top of page
Suche

Fragen und Antworten zur Nutzung der Microsoft Cloud als Finanzdienstleister in Luxemburg

Aktualisiert: 28. Juli 2023

Im Rahmen unserer Tätigkeit als Resource Operator für Vermögensverwalter, AIFMs und KVGen und weiteren Finanzmarktteilnehmern in Luxemburg stellen sich unseren Kunden häufig die gleichen Fragen bei der Planung der Migration in die Microsoft Cloud.

Zu diesem Zweck haben wir eine Liste häufiger Fragen und deren Antworten erstellt, die Ihnen den Zugang zur Microsoft Cloud als Finanzdienstleister in Luxemburg erleichern soll.

Wenn Sie die nächsten Schritte gehen möchten, zögern Sie nicht uns unter Kontakt | IT4Funds zu kontaktieren. Wir unterstützen Sie dabei gerne!

Ist die Nutzung von Microsoft Cloud Services für Finanzdienstleister in Luxemburg gestattet?
  • Ja, die vollumfängliche Nutzung der Microsoft Cloud Services zur Erbringung von Finanzdienstleistungen in Luxemburg ist gestattet.

Welche CSSF Rundschreiben finden Anwendung?

Circular 22/806 setzt die EBA-Leitlinien zu Outsourcing-Vereinbarungen (EBA/GL/2019/02 oder EBA-Leitlinien) um und ergänzt sie. Die spezifischen Anforderungen für das ICT-Outsourcing an Microsoft sind in Teil II, Kapitel 2 des Circulars enthalten. Diese Anforderungen gelten dann, wenn die genutzten Microsoft Dienste, allen so genannten NIST-Kriterien:

  1. "on-demand self-service",

  2. "broad network access",

  3. "resource pooling",

  4. "rapid elasticity",

  5. "measured service",

  6. "no unmonitored/uncontrolled access to data by the cloud computing service provider"

  7. "no manual interaction by the cloud computing service provider")

entsprechen.

ICT-Outsourcings, die diese Kriterien nicht erfüllen oder bei denen der Cloud-Service-Anbieter auch der Ressourcenbetreiber ist, ohne dass diese Aktivitäten angemessen getrennt sind, unterliegen anderen Regelungen (Teil II, Kapitel 1 des Circulars).

Das Circular ist unabhängig davon anwendbar, ob der Cloud-Computing-Service-Anbieter in Luxemburg oder in einem Drittland ansässig ist.

Eine öffentlich verfügbare Kopie des Circulars findet man unter:


CSSF 22/806 muss stets in Verbindung mit anderen relevanten rechtlichen Bestimmungen gelesen werden. Folgende Referenzen sind zu nennen:

  • Artikel 36-2, 37-1(5) des Financial Sector Act von 1993

  • Artikel 11(4) oder 24-7(4) des Payment Services Act von 2009

  • CSSF Circular 12/552 für Kreditinstitute

  • CSSF Circular 20/750 zu den Anforderungen an das ICT- und Sicherheitsrisikomanagement, das die EBA-Richtlinien zu ICT (EBA/GL/2019/04) umsetzt

  • CSSF Circular 20/758 für Wertpapierfirmen

Für wen gilt also CSSF 22/806 beim Thema Microsoft Cloud Services (ICT-Outsourcing)?
  • Kreditinstitute, einschließlich ihrer Zweigstellen, im Sinne des Financial Sector Act 1993.

  • Wertpapierfirmen, einschließlich ihrer Zweigstellen, im Sinne des Financial Sector Act 1993.

  • Zahlungsinstitute und elektronische Geldinstitute, einschließlich ihrer Zweigstellen, im Sinne des Payment Services Act 2009.

  • Andere Finanzmarktteilnehmer (PFS), einschließlich ihrer Zweigstellen, im Sinne des Financial Sector Act 1993.

  • Investmentfondsmanager im Sinne des CSSF Circular 18/698.

  • UCITS gemäß Teil I des UCITS-Gesetzes.

  • Zentrale Gegenparteien (CCPs) im Sinne der EMIR-Verordnung (EU) 648/2012.

  • Genehmigte Veröffentlichungsstellen (APAs) mit einer Ausnahmeregelung und autorisierte Berichtsmechanismen mit einer Ausnahmeregelung im Sinne des Financial Sector Act 1993.

  • Zentrale Wertpapierverwahrer (Central Securities Depositories, CSDs) im Sinne der CSDR-Verordnung (EU) 909/2014.

  • Critical-Benchmark-Administrators im Sinne der Benchmark-Verordnung (EU) 2016/1011

Übrigens: Beiträge wie diesen finden Sie regelmäßig in unserem Blog!
Ist die vorherige Genehmigung der Outsourcing-Beziehung zu Microsoft erforderlich?

Nein.


Im Falle von kritischem oder wichtigem ICT-Outsourcing, welches zu Microsoft

ausgelagert werden soll, ist eine vorherige Benachrichtigung an die CSSF erforderlich.


Diese Benachrichtigung muss in der Regel mindestens drei Monate vor dem geplanten Outsourcing erfolgen.

Agiert ein PSF in Luxemburg jedoch als so genannter "Resource Operator" zwischen Microsoft und Ihrem Unternehmen, so verkürzt sich die Benachrichtigungszeit auf einen Monat.

Das Benachrichtigungsformular muss zu Beginn des Projekts ausgefüllt und elektronisch an die CSSF übermittelt werden. Link zum Formular:

  • Notification of critical or important ICT outsourcing – CSSF

Was bedeutet "kritisch", oder "wichtig", in diesem Fall?

Wenn ein Defekt oder ein Ausfall der IT-Infrastruktur sich wesentlich auf Folgendes auswirken würde:

  • Die fortlaufende Einhaltung der Zulassungsvoraussetzungen Ihres Unternehmens in Luxemburg und/oder anderer rechtlicher und aufsichtsrechtlicher Verpflichtungen

  • Die finanzielle Leistungsfähigkeit Ihres Unternehmens

  • Die Solidität oder Kontinuität Ihrer Dienstleistungen und Aktivitäten

  • Wenn operative Aufgaben der internen Kontrollfunktionen, der Finanz- und Buchhaltungsfunktion sowie der Kerngeschäftsaktivitäten ausgelagert werden

  • Wenn Kreditinstitute und Zahlungsinstitute beabsichtigen, Funktionen von Bankaktivitäten oder Zahlungsdiensten auszulagern, die eine Genehmigung durch die CSSF erfordern würden

Müssen spezielle vertragliche Anforderungen beim Outsourcing an Microsoft erfüllt werden?

Kurz gesagt: Ja.

Es ist ratsam, eine Liste zu erstellen und zu dokumentieren, welche vertraglichen Anforderungen laut 22/806 erfüllt sein müssen und wo diese im Microsoft Service Vertrag zu finden sind.



Sie benötigen Unterstützung bei der Einführung von MS365 oder wünschen ein generelles Gespräch zur Beurteilung der Möglichkeiten für Ihr Unternehmen? Melden Sie sich unter Kontakt | IT4Funds bei uns!


Aktuelle Beiträge

Alle ansehen

Comments


bottom of page