Die Covid-19 Pandemie hat zum einen der Digitalisierung in der Finanzindustrie einen weiteren Schub verliehen, zum anderen hat sich dadurch aber auch die Cyber-Bedrohungslage dauerhaft erhöht. Somit ist die IT-Sicherheit auch zukünftig ein Themenkomplex mit hoher Bedeutung und weiterhin im Fokus der aufsichtlichen Überprüfungen.
Dabei werden 2 große Handlungsfelder gesehen:
- Digitale Resilienz
- Auslagerungsmanagement und Dienstleistersteuerung
Dies wird durch Erkenntnisse und identifizierte wesentliche Mängel aus IT-Prüfungen untermauert, welche sich auch mit unseren Erfahrungen decken:
- Mängel bei Auslagerungen und sonstigem Fremdbezug von IT-Dienstleistungen (21%),
- wesentliche Mängel im Informationsrisikomanagement (17%),
- wesentliche Mängel im Informationssicherheitsmanagement (16%) und
- wesentliche Mängel im Identitäts- und Rechtemanagement (13%).
Darüber hinaus erwarten die Aufseher von den Instituten ein proaktives Handeln, um den Risiken zu begegnen, was bisher nicht immer der Fall ist.
Um den wesentlichen Herausforderungen zu begegnen, wurden mehrere Regulierungsvorhaben bereits auf den Weg gebracht u.a. mit dem Ziel, die digitale Resilienz zu erhöhen und das Bewusstsein für Sicherheitsaspekte auch im Bereich der Auslagerungen zu stärken.
Auf EU-Ebene wird derzeit an der Finalisierung des Digital Operational Resilience Acts (DORA) gearbeitet, mit dem das IKT Risikomanagement harmonisiert werden soll. DORA ist ein wesentlicher Baustein des Digital Finance Packages der EU-Kommission. Ziel des Regulierungsvorhabens ist die Erhöhung der Wettbewerbsfähigkeit, die Förderung von Innovationen sowie die Stärkung der Widerstandsfähigkeit des europäischen Finanzmarkts.
DORA beinhaltet dabei die Elemente Governance und IKT-Risikomanagement-Rahmenwerk, Vereinheitlichung und Ausweitung der Meldepflichten von schwerwiegenden IKT-Vorfällen für den gesamten Finanzsektor sowie einen europäischen Überwachungsrahmen für kritische IKT-Drittdienstleister. Der Anwendungsbereich von DORA umfasst Kreditinstitute und Zahlungsdienstleister, Erst- und Rückversicherer und Wertpapierfirmen sowie E-Geld-Institute, Zentralverwahrer (CSDs) und „Kryptoverwahrer“, Zentrale Gegenparteien und Handelsplätze. Weitere Details zu den Inhalten von DORA finden Sie in unserem Blog.
Auf nationaler Ebene ermöglicht das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) der Aufsicht nun einen direkten Zugriff auf IT-Dienstleister von Kreditinstituten. Mithilfe der neu eingeführten Anzeigepflicht sollen auch mögliche Risikokonzentrationen in der Nutzung von Mehrmandantendienstleister identifiziert werden. Des Weiteren wurden die wesentlichen Inhalte der EBA Leitlinien für das Management von IKT- und Sicherheitsrisiken auch in den am 16.08.2021 veröffentlichten Novellen der MaRisk, BAIT und ZAIT aufgegriffen. Details hierzu können Sie unseren Blog-Beiträgen entnehmen. (MaRisk, BAIT, ZAIT)
Die Aufsicht kommt insgesamt zu folgendem Fazit: „IT-Sicherheit muss bei jedem Institut Top Priorität haben“ und dass die Begegnung der IT-Sicherheitsrisiken kein kurzer Sprint sei, sondern ein Dauerlauf in hohem Tempo.
RFC Professionals begleitet ihre Mandanten seit vielen Jahren bei der Umsetzung aufsichtsrechtlicher Anforderungen in der IT. Neben der regulatorischen Expertise verfügen wir über vielfältige Praxiskenntnisse zu Bankprozessen sowie der in den Prozessen eingesetzten IT-Systeme und ihrer Schnittstellen untereinander. Greifen Sie auf unser umfangreiches Umsetzungs- und Benchmark-Know-How bei der Umsetzung der MaRisk, BAIT und EBA IKT Richtlinie sowie GAP Analysen und der Schließung von Findings aus aufsichtlichen Prüfungen zurück und kontaktieren Sie uns gerne per Mail.
Dringlichkeit
Umsetzungsaufwand
Auswirkungen
Ihre Ansprechpartner
