Die kontinuierlich wachsende Bedeutung von IT und Informations- und Kommunikationstechnologie (IKT, engl. ICT) für Finanzdienstleistungsinstitute hat die European Banking Authority (EBA) dazu bewegt, neue Leitlinien zu IKT und Sicherheitsrisikomanagement – die „EBA Guidelines on ICT and security risk management“ – zu veröffentlichen.
Die EBA reagiert damit unter anderem auf zunehmende Risiken durch die stetig steigende Anzahl professionalisierter Cyber-Attacken. Eine erfolgreiche Attacke trifft heute potentiell nicht nur ein Finanzinstitut, durch die zunehmende Vernetzung der Finanzinstitute untereinander kann ein Vorfall potentiell systemische Wirkungen auf das ganze Netz haben.
Die Leitlinien treten am 30. Juni 2020 für die nationalen Aufsichtsbehörden in Kraft. Für die Institute bleibt abzuwarten, in welcher Form die Leitlinien auf nationaler Ebene umgesetzt werden. Aktuell ist davon auszugehen, dass die Inhalte Eingang in die MaRisk oder BAIT finden werden. Ein vorbereitender Blick in die neuen EBA-Leitlinien lohnt sich also. Wir haben die wesentlichen Punkte für Sie zusammengefasst.
Welche Anforderungen werden in den Guidelines adressiert?
Basierend auf aufsichtsrechtlichen Anforderungen an das Management von Sicherheitsrisiken enthalten die Guidelines Einzelheiten darüber, welche Maßnahmen in Hinblick auf ICT und das generelle Risikomanagement unternommen werden müssen. Für Finanzinstitute bildet dabei das Capital Requirement Directive (CRD) die Mindestanforderung daran, wie ICT und Sicherheitsrisiken für alle Aktivitäten verwaltet werden sollen. Gleichzeitig referenzieren sie auf das Payment Service Directive 2 (PSD2), um die Erwartungen an die Zahlungsdienstleister im Umgang mit operativen Risiken und Sicherheitsrisiken bei ihren Zahlungsleistungen festzulegen.
Wie bei vergleichbaren Richtlinien im Finanzwesen soll auch bei diesen Guidelines der Aspekt der Proportionalität berücksichtigt werden: Die Anforderungen sollen verhältnismäßig in Bezug auf die Größe, Art und interne Organisation des Finanzinstitutes sein, sowie die Komplexität und Risikobereitschaft der angebotenen oder geplanten Services und Produkte berücksichtigen.
Governance & Strategie
Die Anforderung an die Finanzinstitute beginnt bereits in der Strategie: Es soll eine entsprechende ICT-Strategie erarbeitet werden, die sich aus der Geschäftsstrategie ableitet und gemeinsam mit einem Maßnahmenplan zu deren Zielerreichung im Unternehmen kommuniziert wird. Zur Steuerung und Kontrolle sollen interne Frameworks für ICT und Sicherheitsrisiken eingerichtet werden. Budget und Fähigkeiten der Mitarbeiter sind wichtige Faktoren, um die Implementierung der ICT-Strategie sowie fortlaufende operative Aufgaben der ICT- und Security-Risk-Management-Prozesse sicherzustellen. Den gleichen Anspruch an risikomindernde Maßnahmen sollen die Finanzinstitute auch beim Outsourcing an Dritte beachten.
ICT & Security Risk Management Framework
Die in der Strategie geforderte unabhängige Kontrollfunktion ist für die Überwachung der Einhaltung des Rahmens für das ICT und Security Risk Management verantwortlich. Sie soll absichtlich von den ICT-Prozessen getrennt erfolgen und ist direkt der Unternehmensleitung gegenüber rechenschaftspflichtig. Sie stellt sicher, dass Sicherheitsrisiken identifiziert, gemessen, bewertet, verwaltet, überwacht und gemeldet werden. Die Basis dafür bildet eine Aufstellung aller Assets, die kritische Geschäftsfunktionen und -prozesse des Finanzinstitutes unterstützen, kategorisiert nach ihrer jeweiligen Kritikalität.
