close
Share with your friends

Europäische Vorgaben zur IT-Sicherheit in Kreditinstituten

IT-Sicherheit in Kreditinstituten

Die Europäische Bankenaufsichtsbehörde veröffentlichte ihre finalen Leitlinien zum Management von Risiken im Bereich der Informations- und Kommunikationstechnologie und den Sicherheitsrisiken. Diese Leitlinie ist an Kreditinstitute, Wertpapierfirmen und Zahlungsdienstleister gerichtet und soll die Anforderungen zur Minderung und Steuerung von internen und externen Risiken im IKT-Bereich festlegen.

Verwandte Inhalte

Am 28. November 2019 veröffentlichte die Europäische Bankenaufsichtsbehörde (EBA) ihre finalen Leitlinien zum Management von IKT- und Sicherheitsrisiken. Die Leitlinien sollen auch die aufsichtlichen Erwartungen in den entsprechenden Punkten darlegen, welche unter dem Grundsatz der Proportionalität zu bewerten sind.

Im Rahmen der internen Governance und dem internen Kontrollsystem sollte nach den Leitlinien klare Verantwortlichkeiten für die Mitarbeiter bestehen. Außerdem sollten die Institute eine IKT-Strategie entwerfen, aus der das Management und die Minderung von IKT-Risiken durch eine unabhängige Kontrollfunktion, die von Betriebsabläufen getrennt ist, sowie ein unabhängiges internes Revisionssystem hervorgeht. Die EBA erinnert außerdem daran, dass Effektivität aller Risikomitigierungsmaßnahmen auch bei Auslagerungen und dem Nutzen von Drittanbietern sicherzustellen ist.

Das Rahmenwerk zum Management von IKT- und Sicherheitsrisiken hat gemäß den EBA-Leitlinien auch das Führen von Verzeichnissen der Geschäftsfunktionen, unterstützenden Prozessen und Informationsbeständen zu umfassen. Eine Klassifizierung der Daten hat in Bezug auf Relevanz, Vertraulichkeit, Integrität und Verfügbarkeit zu erfolgen. Mit dieser Grundlage soll es möglich sein, operationelle Risiken zu bewerten und Maßnahmen festzulegen, wie diese Risiken zu reduzieren sind.

Im Bereich der Informationssicherheit werden die Anforderungen an die Inhalte einer Richtlinie zur Informationssicherheit sowie an die Festlegung, Durchführung und Erprobung von Maßnahmen zur Erhöhung der Informationssicherheit ausformuliert. Die Aufstellung eines Schulungsprogramms für alle Mitarbeiter und Outsourcing-Dienstleister sind davon ebenfalls umfasst.

Außerdem haben Institute diverse Grundsätze für den laufenden IKT-Betrieb zu befolgen. Neben der allgemeinen Erwartung der EBA, dass eine laufende Verbesserung der Effizienz von IKT-Vorgängen angestrebt wird, sind Protokollierungs- und Überwachsungsverfahren für kritische IKT-Prozesse durchzuführen. Eine aktuelle Inventarliste der IKT-Ressourcen wird genauso erwartet wie ein umfassendes Lebenszyklus-Management. Für den IKT-Betrieb ebenfalls relevant sind schließlich auch das Incident-, Back-up und Recovery-Management.

Zur Implementierung der IKT-Strategie sollte ein Institut Projekt- und Changemanagement-Prozesse etablieren. Dabei geht es darum, den reibungslosen Erwerb, die Entwicklung und die Wartung von IKT-Systemen und Diensten zu gewährleisten. Änderungen an Produktivsystemen sollten angemessen getestet und freigegeben werden. Dazu ist sicherzustellen, dass IKT-Projekte über eine angemessene Governance verfügen und dass die Entwicklung von Anwendungen von der Testphase bis zur Produktionsphase sorgfältig überwacht wird.

Institute sollen ein fundiertes Business Continuity Management einsetzten und die Entwicklung von Reaktions- und Wiederherstellungsplänen, einschließlich Tests, und deren anschließende Aktualisierung auf der Grundlage der Testergebnisse, vorantreiben. Es sollte sichergestellt sein, dass wirksame Maßnahmen zur Krisenkommunikation bestehen, so dass alle relevanten internen und externen Interessengruppen informiert werden können.

Ausschließlich Zahlungsdienstleistern ist der letzte Aspekt der Leitlinien gewidmet. Es werden Anforderungen für das Beziehungsmanagement von Zahlungsdienstnutzern (PSUs) angeführt. So muss die Möglichkeit bestehen, dass PSUs bestimmte Zahlungsfunktionalitäten deaktivieren können (sofern die Produktfunktionalität dies zulässt), Warnmeldungen über eingeleitete und/oder fehlgeschlagene Versuche zu empfangen, Zahlungsvorgänge einleiten und Unterstützung bei Fragen und Supportanfragen erhalten. Die EBA betont, wie wichtig es ist, für Transparenz zu sorgen, damit die PSUs immer wissen, welche Zahlungsdienstleister für die Erbringung der Zahlungsdienste verantwortlich sind.

Die Leitlinien werden am 30. Juni 2020 in Kraft treten. Die EBA-Leitlinien zu Sicherheitsmaßnahmen bezüglich der operationellen und sicherheitsrelevanten Risiken von Zahlungsdiensten gemäß PSD2 wurden in die vorliegenden Leitlinien integriert und verlieren mit dem angegebenen Datum ihre Gültigkeit.

EBA News

So kontaktieren Sie uns

 

Angebotsanfrage (RFP) einreichen

 

loading image Zum Angebotsformular