Die Cloud Transformation & Regulatorik in Einklang bringen

Finanzdienstleister setzen vermehrt auf Cloud-Dienste, um ihre digitale Transformation voranzutreiben und neue Geschäftsmodelle zu entwickeln. Allerdings stehen sie vor der Aufgabe, regulatorische sowie Governance-, Risk- und Compliance-Anforderungen (GRC) zu erfüllen. Besonders die Informationssicherheit und Datensouveränität spielen hierbei eine wichtige Rolle. Der Digital Operational Resilience Act (DORA) verstärkt den Druck auf Finanzinstitute zusätzlich.  Denn dieser erfordert die enge Verzahnung der Outsourcing-Phasen mit dem Risikomanagement-Kreislauf sowie eine vollständige Transparenz über alle IT-Verträge.

Für Finanzinstitute gilt es, den Spagat zwischen dynamischer technischer Weiterentwicklung, hohen regulatorischen Anforderungen und laufenden IT-Transformationen zu schaffen.

Die Studie „Spannungsfeld Cloud Transformation & GRC - Durch den Einklang von Business, IT und Governance zur Cloud-Resilienz“ wirft einen umfassenden Blick auf die Hürden bei der Umsetzung von GRC in Verbindung mit dem Cloud Operating Model. Außerdem thematisiert sie die Voraussetzungen zur Steuerung von Cloud Governance und Cloud Security im Finanzdienstleistungssektor sowie die speziellen Anforderungen von DORA..

75 Prozent der befragten Finanzdienstleiter wollen ihre IT-Infrastruktur und Anwendungen auf Cloud-Technologien umstellen. Organisatorische und kulturelle Veränderungen erfordern eine enge Verzahnung der Outsourcing-Phasen mit dem Risikomanagement. Der Fokus rückt hier vermehrt auf die Widerstandsfähigkeit der Cloud-Landschaft. Jedoch bedingt eine resiliente Cloud konkrete Governance-Maßnahmen mit Fokus auf Sicherheitsmaßnahmen, wie Überwachung, Verschlüsselung und Zugriffssteuerung. Dabei hat die Hälfte der befragten Unternehmen (50 Prozent) Herausforderungen, die GRC-Anforderungen mit der Auslagerung in die Cloud zu harmonisieren.

Neue Technologien wie künstliche Intelligenz und integrierte GRC-Monitoring-Tools können dabei helfen. Dabei nutzen lediglich 45 Prozent der befragten Unternehmen dedizierte Cloud Monitoring und 43 Prozent IT Governance Dashboards. Eine umfassende und integrierte GRC-Management-Strategie ist entscheidend, um regulatorische Anforderungen zu erfüllen und gleichzeitig Geschäftsziele zu unterstützen.

Der Fachkräfte- und Expertenmangel ist auch im GRC-Umfeld festzustellen. Fachkräfte mit notwendigen Spezialkenntnissen im Compliance-Bereich sowie hinsichtlich DORA-spezieller Schwerpunkte, beispielweise im Informationsrisiko- und -sicherheitsmanagement, Notfallmanagement, IKT-Vorfallsmanagement und Drittparteienrisikomanagement, rar. Dabei ergeben sich bei rund jedem zweiten Unternehmen durch die Cloud-Transformation deutlich mehr Risiken, wie beispielweise die Offenlegung von vertraulichen Informationen oder die Störung der Business Continuity durch Cyber-Angriffe.

Hier empfiehlt sich bei der Identifikation struktureller Herausforderungen und Wissenslücken die Überprüfung der Governance- und Cloud-Strategie, um die richtigen Prioritäten zu setzen. Nur so kann das IT- und Cloud-Zielbetriebsmodell nachhaltig auf DORA vorbereitet werden.

Zusammenfassend lässt sich sagen, dass eine Modernisierung der technologischen Landschaft nur möglich ist, wenn Governance-Modelle und Prozesse den regulatorischen Anforderungen angepasst werden. Durch die Anwendung eines Navigationsplans wird es ermöglicht, komplexe Organisationsbausteine innerhalb des Zielbetriebsmodells zu identifizieren, Prozesse zur Verbesserung des Status quo zu priorisieren und Silos zu überwinden.