Der ultimative Guide

EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken

Eines der Ziele des Berichts der Europäischen Bankenaufsichtsbehörde ist es, durch strengere Vorschriften bei der Auslagerung von Dienstleistungen mehr Cybersicherheit zu schaffen.

Hintergrund des EBA-Leitfadens

Ziel des Berichts der Europäischen Bankenaufsichtsbehörde ist es, durch strengere Vorschriften bei der Auslagerung von Dienstleistungen mehr Cybersicherheit zu schaffen. Diese neuen EBA-Leitlinien zur Informations- und Kommunikationstechnologie (IKT) sind für alle Finanzinstitute gedacht und decken alle Zahlungsarten ab, einschließlich elektronisches Geld.

Die IKT-Richtlinien oder EBA-Richtlinien betreffen die Auslagerung von Cloud-Services in FinTechs und ersetzen die Richtlinien des Ausschusses der europäischen Bankenaufsichtsbehörde von 2006 . Darüber hinaus enthalten sie auch die Empfehlungen der EBA zum Thema Ausgliederung.

Außerdem wird sich in der Richtlinie nicht auf eine, alles umfassende Einheit eingegangen, sondern auf die einzelnen Entitäten. Zudem finden sich detaillierte Ausführungen zu spezifischen Verfahren und Verpflichtungen.

Alle Finanzinstitutionen, die die folgenden Kriterien erfüllen, sind zur Einhaltung der im Bericht dargelegten IKT-Richtlinien verpflichtet:

  • Alle Institute, die in den Zuständigkeitsbereich der EBA fallen, einschließlich Kreditinstitute wie Banken
  • Wertpapierfirmen in der Richtlinie (EU) 2013/36 IV, auch Kapitalanforderungsrichtlinie genannt
  • Zahlungsinstitute und Dienstleistungen
  • E-Geld-Institute

Viele Unternehmen, darunter auch FinTechs, werden sich der Herausforderung stellen müssen, in einem schnelllebigen Markt wettbewerbsfähig zu bleiben und gleichzeitig die Richtlinien einzuhalten.

Seit dem 30. September 2019 müssen sich alle im Bericht angesprochenen Institute an die neuen Richtlinien halten.

 

Hintergrund der EBA-Richtlinien

Die Komplexität der Informations- und Kommunikationstechnologien nimmt zu und damit auch die Zahl der sicherheitsrelevanten Angriffe. Außerdem sind die Infrastrukturen der IKT-Systeme, die zum Betrieb eines Finanzinstituts beitragen, häufig miteinander verbunden.

Daher könnte ein Sicherheitsvorfall aufgrund eines Hackerangriffs potenziell einen vollständigen Zusammenbruch einer geschäftskritischen Infrastruktur verursachen und verheerende Folgen für ein ganzes Institut oder, im schlimmsten Fall, für die weltweiten Finanzmärkte haben.

Was wie ein Weltuntergangsszenario erscheint, stellt eine tatsächliche, potenzielle Bedrohung dar.

Um dieser Bedrohung entgegenzuwirken, wurde in den EBA-Richtlinien festgelegt, wie Finanzinstitute Sicherheitsrisiken angehen und ihre IKT-Infrastruktur schützen müssen. Mithilfe von IKT und Sicherheitsmanagement arbeiten Finanzinstitute darauf hin, ihre Ziele in den Bereichen Strategie, Unternehmenserwartungen, Betriebsführung und Reputation zu erreichen.

 

Bestimmungen für Zahlungs­dienst­leistungs­anbieter (PSPs)

Die EBA-Leitlinien umfassen auch Zahlungsdienstleister. Diese Leitlinien gelten immer dann, wenn es um Zahlungsdienste geht – einschließlich der Ausgabe von elektronischem Geld von Kreditinstituten und aller Aktivitäten außerhalb der Zahlungsdienste und Wertpapierfirmen.

Kurz gesagt, zu den PSPs, die sich an die IKT-Richtlinien halten müssen, gehören:

  • PSPs, wie in Artikel 4(11) der PSD2 definiert
  • Kreditinstitute und Wertpapierfirmen im Sinne von Artikel 4 Absatz 1 Punkt 3 der (EU) Nr. 575/2013
  • Zuständige Behörden im Sinne von Artikel 4 Absatz 1 Nummer 40 der (EU) Nr. 575/2013
  • Die Europäische Zentralbank in allen Angelegenheiten im Zusammenhang mit den durch die Verordnung (EU) Nr. 1024/2013 übertragenen Aufgaben und alle zuständigen Behörden gemäß der PSD2, auf die in Artikel 4 Absatz 2 Buchstabe i der Verordnung (EU) Nr. 1093/2010 Bezug genommen wird

Die Richtlinien gelten für alle oben genannten Punkte, sofern nicht anders angegeben.

