Dienstag, 4. Juni 2024

Cyber-Risk – Herausforderungen für Kreditinstitute

Cyber-Risk als Aufsichtspriorität – Verstehen der aktuellen Gefahrenlage und Anforderungen – Praktische Hilfestellungen bei der Umsetzung

Florian Winterer, Wirtschaftsprüfer/IT-Spezialist, Genossenschaftsverband Bayern e.V.

Thomas Goldbrunner, Geschäftsführer, GCS – Geno Corporate Services GmbH  

I. Cyber-Risk als Aufsichtspriorität

1. EZB

Die Risiken aus Cyber-Attacken stellen bereits seit längerer Zeit eine der Aufsichtsprioritäten der EZB-Bankenaufsicht dar. Auch für die Jahre 2024 bis 2026 wurden die Risiken aus Cyber-Attacken wieder als Aufsichtspriorität des Single Supervisory Mechanism (SSM) identifiziert. Als strategisches Zielbild wurde ausgegeben, dass Institute über solide Regelungen für ihre Auslagerungsrisiken sowie für ihre IT-Sicherheit und Cyber-Resilienz verfügen sollen. Hierdurch soll ungeminderten Risiken, die zu einer wesentlichen Störung kritischer Tätigkeiten/Dienstleistungen führen könnten, proaktiv entgegengewirkt und gleichzeitig sicherzustellt werden, dass die einschlägigen aufsichtsrechtlichen Anforderungen und Erwartungen erfüllt werden.[1]

2. BaFin und Bundesbank

Die Aufsichtsprioritäten der EZB finden ihren Niederschlag im Nationalen Aufsichtsprogramm 2024–2026. In diesem legen BaFin und Bundesbank jährlich gemeinsam die Schwerpunkte für die Aufsicht über die national beaufsichtigten Institute in Deutschland fest. Unter dem Schwerpunkt „IT-Sicherheit“ wurden folgende aufsichtliche Maßnahmen festgelegt:

  • Es findet anlassbezogen eine Intensivierung des aufsichtlichen Dialogs mit Instituten mit hohem Cyber-/IT-Risiko statt.
  • Zusätzlich stehen u. a. Auslagerungen und Migrationsprojekte im Fokus, wozu Prüfungsschwerpunkte nach § 30 KWG angeordnet und bankgeschäftliche Prüfungen durchgeführt werden.[2]

Die Auswirkungen der Bedeutung des Themas Cyber-Risiken sind bereits in der Praxis spürbar. Nicht nur legen die Abschlussprüfer mittlerweile einen verstärkten Fokus auf den Bereich IT-Security, auch nehmen Sonderprüfungen durch die Aufsicht in diesem Bereich zu. Diese Prüfungen gehen dabei oftmals deutlich über das aus der Jahresabschlussprüfung bekannte Maß hinaus und untersuchen dezidiert die institutseigenen Sicherheitsmaßnahmen.

3. DORA

Bislang bildeten insbesondere die „Guidelines on ICT and security risk management“ der EBA sowie die von der BaFin herausgegebenen „Bankaufsichtlichen Anforderungen an die IT (BAIT)“ den aufsichtlichen Regelungsrahmen, wenn es um das Thema Cyber-Attacken auf Kreditinstitute geht. Mit dem Digital Operational Resilience Act (DORA) erhält das Aufsichtsregime eine grundlegende Neuordnung.

Ziel der Verordnung über die digitale Resilienz im Finanzsektor ist eine europäische Antwort auf den Wandel im Bereich der Finanzdienstleistungen und auf die zunehmende Gefahr von Cyberbedrohungen im Finanzsektor. Der Fokus von DORA liegt in einem angemessenen Umgang mit der zunehmenden Abhängigkeit des Finanzsektors und der Aufrechterhaltung der Betriebsstabilität des Finanzsystems der Europäischen Union im Falle einer schwerwiegenden Störung.

Im Kern umfasst DORA einen harmonisierten IT-Risikomanagementrahmen, die Ausweitung und Vereinheitlichung der Meldepflichten von schwerwiegenden IT-Vorfällen sowie die Schaffung eines europäischen Überwachungsrahmens für kritische IT-Drittdienstleister. 

Die Vorgaben des DORA lassen sich in vier große Bereiche aufteilen:

  • IKT-Risikomanagement (Art. 5 bis 16)
  • IKT-Vorfallmeldewesen (Art. 17 bis 23)
  • Tests der digitalen operationalen Resilienz (Art. 24 bis 27)
  • IKT-Drittparteirisikomanagement (Art. 28 bis 44)

Die Vorgaben werden durch mehrere Level-2-Rechtsakte (RTS/IST) sowie Berichte spezifiziert.

Durch DORA werden neben einigen Neuerungen, wie der Einführung einer ICT risik management control function, insbesondere auch bekannte Regelungen und Best Practices verschärft bzw. verpflichtend vorgeschrieben. Hierzu gehören u. a. strengere Anforderungen an Verschlüsselungen, ein stärkerer Fokus auf Schwachstellen (verpflichtende Schwachstellenscans, höhere Anforderungen an das Patchmanagement, Betrachtung des Lieferkettenrisikos), detaillierte Sicherheitsanforderungen sowie Vorgaben zur Stärkung der Netzwerksicherheit.

4. Zwischenfazit [...]
Beitragsnummer: 22612

Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei MeinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "BankPraktiker DIGITAL" Ihr

aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Beitrag teilen:

Produkte zum Thema:

Produkticon
CSRD & EU Tax-VO: ESG Herausforderungen für Banken - Revision im Fokus

399,00 € exkl. 19 %

27.09.2024

Produkticon
Neu-Produkt-Prozess (NPP): Abwicklung & Prüfung von Handelsgeschäften

399,00 € exkl. 19 %

21.11.2024

Produkticon
Aufsichtsfokus: Prüfung Cloud Computing - Regulatorik & IT-Sicherheit

399,00 € exkl. 19 %

26.09.2024

Beiträge zum Thema:

Beitragsicon
Revision der ESG-Compliance in Banken

Die zunehmende Bedeutung von Umwelt-, Sozial- und Governance-Faktoren (ESG) führt zu veränderten Rahmenbedingungen in der Finanzbranche. Doch wie können die A

09.07.2024

Beitragsicon
Neue Anforderungen an Vergütungssysteme – Ein arbeitsrechtlicher Blick

Die BaFin hat neue Vorgaben für angemessene Vergütungssysteme. Es werden die arbeitsrechtlichen Instrumentarien zur Umsetzung der Vorgaben vorgestellt.

01.03.2024

Beitragsicon
DORA trifft Risikosteuerung

Wie Einzelrisiken & OP-Risk-Szenarien mit der Eigenkapitalvorsorge zusammenhängen

09.07.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.