Auslagerung von Cloud-Diensten: Erwartungen der EZB und bewährte Praktiken

Die Europäische Zentralbank (EZB) hat am 16. Juli 2025 die finale Fassung ihrer Leitlinien zur Auslagerung von Cloud-Diensten an Drittanbieter veröffentlicht. Ziel der Leitlinien ist es, die Erwartungshaltung der EZB gegenüber beaufsichtigten Instituten bei der Umsetzung der Anforderungen des DORA-Regelwerks zu konkretisieren und die Aufsichtspraxis zu harmonisieren. Die Leitlinien basieren auf der öffentlichen Konsultation vom Juli 2024 und enthalten zusätzliche Beispiele für bewährte Praktiken, die auf Erfahrungen aus der laufenden Aufsicht und dem Dialog mit der Branche beruhen.

Keine neuen Pflichten - aber klare Erwartungen

Wie andere Leitlinien der EZB stellen auch diese keine rechtsverbindlichen Vorschriften dar, sondern erläutern, wie Institute die bestehenden regulatorischen Anforderungen - insbesondere gemäß DORA, CRD und begleitender delegierter Rechtsakte - in die Praxis umsetzen sollten.

Die EZB betont dabei:

• die zunehmende Verlagerung von internen IT-Ressourcen hin zu Cloud-Diensten,

• die aus Sicht der Aufsicht bestehenden Schwächen in der Auslagerungspraxis,

• sowie die strategische Bedeutung von Drittanbieter- und IKT-Risiken für die operationelle Resilienz der Institute.

Die Kernthemen der Leitlinien im Überblick

Governance und Strategie

Die EZB erwartet, dass Institute die Nutzung von Cloud-Diensten in ihre strategische IKT-Governance einbetten. Dazu gehört:

• eine klare Verantwortlichkeitsverteilung,

• eine umfassende Risikoanalyse vor Vertragsabschluss,

• sowie die Kohärenz zwischen Cloud-Strategie und Gesamtstrategie des Instituts.

Gute Praxis: Einrichtung eines institutsinternen Cloud-Governance-Komitees mit Einbindung von Risiko- und Compliance-Funktionen.

Verfügbarkeit und Resilienz

Im Falle schwerwiegender Betriebsstörungen müssen Institute handlungsfähig bleiben. Deshalb erwartet die EZB:

• eine vollständige Einbindung von Cloud-Diensten in die IKT-Notfallplanung,

• eine kritische Prüfung der Disaster-Recovery-Pläne des CSP (Cloud Service Provider),

• sowie sicherstellenden Zugriff auf relevanten Daten bei Ausfällen.

Gute Praxis: Regelmäßige Krisensimulationen zur Überprüfung der Cloud-Resilienz.

Sicherheit und Datenintegrität

Die EZB verweist auf die Anforderungen gemäß Art. 9 und 28 (5) DORA sowie Art. 11 der Delegierten Verordnung (EU) 2024/1774. Beaufsichtigte Institute müssen:

• Daten umfassend verschlüsseln (bei Übertragung, Speicherung und ggf. Nutzung),

• Zugriffsrechte strikt kontrollieren,

• und Standorte der Datenspeicherung begrenzen und überwachen.

Gute Praxis: Einsatz risikobasierter Klassifizierungsmodelle für Daten und differenzierte Verschlüsselungsstrategien.

Exit-Strategien und Kündigungsrechte

Für alle kritischen oder wichtigen Funktionen erwartet die EZB:

• vordefinierte Exit-Strategien, inklusive Rollen, Kosten und Übergangsfristen,

• verbindliche vertragliche Regelungen zur Kündigung und zur Datenmigration.

Gute Praxis: Durchführung geplanter Exit-Simulationen zur Vorbereitung auf Anbieterwechsel.

Überwachung, Monitoring und interne Audits

Beaufsichtigte Institute sind verpflichtet, ein wirksames IKT-Risikomanagement umzusetzen, insbesondere in Bezug auf Drittanbieter. Dazu gehören:

• laufendes Monitoring von Leistungskennzahlen und Risiken,

• vertragliche Regelungen zur Meldepflicht bei Sicherheitsvorfällen,

• sowie die EInhaltung des Drei-Linien-Modells gemäß Art. 6 (4) DORA.

Gute Praxis: Integration aller CSPs in das interne Prüfungsuniversum mit risikoorientierten Prüfplänen.

Quelle / Eckdaten