 

Einheitliche Wettbewerbsbedingungen für alle Institutionen

Die EBA-Leitlinien sollen die im Dezember 2017 veröffentlichten Regeln in Artikel 95 der PSD2 mit dem Titel „Leitlinien zu Sicherheitsmaßnahmen für Betriebs- und Sicherheitsrisiken von Zahlungsdiensten“ integrieren.

Um gleiche Wettbewerbsbedingungen zu schaffen, werden in den Richtlinien auch Themen behandelt, die auf die Minderung von IKT- und Sicherheitsrisiken in Finanzinstitutionen ausgerichtet sind.

Darüber hinaus gehen die IKT-Richtlinien auch auf die Forderung der Europäischen Kommission des Aktionsplans für Finanztechnologie (FinTech) ein, der im März 2018 veröffentlicht wurde.

Darin enthalten ist eine Aufforderung an die Europäischen Aufsichtsbehörden, Richtlinien zum IKT-Risikomanagement und zu den Anforderungen an die Minderung von IKT-Risiken im Finanzsektor der Europäischen Union zu erstellen.

 

Bewältigung der Zunahme des Risikos in den letzten Jahren

Die Richtlinien befassen sich ferner mit der Zunahme der Sicherheitsrisiken, die sich aus der Digitalisierung des Finanzsektors und der Vernetzung der Infrastrukturen ergeben und jeder in den Netzwerken agierenden Person Cyberangriffen aussetzen.

Durch moderne Online-Telekommunikationskanäle und drahtlose Technologien, die Weitverkehrsnetze nutzen, setzen sich die EU-Finanzinstitute einem erhöhten Risiko aus. Ganz zu schweigen von allen anderen Finanzinstituten und Dritten, die mit den EU-Institutionen verbunden sind.

Durch die IKT-Richtlinien verbessern die Institute ihre Cybersicherheit und können sich besser vor Cyberangriffen schützen. Schließlich sollte das Cyber-Sicherheitsrisikomanagement ein Teil des gesamten Sicherheitsrisikomanagements einer Finanzinstitution sein.

Cyberangriffe weisen bestimmte Merkmale auf. Wenn Finanzinstitute um diese Charakteristika wissen, können sie geeignete Informationssicherheitsmaßnahmen treffen, um Cyberrisken zu bekämpfen. Hier eine Liste einiger Merkmale:

  1. Cyberangriffe sind im Gegensatz zu anderen Risikoquellen für Finanzinstitute oft schwer zu identifizieren oder auszuräumen. Auch die Quantifizierung des Schadensausmaßes gestaltet sich kompliziert.
  2. Gegen einige Cyberangriffe sind Risikomanagement, Kontinuitätsmaßnahmen sowie Verfahren zur Systemwiederherstellung machtlos. Es ist möglich, dass Malware beschädigte Daten in die Backup-Systeme verbreitet.
  3. Anbieter, Produkte von Anbietern und andere Drittanbieter von Dienstleistungen können als Kanäle genutzt werden, die Malware für einen Cyberangriff verbreiten. Die Hacker machen sich somit die Vernetzung zur Verbreitung ihrer Malware zunutze.

Um Sicherheitslücken zu vermeiden, müssen Finanzinstitute und andere Marktteilnehmer zusammenarbeiten und das schwächste Glied der Kette unterstützen.

Das „Three Lines of Defense-Modell“

Die IKT-Betriebseinheiten sind die erste Verteidigungslinie. Aus diesem Grund konzentrieren sich die EBA-Richtlinien zunächst auf die Verantwortlichkeiten des Leitungsorgans und dann auf die zweite Verteidigungslinie, die aus der Informationssicherheitsfunktion besteht.

Nach einer öffentlichen Konsultation spiegeln die Richtlinien nun die Verantwortung der internen Führungsgremien in das Risikomanagement im Zusammenhang mit der Cybersicherheit wider.

 

Eine bessere Zukunft

Um dem breiten Anwendungsbereich des Risikomanagements für Cybersicherheit besser gerecht zu werden, wurden die in den Leitlinien zu den Sicherheitsmaßnahmen für Betriebs- und Sicherheitsrisiken von Zahlungsdiensten enthaltenen Anforderungen in die neuen EBA-Leitlinien aufgenommen und erweitert.

