen Anwendungsfällen zugeordnet wurden, ist es möglich, den Grad der Konzentration kritischer Dienste mit einem einzigen Drittanbieter zu identifizieren. Diese Ansicht ermöglicht es Den Unternehmen zu erkennen, wo sie sich bei der Bewältigung des Konzentrationsrisikos konzentrieren müssen.
Bei Microsoft Cloud Services ist es möglich, potenzielle Konzentrationen für kritische Workloads zu identifizieren, indem Sie Abonnement- und Mandanten-IDs im Azure-Portal überprüfen. Unternehmen können auch Informationen zu Azure-Ressourcen anzeigen und filtern, die ein detailliertes Verständnis dafür liefern können, welche Dienste innerhalb eines organization verwendet werden. Diese Informationen sind exportierbar und können mit internen BIA-Informationen korreliert werden, um kritische Abhängigkeiten in Echtzeit zu identifizieren. Für Microsoft 365 können Unternehmen auch Berichte im Admin Center sowohl über erworbene Lizenzen als auch über Aktivitäten generieren.
Schritt 3 – Bewerten von Alternativen
Sobald ein Unternehmen seine Abhängigkeiten und deren Beziehung zu kritischen Anwendungsfällen versteht, besteht der nächste Schritt darin, das damit verbundene Konzentrationsrisiko anzugehen. Beginnen Sie mit der Identifizierung einer kurzen Liste möglicher Alternativen, die genauer untersucht werden können. Sie können folgende Fragen beantworten:
- Welche praktischen Alternativen gibt es für lokale, hybride, Multisourcing- und vollständige Clouds?
- Was sind die Nachteile und Vorteile der einzelnen?
- Wie vergleichen sich ihre Risikoprofile miteinander? Wie resilient ist jede Alternative?
- Welche passen am besten zur Risikobereitschaft und Cloudstrategie des organization?
- Ist bei der Planung eines Exits ein vollständiger Anbieterausstieg möglich und wünschenswert? Welche Alternativen können in Betracht gezogen werden?
Konzentrationsrisiko ist ein Aggregierter Begriff, der auf die höheren Auswirkungen hinweist, die ein unerwünschtes Ereignis auf einen oder mehrere kritische Dienste haben würde. Bei der Bewertung solcher Risiken muss jedes der zugrunde liegenden Bedrohungsszenarien bewertet werden, was wiederum zu einer differenzierten Sicht führt, die sowohl Vor- als auch Nachteile im Zusammenhang mit der Konzentration von Diensten umfasst. Zu den zu berücksichtigenden Bedrohungsfaktoren gehören Rechenzentrumskatastrophen, Hardwareausfälle, Netzwerkausfälle, Cyberangriffe, fehlerhafte Änderungen und Upgrades, menschliche Fehler usw. Für jede dieser geeigneten Milderungsmaßnahmen sollte sorgfältig überlegt werden. Unternehmen müssen auch die Minderungskosten, die Komplexität und die Verfügbarkeit von internen Fähigkeiten berücksichtigen, wenn sie die bevorzugte Lösung für die Bewältigung von Konzentrationsrisiken in Betracht ziehen.
Es kann möglich und in einigen Fällen sogar wünschenswert sein, die Konzentration aufrechtzuerhalten, damit die Unternehmen ihre Resilienz maximal stärken können. Anstatt zu versuchen, die Abhängigkeit von Drittanbietern vollständig zu beseitigen, sollten sich Unternehmen auf die Stärkung der betrieblichen Resilienz konzentrieren, indem sie die zugrunde liegenden Bedrohungsszenarien im Zusammenhang mit dem Konzentrationsrisiko (z. B. ein regionales Rechenzentrums-Notfallereignis) angehen. Diese Szenarien lassen sich häufig leicht angehen und haben weniger Nachteile, indem (i) die Wahrscheinlichkeit des Auftretens des Bedrohungsereignisses verringert und (ii) seine Auswirkungen durch Verringerung der Konzentration begrenzt werden:
Die Verringerung der Wahrscheinlichkeit wird erreicht, indem die Resilienz im Lösungsentwurf gestärkt wird. Ein robuster Satz von Risikomanagementverfahren kann die operative Resilienz verbessern, obwohl kritische Funktionen bei einem einzelnen Drittanbieter konzentriert sind. Zu den Maßnahmen gehören die Ausführung auf modernster Infrastruktur, das Ausführen eines Zero-Trust-Sicherheitsmodells, das Patchen von Systemen mit den neuesten Updates, die Sicherstellung, dass Maßnahmen zur Geschäftskontinuität eingerichtet und bewährt wurden, die Bereitstellung modularer und Open-Source-Technologien (z. B. Container) usw. Jede dieser Faktoren trägt dazu bei, eine maximal resiliente Umgebung zu erhalten.
