Polnische Finanzaufsichtsbehörde (KNF)
Informationen zur KNF
Die polnische Finanzaufsichtsbehörde (Komisja Nadzoru Finansowego, KNF) ist die Aufsichtsbehörde für Finanzen in Polen, die den Finanzmarkt beaufsichtigt, was die Aufsicht über die Banken, Kapitalmärkte, Versicherungen, Pensionssysteme und E-Geld-Institute mit einschließt.
Die KNF handelt im Einklang mit der Europäischen Bankenaufsichtsbehörde (EBA), "einer unabhängigen EU-Behörde, die sich für eine wirksame und konsistente aufsichtsrechtliche Regulierung und Beaufsichtigung im gesamten europäischen Bankensektor einsetzt". Zu diesem Zweck veröffentlichte die EBA ihre Empfehlungen zum Outsourcing ab Cloud-Dienstanbieter, die einen umfassenden Ansatz für das Cloud Computing durch Finanzinstitute in der EU vorgaben.
Es gibt mehrere Voraussetzungen und Richtlinien, die Finanzinstitute in Polen beachten sollten, wenn sie ihre Geschäftsfunktionen und Daten in die Cloud verlagern:
- Das Banking Act von 1997 regelt Clouddienste nicht direkt, sondern legt stattdessen gesetzliche Anforderungen für das Outsourcing von Bankvorgängen fest, einschließlich der Art und Art der Verarbeitung personenbezogener Daten. Cloud-Dienste können den Bestimmungen des Kreditwesengesetzes unterliegen, wenn die ausgelagerten Dienste für die Bank von entscheidender Bedeutung sind oder wenn der Dienstanbieter im Rahmen des Outsourcing Zugriff auf vertrauliche Daten erhält, die unter das Bankgeheimnis fallen.
- Die 2017 von der KNF ausgegebene Ankündigung bietet eine detaillierte Checkliste und einen Aktionsplan für regulierte Institutionen, die beabsichtigen, Geschäftsfunktionen in die Cloud zu verlagern.
- Empfehlung D: Unter „Verwaltung der Informationstechnologie“ und „Sicherheit von ICT-Umgebungen in Banken“ werden die Erwartungen der KNF hinsichtlich eines umsichtigen IT-Sicherheitsmanagements durch Banken, insbesondere in Bezug auf das Risikomanagement, beschrieben. Die KNF gibt 22 Empfehlungen für optimale Sicherheitspraktiken und hat vergleichbare Richtlinien für Versicherungen, Wertpapierfirmen und Rentenversicherungsgesellschaften ausgegeben.
Darüber hinaus muss bei der Nutzung von Cloud-Diensten durch Finanzinstitute das polnische Datenschutzgesetz von 1997 beachtet werden, das bei der Verarbeitung personenbezogener Daten unabdingbar ist. Zur Anpassung an die DSGVO wurde es Ende 2018 durch das Gesetz zur Erleichterung der Geschäftstätigkeit geändert und trat am 1. Januar 2019 in Kraft.
Microsoft und die KNF
Um Finanzinstitute in Polen bei der Auslagerung von Geschäftsfunktionen in die Cloud zu unterstützen, hat Microsoft die Publikation Navigieren auf dem Weg in die Cloud: Eine Compliance-Checkliste für Finanzinstitute in Polen veröffentlicht. Durch das Überprüfen und Ausfüllen der Checkliste können Finanzorganisationen Microsoft Business Cloud Services mit der Gewissheit einführen, dass sie die geltenden gesetzlichen Anforderungen erfüllen.
Wenn Finanzinstitute in Polen Geschäftsaktivitäten in die Cloud auslagern, müssen sie die Anforderungen des Kreditwesengesetzes von 1997 und der Ankündigung der KNF von 2017 hinsichtlich der Nutzung von Datenverarbeitungsdiensten in der Cloud erfüllen, die beide zu den umfangreichen politischen Rahmenbedingungen der Europäischen Bankaufsichtsbehörde gehören. Darüber hinaus müssen Finanzunternehmen, die Cloud-Dienste verwenden, die auf die DSGVO abgestimmten Ergänzungen von 2018 des Datenschutzgesetzes von 1997 erfüllen.
Die Microsoft-Checkliste unterstützt polnische Finanzunternehmen bei der Durchführung von Due-Diligence-Prüfungen von Microsoft Business Cloud Services und umfasst:
- Eine Übersicht über die aufsichtsrechtliche Landschaft für den Kontext.
- Eine Checkliste, welche die zu behandelnden Probleme darlegt und die Dienste von Microsoft Azure, Microsoft Dynamics 365 und Microsoft 365 den regulatorischen Verpflichtungen zuordnet. Die Checkliste dazu verwendet werden, die Compliance anhand eines regulatorischen Rahmens zu messen und eine interne Struktur für die Dokumentation der Compliance bereitzustellen; sie kann Kunden auch bei der Durchführung ihrer eigenen Risikobewertungen von Microsoft Business-Clouddiensten unterstützen.
In Microsoft eingeschlossene Cloudplattformen und -Dienste
Implementierung
- Compliance-Checkliste: Polen: Finanzunternehmen können sich bei der Durchführung von Risikobewertungen von Microsoft Business Cloud Services unterstützen lassen.
- Finanzielle Anwendungsfälle: Verwenden Sie Fallübersichten, Lernprogramme und andere Ressourcen, um Azure-Lösungen für Finanzdienstleistungen zu entwickeln.
- Datenschutz in Microsoft-Cloud: Informieren Sie sich über die Datenschutzgrundsätze und -standards von Microsoft sowie über die Datenschutzgesetze in Polen.
Häufig gestellte Fragen
Ist eine behördliche Genehmigung erforderlich?
Nein. Wenn der Diensteanbieter jedoch außerhalb des Europäischen Wirtschaftsraums (EWR) ansässig ist oder ausgegliederte Vorgänge außerhalb des EWR durchgeführt werden sollen, müssen die Banken nach dem Kreditwesengesetz von 1997 vor Abschluss der Verträge eine Genehmigung bei der KNF einholen.
Gibt es verbindliche Bedingungen, die in den Vertrag mit dem Cloud-Dienstanbieter aufgenommen werden müssen?
Ja. Teil 2 der Microsoft-Checkliste (Seite 77) enthält eine umfassende Liste der Voraussetzungen, die in Verträge mit Cloud-Dienstanbietern aufgenommen werden sollten.