Informationssicherheit
Die Dokumentation von Anforderungen in Informationssicherheitsrichtlinien soll die Vertraulichkeit, Verfügbarkeit und Integrität sowohl der Daten des Finanzinstituts als auch dessen Kunden sicherstellen. Die Anforderungen an Mitarbeiter, Dienstleister, Prozesse und Technik bilden die Basis für das Verständnis der Mitarbeiter und Drittanbieter, dass sie in der Verantwortung sind, die Informationssicherheit des Finanzinstitutes sicherzustellen und Sicherheitsrisiken zu minimieren. Die Richtlinien betreffen:
- Logische Sicherheit
- Physische Sicherheit
- Sicherheit des ICT-Betriebs
- Sicherheitsüberwachung
- Überprüfung, Bewertung und Test der Informationssicherheit
- Schulung und Awareness Training für Informationssicherheit
ICT Operations Management
Finanzinstitute sollen nach der Guideline umfangreiche Dokumentationen über den operativen Betrieb, das Monitoring und die Kontrolle aller ICT-Systeme und -Services betreiben, ganz besonders für kritische ICT-Betriebe. Fortlaufend soll eine möglichst hohe Effizienz gewährleistet werden, welche wenn möglich sogar verbessert werden soll.
Die Institute sollen eine aktuelle Asset-Liste aller ICT Assets führen, um betroffene Assets unmittelbar identifizieren zu können. Zudem soll eine Überwachung des Lebenszyklus aller ICT Assets sicherstellen, dass diese die Geschäfts- und Risikoanforderungen des Institutes erfüllen. Eine wichtige Anforderung an das ICT Operations Management ist selbstverständlich auch, Verfahren zu implementieren, die der Sicherung und Wiederherstellung von ICT Assets dienen.
ICT Project Management & ICT Change Management
Die Guideline enthält klare Anforderungen an ICT-Projekte und deren Change Management. Diese reichen von der Beschaffung, über Entwicklung bis zur Wartung der ICT Assets. Im Unternehmen sollten dazu klare Richtlinien festgelegt werden, die einem risikobasierten Ansatz folgen müssen.
Business Continuity Management
Ein stabiler Business-Continuity-Management-Prozess kann den Finanzinstituten helfen, im Fall weitreichender Geschäftsausfälle weiterhin den Betrieb aufrecht zu erhalten und Verluste möglichst gering zu halten. Dieser Prozess basiert auf einer Business Impact Analyse, gefolgt von Business-Continuity-Planungen. Ein wichtiger Teil davon sind Reaktions- und Wiederherstellungspläne, welche regelmäßig getestet werden müssen. Dies betrifft ganz besonders kritische Geschäftsfunktionen wie unterstützende Prozesse, Informationsgüter und wechselseitige Abhängigkeiten. Diese Pläne müssen den verantwortlichen Mitarbeitern des Institutes vorliegen und bekannt sein.
Beziehung zwischen Zahlungsdienstleistern und deren Kunden
Der letzte Teil der Guideline richtet sich speziell an Zahlungsdienstleister (Payment Service Provider) und betrifft ihre Verantwortung zur Information ihrer Nutzer. Letztere sollen in Hinblick auf mögliche Sicherheitsrisiken aufgeklärt, beraten und begleitet werden. Diese Unterstützung muss in Hinblick auf neue Gefahren und Schwachstellen immer wieder neu kommuniziert werden. Wo möglich, sollten die Zahlungsdienstleiter ihren Kunden erlauben, spezielle Funktionalitäten der Zahlungsleistung zu deaktivieren und besonders Benachrichtigungen zu beauftragten oder fehlerhaften Zahlungsaufträgen zu aktivieren.
Die komplette Guideline finden Sie auf den Seiten der EBA.
Sie benötigen Unterstützung bei der Analyse Ihrer bisherigen Maßnahmen zur Erfüllung der EBA-Anforderungen zu ICT und Security Risk Management und/oder bei der Umsetzung der Anforderungen in Ihrem Unternehmen? Sprechen Sie uns gerne an!