EBA beginnt Konsultation zum IKT- und Sicherheitsrisikomanagement (EBA/CP/2018/15)

In den kommenden Absätzen wird der regulatorische Kontext erläutert, die Inhalte des Konsultationsentwurfs skizziert, die Konsistenz zu den SREP-Guidelines diskutiert und abschließend eingeschätzt.

Regulatorischer Kontext

Wie bereits in unserem Blog thematisiert, rückt das Informationsrisikomanagement zunehmend in den regulatorischen Fokus. Vorschriften existieren national (MaRisk, BAIT) sowie auf europäischer Ebene zum aufsichtlichen Überwachungsprozess (EBA/GL/2017/05) und direkt für Zahlungsdienstleiter (EBA/GL/2017/17). Das zur Konsultation stehende Papier EBA/CP/2018/15 ersetzt GL/2017/17 und erweitert den Adressatenkreis auf CRR-Kreditinstitute und Wertpapierfirmen (vgl. Art. 4(3) EU/575/2013). Nach Beendigung des Konsultationsprozesses auf europäischer Ebene am 13. März 2019 ist auch national mit Novellierungen zu rechnen. Auch der Baseler Ausschuss befasste sich mit dem Thema IKT. Im Papier vom Dezember 2018 werden branchenübliche Standards dargestellt.

Highlights Konsultationsentwurf

  • IKT-Governance und -Strategie (Aufsetzen eines internen IKT-Controllingframeworks inkl. Budgeting und Staffing; IKT-Strategie muss konsistent zur Gesamtstrategie formuliert sein; Behandlung von Risiken bzgl. Outsourcing)
  • IKT-Risikomanagementrahmenwerk (Three-lines-of defense-Modell; Aufsetzen eines IKT-Risikomanagementframeworks inkl. Risikotoleranz, Identifikation und Klassifizierung, Materialitätsprüfung, Mitigation, Reporting)
  • Informationssicherheit (Definition von Regelwerken, welche die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen gewährleisten; Aufsetzen einer unabhängigen Informationssicherheitsfunktion; Etablierung eines Frameworks für Zugriffskontrollen – physisch und logisch; Etablierung von Prozeduren hinsichtlich Betriebssicherheit; Aufsetzen von Monitoring von logischen und physischen Zugriffen, Etablierung von Review- und Testprozessen sowie Trainings)
  • IKT-Betriebsmanagement (Operationalisierung von Strategie und Rahmenwerken, Incident-Management, Performance- und Kapazitätsplanung, IKT Inventur)
  • IKT-Projekt- und Änderungsmanagement (Anforderungen an die Projektsteuerung bzgl. der Umsetzung von IKT Strategien; Aufsetzen eines Prozesses, welcher den Kauf, die Entwicklung und Wartung von IKT Systemen berücksichtigt; Aufsetzen eines IKT-Changemanagement Prozesses)
  • Business Continuity Management (Erstellen von Impact Analysen; Erstellung von IKT-Kontinuitätsplänen und Notfallplänen inklusive Einrichtung von Testprozessen; Einrichten von Kommunikationsplänen im Krisenfall)
  • Benutzerbetreuung im Zahlungsverkehr (Qualitative IKT-Anforderungen für CRR-Zahlungsdienstleister (Art. 4, Abs.11 CRR) im Hinblick auf deren Nutzer)

Abgrenzung zu SREP-Guidelines (EBA/GL/2017/05)

Grundsätzlich thematisieren die SREP-Guidelines die gleichen Sachverhalte, mit keinen signifikanten inhaltlichen Abweichungen. Die Analyse der SREP-Guidelines lohnt dennoch, da sich hier weiterführende Spezifikationen, wie Definitionen der Risikoarten (IKT-Sicherheitsrisiko, IKT-Änderungsrisiko, IKT-Datenintegritätsrisiko sowie IKT-Auslagerungsrisiko) finden. Insbesondere der Anhang mit der IKT-Taxonomie kann Instituten wertvolle Anhaltspunkte liefern, da neben den Beschreibungen der Risikoarten auch zahlreiche Beispiele genannt sind.

Ausblick

Generell kommen auf den ersten Blick durch zur Konsultation stehenden Guidelines keine signifikanten Änderungen im Vergleich zu den bestehenden SREP-Guidelines. Viele der geforderten Sachverhalte sollten im Rahmen der IT-Organisation zumindest rudimentär abgedeckt sein. Insbesondere deutschen Instituten sind viele der Anforderungen bereits aus den BAIT bekannt.

Als Schnittstelle zwischen Fach- und- IT-Prozessen birgt das IKT-Risiko jedoch eine hohe organisatorische Komplexität. Grundsätzlich sind die inhärenten Risiken der gesamten IT-Prozesse tangiert und müssen bewertet, gesteuert und potenziell mit Kapital hinterlegt werden. Dies bedeutet organisatorisch, dass entweder das Risikocontrolling über den Zustand der IT-Architektur dem Senior Management reportet oder die IT-Abteilung in das Reporting stärker involviert werden muss.

Die zahlreichen organisatorischen Anforderungen bergen hohen Umsetzungsaufwand, da Reports, Prozesse und Policies betroffen sind. Diese gilt es zu konzipieren, zu implementieren und zu warten. Es sind Funktionen und Rollen zu schaffen, welche potenziell Personalaufwände forcieren. Eine entscheidende Rolle spielt die Integrierbarkeit des IKT-Risikos in bestehende OpRisk-Prozesse.

Gerne unterstützen wir Sie bei der Bewertung und Steuerung Ihres IKT-Risikos, von der Strategie bis zur Implementierung. Sprechen Sie uns an.

Ihre Ansprechpartner erreichen Sie gerne per Mail.

Volker Oostendorp

Volker
Oostendorp

Matthias Oßmann

Matthias
Oßmann

Sebastian Kalmbach

Sebastian
Kalmbach

Dringlichkeit

Umsetzungsaufwand

Auswirkungen