EBA veröffentlicht finale “Guidelines on ICT and security risk management”

Die EBA hat am 28.11.2019 die finalen Leitlinien zum IKT- und Sicherheitsrisikomanagement veröffentlicht. Gegenüber dem Konsultationspapier vom Dezember 2018, über welches wir in unserem Blog „EBA beginnt Konsultation zum IKT- und Sicherheitsrisikomanagement (EBA/CP/2018/15)“ berichteten, gibt es die nachfolgenden wesentlichen Änderungen:

Im Abschnitt „Organisation and objectives“ wird nicht mehr explizit das „three lines of defence model“ zur Identifikation und Steuerung von ICT Risiken genannt. Stattdessen werden im Rahmen der finalen Leitlinie lediglich angemessene Prozesse und Kontrollen verlangt, mit denen sichergestellt wird, dass alle Risiken identifiziert, analysiert, gemessen, überwacht, gemanagt, berichtet und innerhalb der Limite des festgelegten Risikoappetits gehalten werden (Tz. 10). Die jeweiligen Aufgaben und Verantwortlichkeiten der drei Verteidigungslinien werden in Tz. 11 im Detail geregelt und im Vergleich zum Draft deutlich erweitert. Die Tz. 14 und 15 des Konsultationspapiers werden im finalen Papier zusammengefasst.

Im Abschnitt „ICT Project and Change management“ wurde in Tz. 61 die Regelung für den Governance Prozess auf die Durchführung eines Programms und/oder eines Projekt-Governance-Prozesses ausgeweitet. Bei der Auflistung in Tz. 63 entfällt das ‚procurement management‘.

Einige Änderungen gab es auch im Abschnitt „ICT systems acquisition and development“. So wird die Aufzählung der Prozessinhalte in Tz. 73 des Konsultationspapiers durch die Forderung der Anwendung eines Risiko-basierten Ansatzes in Tz. 67 des finalen Papiers ersetzt.

Im Abschnitt „ICT change management“ entfällt in Tz. 75 die Aufzählung der Mindest-Elemente des Change-Management Prozesses. In Tz. 76 erfolgt der Verweis auf den formalen Change-Management Prozess ohne Aufzählung der einzelnen Schritte.

Daneben wurden an einigen weiteren Stellen Klarstellungen und leichte Anpassungen vorgenommen.

Die Umsetzung der nun final veröffentlichen Regelungen muss bis 30.06.2020 erfolgen.

Sehr gerne unterstützen die Experten von RFC Professionals Sie bei der weiteren Analyse der Abweichungen gegenüber den MaRisk bzw. BAIT sowie der Umsetzung und Implementierung der neuen Anforderungen. Wir sind jederzeit gerne für Sie da! Ihre Ansprechpartner erreichen Sie per Mail.

Matthias Oßmann

Matthias Oßmann

Sandra Schmolz

Sandra Schmolz

Dringlichkeit

Umsetzungsaufwand

Auswirkungen