Die Begrenzung der Auswirkungen durch Verringerung der Konzentration auf niedrigeren Ebenen wird erreicht, indem Sie Ihre Dienste so entwerfen, dass sie über mehrere Verfügbarkeitszonen hinweg in einer Aktiv/Aktiv-Konfiguration ausgeführt werden. indem sichergestellt wird, dass genügend Redundanzen und Wiederherstellungsmechanismen vorhanden sind (für instance Sicherungen), und indem georedundante Designs genutzt werden. Solche Konfigurationen führen nicht nur zu einer höheren Resilienz und besseren SLAs, sondern tragen auch dazu bei, Bedrohungen wie dem Verlust eines einzelnen Rechenzentrums oder sogar einer ganzen Region aufgrund ihrer verteilten Natur zu entschärfen. Die Auswirkungen von Bedrohungen können reduziert werden, wodurch auch das Konzentrationsrisiko reduziert werden kann, in einigen Fällen sogar über das hinausgehen, was in lokalen oder hybriden Szenarien machbar ist.
Wenn eine vollständige Cloudtopologie im Vergleich zu Alternativen eine höhere Resilienz bietet, wird das Konzentrationsrisiko auch effektiv reduziert, obwohl die Konzentration selbst nicht verringert wird. Dieses Ergebnis kann sowohl akzeptabel als auch wünschenswert sein.
Es wird empfohlen, dieses Betriebsmodell in eine Unternehmenscloudrichtlinie zu integrieren, da diese Geschäfts- und IKT-Teams Anleitungen dazu bietet, welche Topologie für eine organization bevorzugt ist und welche Elemente bei ihrem Lösungsentwurf berücksichtigt werden sollten. Ein weiterer Grund, dies in Betracht zu ziehen, ist, dass strategische Allianzen häufig mit einem oder mehreren Cloudanbietern für die Bereitstellung von IKT-Drittanbieterdiensten geschlossen werden und Ansätze zum Management der damit verbundenen Risiken häufig auf einer höheren Ebene verwaltet werden.
Schritt 4 – Entwerfen für Resilienz
In dieser Phase beginnen Ihre ITK-Technologie-, Sicherheits- und Betriebsteams, tief in den Lösungsentwurf einzutauchen, indem sie die Schlussfolgerungen und Anforderungen von früheren in einzelne Benutzerfälle integrieren.
ICT Teams müssen sicherstellen, dass sie Anwendungen so konfigurieren und entwerfen, dass sie standardmäßig sicher und resilient sind. Dies bedeutet, dass Lösungen zuverlässig, sicher und frei von Single Points of Failures sind und verfügbarkeitszonen potenziell genutzt werden können, um Wiederherstellungszeitziele (Recovery Time Objectives, RTOs), Recovery Point Objectives (RPOs) und ServiceLevels (SLAs) entsprechend den Anforderungen des Unternehmens festzulegen. Das Implementieren von Sicherungen bei Bedarf, das Aktualisieren von Geschäftskontinuitäts- und Exitplänen ist ebenfalls Teil des Prozesses.
Wenn Sie versuchen, die End-to-End-SLAs mit Microsoft-Cloudtechnologie zu maximieren, sollten Sie sich unsere SLAs für Microsoft Online Services ansehen. Sie werden feststellen, dass SLAs je nach Dienst variieren und von den Entwurfsentscheidungen des Kunden abhängig sind, mit höheren SLAs für Bereitstellungen über mehrere Verfügbarkeitszonen hinweg. Durch die Wahl des richtigen Designs erreichen Kunden möglicherweise eine SLA mit monatlicher Verfügbarkeit von 99,999 % in der Cloud.
Das Sicherstellen eines starken und standardmäßig sicheren Designs ist keine einfache Aufgabe, und es besteht das Risiko, dass IKT-Teams bei ihrer Implementierung Schwachstellen hinterlassen oder Fehler machen. Aus diesem Grund bieten wir Anleitungen zu bewährten Methoden bei der Bereitstellung in der Microsoft-Cloud.
