Die zunehmende Digitalisierung und die Nutzung von Cloud-Diensten stellen Banken, Versicherungen und andere Finanzunternehmen vor neue Herausforderungen. Strenge Regulatorik wie die EU-Verordnung DORA (Digital Operational Resilience Act) setzt hohe Standards, um die Widerstandsfähigkeit von IT-Systemen sicherzustellen. Wie können Finanzunternehmen diese Anforderungen effizient umsetzen und gleichzeitig ihre Wettbewerbsfähigkeit steigern? Das EU-Forschungsprojekt „EMERALD“ bietet innovative Antworten.
Das Bestreben: Continuous Compliance
EMERALD verfolgt den Ansatz der Continuous Compliance. Basis dafür bilden der Entwurf des EUCS (European Cybersecurity Certification Scheme for Cloud Services) sowie der Kriterienkatalog C5 des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI C5:2020). Die Einführung eines kontinuierlichen und automatisierten Compliance-Managements hat das Ziel, die operative Effizienz zu steigern, Risiken zu reduzieren und die Einhaltung vielschichtiger regulatorischer Anforderungen zu erleichtern – was auch im Kontext von DORA eine wichtige und wertvolle Entwicklung darstellt. Anstatt auf periodisch durchgeführte Audits zu warten, die mitunter bereits veraltete Informationen widerspiegeln, setzen Unternehmen künftig vermehrt auf die Echtzeitüberprüfung von Zertifikaten und Sicherheitsstandards. Dafür kommen APIs (Application Programming Interfaces, übersetzt Programmierschnittstellen), hybride Multi-Cloud-Technologien und KI zum Einsatz.
Pilotprojekt mit CaixaBank und Fabasoft
Im hochregulierten Finanzsektor besteht angesichts der strengen Anforderungen ein besonderer Bedarf an einer kontinuierlichen Zertifizierung. Um jenen Ansatz voranzutreiben, beschäftigt sich eines der Pilotprojekte innerhalb von EMERALD mit der Continuous Compliance am Praxisbeispiel der CaixaBank, der drittgrößten spanischen Privatbank mit mehr als 20 Millionen Privatkunden.
Das Forschungsteam widmet sich dabei zentralen Herausforderungen wie der Sicherheit von Cloud-Kundendaten und der Festlegung von standardisierten Prozessen für die Cybersicherheitszertifizierung in Multi-Cloud-Umgebungen. Fabasoft adressiert dabei die spezifischen Anforderungen der CaixaBank, die ihre bestehenden On-Premises-Dienste um SaaS- und IaaS-Anwendungen erweitern möchte.
Die Erarbeitung einer Echtzeitbewertung soll es der Bank erlauben, für die Konformität von Cloud-Diensten mit definierten Sicherheitsstandards zu sorgen. Dadurch gelingt es, jene Services in die bestehende Infrastruktur zu integrieren und dabei Compliance-Vorgaben, etwa durch DORA oder den neuen, harmonisierten Cybersecurity-Anforderungskatalog EUCS auf der Zertifizierungsstufe „hoch“, verlässlich einzuhalten. Hierbei spielt das EMERALD-UI (User Interface, übersetzt Benutzerschnittstelle) eine entscheidende Rolle. Dieses umspannt den gesamten Audit-Prozess und unterstützt die Auditor:innen und Nutzer:innen bei der intuitiven Überwachung der Konformitätsstufen.
Fabasoft DORA: Digitalisierte Prozesse für Finanzunternehmen
Parallel dazu kommt im Pilotprojekt Fabasoft DORA zum Einsatz, um die regulatorischen Anforderungen der CaixaBank zu erfüllen. Die Software für digitales Auslagerungsmanagement ermöglicht es, alle relevanten Daten und Nachweise digital zu verwalten, automatisierte Risikobewertungen durchzuführen und den Compliance-Status jederzeit nachvollziehbar zu halten. Digitale Vorlagen für Lieferantenfragebögen und Workflows reduzieren den manuellen Aufwand erheblich und unterstützen die sichere Integration von Drittanbietern ins System.
Fazit: EMERALD als Wegbereiter
Mit dem im Finanzsektor angesiedelten Piloten demonstriert EMERALD, wie die Nutzung hybrider Multi-Cloud-Umgebungen sicher und effizient gelingen kann. Der Einsatz von Echtzeit-Compliance-Technologien leistet einen entscheidenden Beitrag, Finanzunternehmen für die Zukunft widerstands- und wettbewerbsfähiger zu machen.
Mehr Informationen zum EU-Forschungsprojekt EMERALD finden Sie in unserem Blogbeitrag: DORA: EU-Pilotprojekt
