Die Finanzaufsichtsbehörde (AMF) und die Aufsichts- und Beschlussaufsichtsbehörde (ACPR) Frankreich

Über AMF und ACPR

DieFinanzbehörden (Autorité des Marchés Financiers, AMF)und dieAufsichtsbehörde (Autorité de Contrôle Prudentiel et de Résolution, ACPR) sind die primären Finanzaufsichtsbehörden in Frankreich. Als Börsenaufsichtsbehörde ist die AMF mit der Überwachung der Finanzmärkte und Wertpapierfirmen betraut. Die ACPR, eine unabhängige Verwaltungsbehörde der Zentralbank, die Banque de France, überwacht den Banken- und Versicherungssektor.

Die AMF und die ACPR handeln im Einklang mit der Europäischen Bankenaufsichtsbehörde (EBA), einer unabhängigen EU-Behörde, die sich für eine wirksame und konsistente Aufsicht und Beaufsichtigung im gesamten europäischen Bankensektor einsetzt. Zu diesem Zweck veröffentlichte die EBA ihre Empfehlungen zum Outsourcing ab Cloud-Dienstanbieter, die einen umfassenden Ansatz für das Cloud Computing durch Finanzinstitute in der EU vorgaben.

Es gibt mehrere Voraussetzungen und Richtlinien, die Finanzinstitute in Frankreich beachten sollten, wenn sie ihre Geschäftsfunktionen in die Cloud verlagern, darunter:

  • Die allgemeine AMF-Verordnung (Französisch und Englisch) legt Regeln und Verfahren zur Durchsetzung der Finanzgesetzgebung fest. Insbesondere legt Artikel 313-75 Bedingungen fest, die sich in Verträgen widerspiegeln müssen, die Finanzinstitute mit Cloud-Dienstanbieter eingehen.
  • ACPR veröffentlichte Die Risiken im Zusammenhang mit Cloud Computing (Französisch und Englisch), das Organisationen unter ACPR-Aufsicht ermutigt, geeignete Maßnahmen zur Risikosteuerung zu ergreifen, wenn sie Geschäftsfunktionen in die Cloud auslagern. Zusätzlich legt Artikel 239 in der ACPR-Verordnung vom 3. November 2014 über die interne Kontrolle von Unternehmen (Französisch) unter ACPR-Aufsicht auch verbindliche Bedingungen fest, die in Verträge mit Cloud-Dienstanbieter aufzunehmen sind.
  • In bestimmten Fällen müssen regulierte Institute die AMF und ACPR über wesentliche Outsourcing-Vereinbarungen informieren, insbesondere wenn sie das Potenzial haben, ihre Geschäftstätigkeit erheblich zu beeinträchtigen.
  • Als Datenschutzbehörde für Frankreich hat die CNIL (Commission Nationale de l'Informatique et des Libertés) zahlreiche Richtlinien für Cloud Computing herausgegeben, darunter Empfehlungen für Unternehmen, die Cloud Computing-Dienste nutzen wollen (Französisch und Englisch).

Microsoft und die AMF und ACPR

Um Finanzinstitute in Frankreich bei der Auslagerung von Geschäftsfunktionen in die Cloud zu unterstützen, hat Microsoft die Publikation Navigieren auf dem Weg in die Cloud: Eine Compliance-Checkliste für Finanzinstitute in Frankreich veröffentlicht. Durch das Überprüfen und Ausfüllen der Checkliste können Finanzorganisationen Microsoft Business Cloud Services mit der Gewissheit einführen, dass sie die geltenden gesetzlichen Anforderungen erfüllen.

Wenn Finanzinstitute in Frankreich Geschäftsaktivitäten in die Cloud auslagern, müssen sie die Anforderungen der französischen Finanzbehörde (AMF) und Aufsichtsbehörde (ACPR) im Rahmen des allgemeinen Richtlinienrahmen der Europäischen Bankaufsichtsbehörde (EBA) erfüllen. Insbesondere müssen sie Artikel 313-75 der Allgemeinen AMF-Verordnung sowie die ACPR-Richtlinien über Cloud-Computing-Risiken und ihre verbindlichen Anforderungen für Verträge mit Cloud-Dienstanbieter berücksichtigen.

Die Microsoft-Checkliste unterstützt französische Finanzunternehmen bei der Durchführung von Due-Diligence-Prüfungen von Microsoft Business Cloud Services und umfasst:

  • Eine Übersicht über die aufsichtsrechtliche Landschaft für den Kontext.
  • Eine Checkliste, welche die zu behandelnden Probleme darlegt und die Dienste von Microsoft Azure, Microsoft Dynamics 365 und Microsoft 365 den regulatorischen Verpflichtungen zuordnet. Die Checkliste dazu verwendet werden, die Compliance anhand eines regulatorischen Rahmens zu messen und eine interne Struktur für die Dokumentation der Compliance bereitzustellen; sie kann Kunden auch bei der Durchführung ihrer eigenen Risikobewertungen von Microsoft Business-Clouddiensten unterstützen.

In Microsoft eingeschlossene Cloudplattformen und -Dienste

Implementierung

  • Compliance-Checkliste: Frankreich: Finanzunternehmen können sich bei der Durchführung von Risikobewertungen von Microsoft Business Cloud Services unterstützen lassen.
  • Finanzielle Anwendungsfälle: Verwenden Sie Fallübersichten, Lernprogramme und andere Ressourcen, um Azure-Lösungen für Finanzdienstleistungen zu entwickeln.

Häufig gestellte Fragen

Ist eine behördliche Genehmigung erforderlich?

Die EBA-Veröffentlichung [Empfehlungen zur Auslagerung an Cloud-Dienstanbieter](https://eba.europa.eu/sites/default/documents/files/documents/10180/1848359/c1005743-567e-40fc-a995-d05fb93df5d1/Draft%20Recommendation%20on%20outsourcing%20to%20Cloud%20Service%20%20%28EBA-CP-2017-06%29.pdf /5fa5cdde-3219-4e95-946d-0c0d05494362) beschreibt einen umfassenden Ansatz für die Materialauslagerung durch Finanzinstitute in der EU. Außerdem müssen Finanzunternehmen in bestimmten Fällen die AMF oder ACPR über ihre Auslagerungsvereinbarungen informieren, wie auf den Seiten 8 und 9 der Checklistebeschrieben. Es ist zwar unwahrscheinlich, dass diese Umstände für die Verwendung von Microsoft-Clouddiensten zutreffen, finanzdienstleistungen sollten jedoch ihre Anwendbarkeit überprüfen, indem sie die Checkliste überprüfen.

Gibt es verbindliche Bedingungen, die in den Vertrag mit dem Cloud-Dienstanbieter aufgenommen werden müssen?

Ja. Artikel 239 der ACPR-Verordnung vom 3. November 2014und Artikel 313-75 der Allgemeinen AMF-Verordnunglegen Bedingungen fest, die sich in Verträgen widerspiegeln müssen, die Finanzinstitute mit Cloud-Dienstanbieter abschließen. Teil 2 der Microsoft-Checkliste (Seite 62) ordnet diese den Abschnitten in Microsoft-Vertragsdokumenten zu, in denen sie adressiert sind.

Ressourcen