THINK Blog DACH

Digital Operational Resilience Act (DORA): IBM ist für die Umsetzung bereits heute bestens aufgestellt
By | Senior Cloud Compliance Advisor, IBM Deutschland GmbH
May 02, 2022

Das Cloud-Angebot der nächsten Generation sollte den Anforderungen von EU-Unternehmen und öffentlichen Organisationen – insbesondere in regulierten Branchen – entsprechen und ihnen die...

Das Cloud-Angebot der nächsten Generation sollte den Anforderungen von EU-Unternehmen und öffentlichen Organisationen – insbesondere in regulierten Branchen – entsprechen und ihnen die Möglichkeit geben, Workloads zu betreiben, die ihre kritischen Geschäftsprozesse unterstützen. IBM arbeitet unermüdlich daran, genau dies zu ermöglichen und Kunden bereits heute auf den Digital Operational Resilience Act (DORA) vorzubereiten.

IBM stellt Compliance-Posture-Management sicher, das auf die Anforderungen des Digital Operational Resilience Act abgestimmt ist

Liam Benham, Vice President for Government & Regulatory Affairs bei IBM Europa erläutert: „Regulierungsbehörden und Unternehmen können die Zukunft nicht steuern, aber sie können Entscheidungen treffen, die auch morgen zukunftssicher sind. Ein Beispiel dafür ist der von der Europäischen Kommission geplante Digital Operational Resilience Act für die Finanzindustrie, dessen Implikationen schon heute berücksichtigt werden können. IBM ist gut auf die kommenden Anforderungen aus dem Digital Operational Resilience Act vorbereitet, da wir bereits seit Jahren in den USA einem ähnlichen Gesetz unterliegen und durch die Federal Banking Agencies reguliert werden. Auch in Europa unterstützt IBM mit dem “IBM EBA Cloud Compliance Certificate” bereits seit Jahren Bankkunden bei der Einhaltung der EBA-Outsourcing-Vorgaben. Diese Vertragsergänzung war der erste Ansatz dieser Art, zur Integration von Compliance-Anforderungen in unsere Verträge zur Nutzung der Cloud durch Kunden.“

Um auch weiterhin noch mehr Vertrauen und Synergieeffekte für den Finanzdienstleistungssektor zu schaffen, hat IBM als erster Cloud-Anbieter 2019 eine branchenspezifische Cloud für Finanzdienstleistungen entwickelt. Die IBM Cloud for Financial Services wurde initial in Zusammenarbeit mit der Bank of America entwickelt, um die besonderen Anforderungen der Branche in Bezug auf Cybersecurity und Einhaltung gesetzliche Vorschriften zu erfüllen sowie gleichzeitig die Vorteile und Flexibilität einer öffentlichen Cloud in einer sicheren Umgebung zu bieten.

Das Herzstück ist das Cloud for FS Control Framework, das es Finanzinstituten ermöglicht, ihre Verpflichtungen zur Einhaltung von Vorschriften und zum Risikomanagement mit einem umfassenden Satz vorkonfigurierter und branchenspezifischer Kontrollpunkte zu erfüllen. Bis zum Inkrafttreten des Digital Operational Resilience Act wird das Framewerk überprüft und bei Bedarf aktualisiert, damit alle Finanzinstitute, Softwarehersteller und FinTechs ihre Anwendungen und Workloads weiterhin in einer vertrauenswürdigen Cloud-Umgebung betreiben können.

Im IBM Financial Services Cloud Council kommen wiederum mehr als 90 Sachverständige aus über 60 Finanzinstituten zusammen, um gemeinsam die Kontrollpunkte zu überprüfen und zu ergänzen, die für den sicheren Umgang mit sensiblen Daten in der Cloud erforderlich sind. Dieses Expertennetzwerk – bestehend aus CIOs, CTOs, CISOs sowie Compliance- und Riskobeauftragten – hat sich zusammengefunden, um gemeinsam die Richtung der Cloud-Implementierung für geschäftskritische Workloads in diesem stark regulierten Sektor mitzugestalten und voranzutreiben.

Vor Kurzem hat dieser Council ein branchenbezogenes Cloud-Metrikenmodell entwickelt, das sich mit hybrider Multi-Cloud-Governance und Berichtswesen befasst. Dieser Satz von Metriken, der auf verschiedene Organisationsebenen ausgerichtet ist und sich auf die Anforderungen des Digital Operational Resilience Act für ICT Risk Management Framework und Governance ausdehnt, trägt dazu bei, ein ganzheitliches Bild für die Führung zu schaffen, um das Gesamtrisiko des Unternehmens zu verstehen.

Ausfallsicherheit als Mittel, nicht als Zweck

IBM ist sich bewusst, dass Kunden Anwendungen vor Ort und außerhalb des Unternehmens in verschiedenen Clouds in einem hybriden Modell ausführen, um einen geschäftlichen Nutzen mit maximaler Flexibilität zu erzielen. Die Entwicklung von Risiken und Ausfallsicherheit in der zunehmend digitalisierten Finanzdienstleistungslandschaft ist der Grund, warum IBM ihren Kunden die Möglichkeit bieten möchte, Cloud-Risiken und die Effektivität von Kontrollpunkten in einer Multi-Cloud- und Multi-Anbieter-Umgebung konsistent zu messen, zu reduzieren, zu überwachen und darüber zu berichten.