Tatsächlich wurden die Bestimmungen von 2017 aufgehoben, da sie Art, Umfang und Komplexität der Verantwortung der Institutionen für das Risikomanagement nicht angemessen berücksichtigten.

 

EBA-Leitlinien für IKT- und Sicher­heits­risiko­mana­gement

In den EBA-Richtlinien für das Sicherheitsrisikomanagement soll ein Weg gefunden werden, wie Auslagerung und Innovation angegangen und mit der Einhaltung von Vorschriften in Einklang gebracht werden können. Trotz Aufforderungen von öffentlichen Beratern, FinTech aus dem Bericht zu streichen, enthalten die IKT-Richtlinien ausdrücklich Bestimmungen für das Sicher­heits­risiko­mana­gement, die alle relevanten Branchenakteure einbeziehen.

Die Richtlinien setzen sich aus den folgenden Kategorien zusammen:

 

Proportionalität

Alle Finanzinstitutionen sind verpflichtet, die Bestimmungen der EBA-Leitlinien in einer Weise einzuhalten, die der Größe des Instituts, ihrer internen Organisation, ihrem Umfang, ihrer Art, ihrer Komplexität und der Risikobereitschaft der angebotenen Produkte/Dienstleistungen angemessen ist.

 

Governance and Strategie

Das Sicherheitsrisikomanagement ist verpflichtet, das Führungsgremium einzubeziehen, um eine angemessene Führung, hohe Qualitätsstandards und Mitarbeiterfähigkeiten sowie die Genehmigung, Überwachung und Umsetzung robuster IKT-Strategien zu gewährleisten.

Im Rahmen ihrer Strategie müssen sich die Institutionen so weiterentwickeln, dass sie die Organisationsstruktur, Änderungen der IKT-Systeme, Abhängigkeiten von Dritten sowie ihre Mitarbeiter und Prozesse wirksam unterstützen.

 

Rahmenwerk für IKT und Sicher­heits­risiko­management

Die Institute sind verpflichtet, ihre Infrastruktur nach IKT-Richtlinien zu ermitteln und zu verwalten. Darüber hinaus müssen Verantwortlichkeiten direkt zugewiesen werden, um IKT- und Sicherheitsrisiken angemessen zu verwalten und zu überwachen. Dieser Abschnitt befasst sich mit der Zuweisung von Schlüsselrollen und Verantwortlichkeiten, der Bestimmung von Risiken und der Behebung von Problemen aus den gewonnenen Erkenntnissen.

In einem System der Risikoklassifizierung und -bewertung wird dargelegt, wie Risiken gemindert und relevante Informationen den EBA-Richtlinien gemäß gemeldet werden können. Außerdem werden die bestehenden Systeme kontinuierlich überprüft.

 

Informationssicherheit

Unter Informationssicherheit definieren die EBA-Richtlinien, was eine akzeptable Informationssicherheit für das Sicherheitsrisikomanagement darstellt. Die IKT-Richtlinien umreißen zudem die logische Sicherheit, die physische Sicherheit, die Sicherheit des IKT-Betriebs, die Sicherheitsüberwachung, die Überprüfung, Bewertung und Prüfung der Informationssicherheit sowie die Ausbildung und das Bewusstsein für Informationssicherheit.

 

IKT-Betriebsmanagement

In diesem Abschnitt der EBA-Richtlinien wird den Finanzinstituten empfohlen, ihren IKT-Betrieb auf der Grundlage von Verfahren und Prozessen zu verwalten, die vom Leitungsorgan implementiert werden. Auch das Vorfall- und Problemmanagement wird behandelt. Es wird erklärt, wie man im Falle eines Problems am besten mit dem zuständigen Bearbeiter zusammenarbeitet.

 

IKT-Projekt- und Änderungsmanagement

Die Institute werden angewiesen, einen Projekt-Governance-Prozess einzurichten, der Verantwortlichkeiten definiert, Rollen zuweist und die Rechenschaftspflicht festlegt, um die Umsetzung von IKT-Richtlinien und -Strategien zu unterstützen.

Außerdem lässt sich in den Richtlinien ein Abschnitt zur Anschaffung und Entwicklung von IKT-Systemen und das Änderungsprotokoll für das IKT-Management finden.

 

Ge­schäfts­fort­führungs­mana­gement

Im Falle schwerwiegender Geschäftsunterbrechungen infolge von Cyberangriffen oder Sicherheitsverletzungen müssen die Institute auf einen reibungslosen Übergang zurück zur Normalität vorbereitet sein. Der beschriebene Prozess umfasst eine Analyse der Geschäftsauswirkungen, einen Plan für die Geschäftskontinuität und Reaktion, Wiederherstellungspläne, das Testen der Pläne und schließlich die Einrichtung von Kommunikationskanälen während einer Krise.

