07.02.2020: IKT-Risiken rücken in den Fokus der Aufsicht.

Keyboard mit Schloss, IKT-Risiken

Finanzinstitute verarbeiten sensible Daten ihrer Kunden und setzten dafür Informations- und Kommunikationstechnologien (IKT) ein, um Datentransfers schneller zu realisieren. Entlang der gesamten Wertschöpfungskette sollen die Geschäftsprozesse eines Institutes durch die Digitalisierung und Automatisierung effizienter gestaltet werden. Dies birgt wiederum neue Risiken. Die zunehmende Digitalisierung im Finanzsektor sowie die verstärkte Vernetzung zwischen Finanzinstituten und weiteren Akteuren machen Finanzinstitute anfälliger für Cyber-Angriffe und IT-Sicherheitsvorfälle, die ihre Existenz potenziell gefährden können. Die Angriffe auf IKT-Systeme von Instituten in der jüngsten Vergangenheit machen deutlich, wie verwundbar IKT-Infrastrukturen sind.

Der Umgang mit Informationssicherheitsrisiken ist in den letzten Jahren mehr in den Fokus der Aufsicht gerückt. Europäische Leitlinien zum aufsichtlichen Überwachungsprozess (EBA/GL/2017/05) und direkt für Zahlungsdienstleiter (EBA/GL/2017/17) sowie nationale Vorschriften (MaRisk, BAIT) fordern bereits ein professionelles Informationssicherheits-Risikomanagement im Finanzsektor.

Um die Anforderungen an die IKT-Sicherheit auf europäischer Ebene zu harmonisieren und weiterzuentwickeln, war die Europäische Bankenaufsichtsbehörde (EBA) gezwungen, ihre bisherigen Leitlinien für Sicherheitsmaßnahmen bei Betriebs- und Sicherheitsrisiken nach PSD 2 (EBA GL/2017/17) zu überarbeiten. Am 28. November 2019 veröffentlichte die EBA ihre finalen Leitlinien zur Sicherheit und zum Risikomanagement der Informations- und Kommunikationstechnologie (EBA GL/2019/04). Die bisherigen Leitlinien (EBA GL/2017/17) sind vollständig in die neuen Leitlinien übernommen worden.

Inhalte der neuen Leitlinien zur Sicherheit und zum Risikomanagement der IKT

In den neuen Leitlinien legt die EBA Anforderungen für Kreditinstitute und Wertpapierfirmen im Sinne der Eigenkapitalrichtlinie (CRD) für all ihre Tätigkeiten fest sowie für Zahlungsdienstleister, die der überarbeiteten Zahlungsdiensterichtlinie (PSD 2) unterliegen, für deren Zahlungsdienste, wie sie mit ihren internen und externen Informationssicherheitsrisiken umgehen sollen und gleichzeitig mindern können.

 

Darüber hinaus wird die Erwartungshaltung der Bankenaufsicht in Bezug auf die folgenden Punkte konkretisiert:

  • Governance und Strategie: Es soll eine solide interne Governance und ein interner Kontrollrahmen errichtet werden, welche klare Verantwortlichkeiten für das Personal inkl. Leitungsorgan festlegen. Die IKT-Strategie muss konsistent zur Gesamtunternehmensstrategie formuliert sein. Auch bei Auslagerungen sollten Finanzinstitute die Wirksamkeit der risikomindernden Maßnahmen gemäß ihrem Risikomanagementrahmen sicherstellen.
  • IKT und Sicherheitsrisikomanagement Rahmenwerk: Finanzinstitute müssen aktuelle Verzeichnisse ihrer Geschäftsfunktionen, unterstützenden Prozesse und Informationsbestände führen und diese nach ihrer Kritikalität auf Grundlage der Vertraulichkeit, Integrität und Verfügbarkeit von Daten klassifizieren. Auf dieser Grundlage sollten Finanzinstitute die operationellen Risiken im Zusammenhang mit IKT und die Sicherheitsrisiken bewerten und bestimmen, welche Maßnahmen zur Minderung der ermittelten Risiken erforderlich sind.
  • Informationssicherheit: Es werden Anforderungen an die Durchführung wirksamer Informationssicherheitsmaßnahmen definiert, einschließlich der Einführung einer Informationssicherheitspolitik, der Festlegung, Durchführung und Prüfung von Informationssicherheitsmaßnahmen und der Errichtung eines Schulungsprogramms für alle Mitarbeiter und Auftragnehmer.
  • IKT-Operations Management: Es werden Grundsätze festgelegt, wie der IKT-Betrieb gesteuert werden soll. Dazu zählen auch die Implementierung von Protokollierungs- und Überwachungsverfahren für kritische IKT-Vorgänge, die Führung eines aktuellen Inventars der IKT-Assets sowie die Einführung von Sicherungsplänen und Wiederherstellungsverfahren. Die Finanzinstitute sollten außerdem Verfahren für das Störfall- und Problemmanagement einrichten und umsetzen.
  • IKT-Projekt- und Change Management: Es werden die Anforderungen an das IKT-Projektmanagement beschrieben, einschließlich der Beschaffung, Entwicklung und Wartung von IKT-Systemen und -Dienstleistungen. Zudem soll ein IKT-Change Managementprozess aufgesetzt werden, um sicherzustellen, dass alle Änderungen an den IKT-Systemen in kontrollierter Weise erfasst, getestet, bewertet, genehmigt, umgesetzt und überprüft werden.
  • Business Continuity Management: Finanzinstitute müssen IKT-Kontinuitäts- und Notfallpläne erstellen sowie Testprozesse dazu einrichten. Sie sollten sicherstellen, dass sie über wirksame Maßnahmen zur Krisenkommunikation verfügen, damit alle relevanten internen und externen Interessengruppen rechtzeitig informiert werden können.

Speziell für Zahlungsdienstleister beschäftigen sich die Leitlinien mit der Verwaltung ihrer Beziehungen zu den Nutzern von Zahlungsdiensten. Es soll sichergestellt werden, dass die Nutzer auf die mit den Zahlungsdiensten verbunden Risiken aufmerksam gemacht werden. Zudem sollen die Nutzer die Möglichkeit erhalten, bestimmte Zahlungsfunktionen ausstellen zu können.

Mit den neuen Leitlinien zur Sicherheit und zum Risikomanagement der IKT ist die EBA einen wegweisenden Schritt gegangen, um eine solide Grundlage für eine höhere Cyber-Resilienz im Finanzsektor zu schaffen.

Wie geht es weiter?

Die EBA-Leitlinien treten am 30. Juni 2020 in Kraft. Mit Inkrafttreten der Leitlinien wird die Vorgängerversion aufgehoben.

In Zukunft wird auf nationaler Ebene mit Novellierungen zu rechnen sein. Im Dezember 2019 kündigte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) an, dass sie die Veröffentlichung der finalen EBA-Leitlinien zum Anlass nimmt, die Bankaufsichtlichen Anforderungen an die IT (BAIT) zu überarbeiten. Es kristallisiert sich schon heute heraus, dass der Anwendungsbereich der BAIT auf die Zahlungsdienstleister ausgeweitet wird und dass ein Modul zum IT-Notfallmanagement hinzugefügt wird. Die Konsultation der BAIT ist für Sommer 2020 geplant.

impavidi unterstützt Sie bei der Bewertung und Steuerung Ihrer IKT-Risiken und begleitet Sie von der Strategieentwicklung bis zur Implementierung.

Quelle: EBA, BaFin


 

Zurück