IBM ist fest entschlossen, die europäischen Kunden bei der Bewältigung der Herausforderungen des Cloud-Outsourcings gemäß den EBA Leitlinien zu Auslagerungen, des Digital Operational Resilience Act und dessen Ausführungsbestimmungen zu unterstützen. Mit Hilfe der Promontory Financial Group, einem IBM Unternehmen, werden kontinuierlich neue und sich weiterentwickelnde Regeln und Vorschriften überwacht, um ein zweckmäßiges Cloud-Risiko-Betriebsmodell sowie ein Compliance- und Risikomanagementsystem bereitzustellen.

Basierend auf den vorhandenen Funktionen in der IBM Cloud for Financial Services und dem kontinuierlichen Dialog und der Zusammenarbeit mit Finanzinstituten und Regulierungsbehörden im FS Council legt IBM großen Wert auf:

Stärkere Verfahren zum Schutz von Daten, einschließlich Datenverschlüsselungs- und Schlüsselmanagementverfahren

IBM bekennt sich zum Schutz der Daten ihrer Kunden durch technische Maßnahmen und begrüßt den Fokus auf Sicherheit, Ausfallsicherheit und Datenschutz im Rahmen des Digital Operational Resilience Act. IBM verwendet Verschlüsselung sowohl bei der Übertragung, als auch bei der Speicherung von Daten, indem sie Bring Your Own Key (BYOK)- und Keep Your Own Key (KYOK)-Technologien anbietet, die es den Kunden ermöglichen den Datenzugang zu schützen und zu kontrollieren. Darüber hinaus werden die “Daten bei der Verarbeitung” mit Hilfe von IBM Confidential Computing geschützt. Dies sorgt dafür, dass die Daten kontinuierlich verschlüsselt bleiben, auch wenn sie im Speicher durch Geschäftsanwendungen und -prozesse verarbeitet werden.

Sichere Bereitstellung von Cloud-Services an jedem beliebigen Ort, wobei die Daten das jeweilige Land nicht verlassen

Mit IBM Cloud Satellite bringt IBM die moderne Architektur der Public Cloud in den Finanzsektor. Mit einem erweiterten Set an Sicherheits-, Compliance- und Risikomanagement-Kontrollmechanismen können Finanzinstitute ihre Cloud-Services in jeder beliebigen Umgebung betreiben – vor Ort im eigenen Rechenzentrum oder über mehrere öffentliche Clouds hinweg. Für Kunden, die dies wünschen, bietet IBM außerdem die Option “Nur EU-Support” an. Diese stellt sicher, dass die Daten der Kunden in der EU gespeichert und verarbeitet werden und dass in der EU ansässige Mitarbeiter die Aktualisierungen vornehmen und für den Betrieb der Cloud-Services zuständig sind.

Europa braucht einen wettbewerbsorientierteren Markt, der Innovationen unterstützt, die Bindung an bestimmte Anbieter verhindert und die Datenübertragbarkeit fördert, um die digitale Transformation voranzutreiben. Da europäische Unternehmen zunehmend Cloud-Technologien einsetzen, müssen sie sich darüber im Klaren sein, dass eine übermäßige Abhängigkeit von Cloud-Services eines einzigen Anbieters und dessen Rechenzentren ein unangemessenes Risiko darstellen kann. IBM engagiert sich seit langem für Open-Source-Innovationen und spricht sich gegen eine Anbieterbindung und für eine Strategie mit mehreren Anbietern aus. Die Strategie von IBM hat stets Wahlfreiheit und Flexibilität unterstützt, die beide für den Erfolg der Kunden entscheidend sind.

Finanzinstitute in die Lage versetzen, verschiedene Kategorien von Risiken zu bewerten, die sich auf ihr Unternehmen auswirken

Die Unterstützung der europäischen Kunden bei der Implementierung geschäftskritischer Workloads mit einem hohen Maß an Sicherheit und die Erfüllung ihrer Anforderungen an Datensouveränität und die Einhaltung gesetzlicher Bestimmungen sind ein zentraler Bestandteil der Strategie von IBM.

Vor dem Hintergrund einer anspruchsvollen Regulierung und einer wachsenden Bedrohungslandschaft arbeitet IBM daran, sicherzustellen, dass die Kunden bei der sicheren Einführung von Cloud-Services ein Höchstmaß an Kontrolle haben und so eine schnelle Umsetzung gewährleisten können.

Da sich die Vorschriften weiterentwickeln, um den ständig steigenden Anforderungen an Datensicherheit und Datenschutz in einer digitalisierten Welt gerecht zu werden, bekennt sich IBM dazu, ihre Cloud-Technologien, -Prozesse und -Kontrollen kontinuierlich zu verbessern, um ihre Position als vertrauenswürdige Cloud-Anbieterin in der EU zu festigen.

Dieser Beitrag erschien zuerst auf Englisch.

Article Categories