 

Pflege der Kundenbeziehungen mit Zahlungsdienstnutzern

Das Sicherheitsrisikomanagement für Zahlungsdienstleister sieht die Einrichtung und Implementierung von Prozessen vor, die das Bewusstsein von Sicherheitsrisiken einzelner Services erhöhen.

Die übrigen EBA-Richtlinien befassen sich mit der Aufdeckung von betrügerischen oder böswilligen Konto-Nutzungen und weisen Möglichkeiten auf, Verstößen durch die Deaktivierung bestimmter Funktionen vorzubeugen.

 

Die Nutzung von Drittanbietern – EBA-Richtlinien zur Auslagerungen

In den EBA-Leitlinien zur Auslagerung definiert die Behörde Auslagerung als eine Vereinbarung zwischen einem regulierten Institut und einem Dienstleister, der einen Prozess, eine Dienstleistung oder eine Tätigkeit ausführt, die normalerweise intern abgewickelt werden würde. Daher sollte jedes Institut genau bestimmen, welche Vereinbarungen unter die Auslagerung an Dritte fallen. Die Regeln sind strenger für sensiblere Aufgaben, die im Falle eines Cyberangriffs etwa zu einem Systemausfall führen können.

Laut den EBA-Richtlinien zur Auslagerung müssen Institute sicherstellen, dass ihre risikomindernden Maßnahmen wirksam sind, wenn sie Drittanbieter in Anspruch nehmen. Daher fallen Drittanbieter unter die Definition des Risikomanagements der Institution.

Um sicherzustellen, dass die Kontinuität der IKT-Dienstleistungen und IKT-Systeme gewährleistet ist, empfehlen die EBA-Richtlinien zur Auslagerung den Instituten, in ihren Verträgen und Dienstleistungsvereinbarungen die folgenden Maßnahmen abzudecken:

  • Es müssen angemessene und verhältnismäßige Informationen über die sicherheitsbezogenen Ziele und Maßnahmen vorhanden sein. Diese müssen die Mindestanforderungen an die Cybersicherheit, Spezifikationen für den Datenlebenszyklus des Instituts, Anforderungen an die Datenverschlüsselung, Netzwerksicherheit und Überwachungsprozesse sowie den Standort der Rechenzentren umfassen.
  • Die EBA-Richtlinien zur Auslagerung besagen zudem, dass es Verfahren für den Betrieb von und den Umgang mit Sicherheitsvorfällen geben muss, die sowohl Eskalation als auch Berichterstattung einschließen.

Die Finanzinstitute, die diese Vereinbarungen mit Drittanbietern abschließen, müssen den Grad der Einhaltung der Sicherheitsmaßnahmen, Ziele und Leistungsvorgaben überwachen und sicherstellen.

Der Sicherheitsstandard von Drittanbietern muss dem Standard der Institutionen entsprechen, die sie beauftragen, wie in den EBA-Richtlinien zur Auslagerung festgelegt.

Fazit

Die EBA-Richtlinien zur Auslagerung nennen insbesondere Cloud-Dienste als das höchste Sicherheitsrisiko.

Die Bemühungen um den Einsatz von Cloud-Diensten haben in den meisten Branchen zugenommen – besonders während der Pandemie und dem Aufkommen von Remote Work. Die EBA-Richtlinien zur Auslagerung zielen darauf ab, die potenziellen Risikobereiche abzudecken, die mit Cloud-basierten Arbeitsplätzen einhergehen.

Mithilfe von LeanIX erhalten große Institute die notwendigen Tools und Services zur effizienten Verwaltung ihrer Enterprise Architecture.

Unternehmen, deren Application Portfolios aus mehr als 100 Applikationen bestehen, fehlt häufig ein transparenter Blick auf ihre Applikationslandschaft. Ein effektives Application Portfolio Management erleichtert die Einhaltung der in diesem Guide beschriebenen EBA-Richtlinien.

LeanIX unterstützt Finanzinstitute bei der Verwaltung von Software verschiedener Anbieter, wodurch die Einhaltung der komplexen EBA-Richtlinien erheblich erleichtert wird.

Gratis White Paper

Wie die Finanzbranche die Einhaltung von IT-Regularien sicherstellen kann

Vorschau der ersten 9 Seiten

Seite: /

Vollständige Version herunterladen