FINMA-Leitfaden Cloud-Services: Aktualisierung für KMU-Banken und Versicherungen

Die FINMA hat im April 2026 eine aktualisierte Fassung ihres Rundschreibens zur Auslagerung kritischer Funktionen publiziert. Der Kernpunkt für Microsoft-Cloud-Nutzer: Azure Schweiz Nord ist als Zielregion für regulierte Workloads jetzt expliziter genannt — inklusive Azure OpenAI und Azure Managed HSM.

Was konkret erleichtert ist

Kleine und mittlere Schweizer Banken sowie Versicherungen ohne globale IT-Abteilung profitieren am meisten. Bisher war für viele Managed-Service-Komponenten eine individuelle Risiko-Bewertung Standard — jetzt genügt der Nachweis, dass der Dienst in der Schweizer Region läuft und unter die aktuellen Sovereign-Attestierungen fällt. Das reduziert die regulatorische Compliance-Arbeit um Tage pro Projekt.

Was unverändert bleibt

Die Risiko-Bewertung für Auslagerungen grundsätzlich, die Exit-Strategie-Dokumentation, und die Kontrolle über Service-Levels. Das Rundschreiben erleichtert den Cloud-Zugang, es ersetzt nicht die Eigenverantwortung. Neue ‹Critical Third-Party Provider›-Regeln aus der EU-DORA-Regulation sind in der Schweizer Fassung nicht identisch — wer für beide Räume Geschäft macht, muss den Unterschied kennen.