SaaS-Dienste wie Microsoft 365 und Dynamics 365 wurden von Grund auf entworfen, um die Resilienz zu maximieren und die Unterbrechung dieser Clouddienste zu minimieren. Wir verfügen über integrierte Redundanzen für Dienste wie Exchange, SharePoint, OneDrive, Teams & Microsoft Entra und gestalteten den Dienst so, dass er mit mehreren Abstraktionsebenen zwischen den Hardware- und Rechenzentrumsebenen arbeiten kann. Details dazu finden Sie in unserer Service Assurance-Dokumentation hier unter Microsoft Compliance.
Wir bieten auch Anleitungen zum Bereitstellen von Ransomware-Schutz für Ihren Microsoft 365-Mandanten durch Nutzung der integrierten Versionsverwaltungs- und Wiederherstellungsfunktionen von Microsoft 365. Wenn dies richtig konfiguriert ist, kann dies für Ihre Organisationen ausreichend sein, aber viele große Unternehmen möchten über Funktionen verfügen, um jeden Incident – einschließlich Ransomware-Angriffen – auf präzisere Weise wiederherzustellen und längere Zeiträume zu überschreiten. Dies ist der Ort, an dem Microsoft 365-Sicherungen enthalten sind, die eine schnelle Wiederherstellung mit häufigen Wiederherstellungspunkten und schnellen Massenwiederherstellungszeiten ermöglichen. Es ist sowohl als Microsoft-Dienst als auch über einige Partner verfügbar, die möglicherweise zusätzliche Features anbieten, um Ihren Anforderungen gerecht zu werden. Hier finden Sie anerkannte Partnerlösungen, die auf der Microsoft 365-Backup Storage-Plattform basieren. In diesem Whitepaper erfahren Sie auch, wie Sie eine Entscheidung für die Beschaffung einer Sicherungslösung treffen. Lösungen, die ausschließlich auf einer exportierten Kopie Ihrer Microsoft 365-Daten basieren, haben Schwierigkeiten, eine ausreichende Wiederherstellungszeitleistung bereitzustellen, damit Sie nach einem Ereignis, das sich auf die Resilienz auswirkt, den Geschäftsbetrieb wieder herstellen können. Bitte berücksichtigen Sie die Leistung der von Ihnen beschafften Lösung sorgfältig, damit Sie die DORA-Anforderungen am besten erfüllen können.
Die Dinge können komplex werden, wenn eine Lösung auf Azure (IaaS) basiert. Daher wurde das Microsoft Azure Well-Architected Framework von Microsoft erstellt, um zusätzliche Anleitungen zum Entwerfen von Zuverlässigkeit und Sicherheit bereitzustellen. Microsoft bietet Ressourcen, um Unternehmen bei der Implementierung von Szenarien mit hoher Resilienz zu unterstützen, einschließlich einer Übersicht über die Azure-Zuverlässigkeit, der Übersicht über die Azure-Sicherheit und der Überprüfung der Konzepte von Azure Verfügbarkeitszonen und Regionen. Weitere Aspekte, die zu berücksichtigen sind, sind die Schaffung von erstklassigen Betriebsabläufen und in geringerem Umfang die Optimierung von Kosten und Leistung.
Daher muss viel Aufmerksamkeit auf die Gesamtsicherheit gehen, insbesondere in den Finanzdienstleistungen. Es wird empfohlen, unsere Sicherheit im Microsoft-Cloud Adoption Framework für Azure zu bewerten. Darin finden Sie grundlegende Prinzipien und praktische Anleitungen dazu, wie Sie die heutigen Cybersicherheitsbedrohungen in unserer Cloud am effektivsten behandeln können. Es enthält auch Links zu Referenzarchitekturen und Sicherheitsbaselines für verschiedene Anwendungsfälle.
Schließlich sollten IKT-Teams Cloudressourcen auf eine Weise bereitstellen, die alle regulatorischen und internen Richtlinienanforderungen erfüllt. Azure Governance unterstützt Unternehmen bei der Implementierung dieser regulatorischen und internen Kontrollanforderungen, indem sie solche Richtlinien für Azure-Cloudressourcen erzwingt. Darüber hinaus können Unternehmen unsere Einführung in Azure Hybrid und Multicloud lesen, die bei der Unterstützung von Hybrid- und Multicloudbereitstellungen hilft.
Schritt 5: Testen des Geschäftskontinuitätsplans
Der Prozess der Geschäftskontinuitätsplanung und -tests ist in regulierten BSIs gut etabliert. Der Schwerpunkt in diesem Schritt liegt auf der Bewertung der Auswirkungen, die zu einer Unterbrechung des Outsourcings von Drittanbietern (Verwendung der Microsoft-Cloud) auf diesen Prozess führen können. Ein gutes Beispiel für Tests ist in Artikel 26 Prüfung der IKT-Geschäftskontinuitätspläne des DORA-Entwurfs RTS für IKT-Risikomanagement-Tools Methoden Prozesse und Richtlinien behandelt.
Es gibt einen Aspekt der gemeinsamen Verantwortung dafür, und unsere Microsoft-Übersicht über Resilienz und Kontinuität hilft Kunden bei der Vorbereitung auf Notfallszenarien. Es bietet spezifische Anleitungen für jeden Microsoft-Clouddienst, einschließlich der Vorgehensweise von Microsoft mit der Geschäftskontinuität für jeden Dienst und Anleitungen dazu, wie Kunden Microsoft-Clouddienste nutzen können, um sich auf Notfallereignisse vorzubereiten.
Die Geschäftskontinuität sollte bei der Verwendung von Microsoft Cloud regelmäßig von Finanzunternehmen getestet werden, da die Verantwortung dem Modell der gemeinsamen Verantwortung folgt. Für SaaS-Lösungen wie Microsoft 365 und für einige Azure-Dienste ist Microsoft dafür verantwortlich, diese Tests in regelmäßigen Abständen durchzuführen. Um weitere Erkenntnisse zu erhalten, können Kunden den vierteljährlichen Bericht zur Überprüfung des Plans für Geschäftskontinuität und Notfallwiederherstellung von Microsoft lesen, den Microsoft im Service Trust Portal im Abschnitt Geschäftskontinuität und Notfallwiederherstellung veröffentlicht, um weitere Einblicke in die Leistung bestimmter Microsoft-Clouddienste zu erhalten.
Schritt 6 – Vorbereiten von Exitplänen
Einige Bedrohungsszenarien können nicht mit Geschäftskontinuitätsplänen oder technischen Resilienzmaßnahmen verwaltet werden, z. B. mit dem Risiko eines Konkurses oder einer Auflösung des Drittanbieters. Ein Exitplan hat den Vorteil, dass es sich um solche katastrophalen Szenarien handelt, und sollte als Ergänzung zu getesteten Geschäftskontinuitätsplänen angesehen werden.
Aus diesem Grund sollte jeder organization eine allgemeine Exitstrategie und individuelle Exitpläne für seine kritischen Anwendungsfälle haben, da dies auf mehreren Vorschriften und zukünftigen Richtlinien basiert.
Abschnitt 3.7 der FSB-Konsultation vom 23. Juni bietet hilfreiche Hinweise auf Elemente einer Exitstrategie und Ausstiegspläne wie (i) vertraglich vereinbarte Übergangszeiträume, um das Risiko einer Unterbrechung zu minimieren; ii) Gewährleistung, dass logische und physische Ressourcen, einschließlich Daten und Anwendungen, kostengünstig und rechtzeitig zurückgegeben werden, und (iii) vertragliche Bestimmungen über den Besitz, die Wartung, die Aufbewahrung und die langfristige Verfügbarkeit von Aufzeichnungen nach Bedarf haben.
Dora Artikel 28 Absatz 8 verlangt auch, dass Unternehmen Exitstrategien für IKT-Dienste entwickeln, die kritische oder wichtige Funktionen unterstützen. Ebenso enthält die aufsichtsrechtliche Erklärung SS2/21 der britischen PRA zum Outsourcing und Risikomanagement von Drittanbietern vom März 2021 eine umfassende Beschreibung der Anforderungen an die Exitplanung in Abschnitt 10 und führt auch das Konzept der stressierten Ausgänge ein. Finanzunternehmen in diesen Ländern müssen diese Leitlinien bewerten und angemessene vertragliche Vereinbarungen treffen, die die Durchführung dieser Bestimmungen unterstützen können, für instance obligatorische Übergangsfristen vorzuschreiben, in denen IKT-Drittanbieter weiterhin relevante Dienstleistungen erbringen (Beispiel: DORA-Artikel 30.3.f verweist auf die vertragliche Festlegung einer verbindlichen angemessenen Übergangsfrist).
In einem technischen Dokument, das der Europäische Bankenverband im Juni 2020 verfasst hat, werden einige der Möglichkeiten beschrieben, wie das Testen des Exitplans für Finanzinstitute im Einklang mit den EBA-Richtlinien erreicht werden kann.