IT-Security Regulatory Update | April 2023
Fokus: Neue Europäische IT-Sicherheits-Vorgaben, Cyber Incident Reporting, RTS/ITS unter DORA
Highlight aus dem April 2023
Neue IT-Sicherheits- und Datenschutzvorgaben der EU in Arbeit
Im April veröffentlichte die Europäische Kommission drei neue Initiativen im Kontext der IT- und Cybersicherheit sowie des Datenschutzes, die wir näher beleuchten.
IT-Sicherheit, Cybersicherheit und Datenschutz erwarten Aktualisierung durch die EU
Die Europäische Kommission hat jüngst einen neuen Rechtsakt und zwei delegierte Rechtsakte im Entwurfsstadium vorgestellt, die sich mit den Themen IT- bzw. Cybersicherheit und Datenschutz befassen.
1. Initiative zum Cyber Solidarity Act
Der Vorschlag für eine Verordnung befasst sich mit Bedrohungen und Schwachstellen im Kontext Cybersicherheit und soll Risiken und Bedrohungen aufgrund der zunehmenden Nutzung von Informations- und Kommunikationstechnologien (IKT) aufgreifen. Als wesentlicher Faktor kommen die wachsenden Spill-Over-Risiken über Landesgrenzen hinweg hinzu. Schließlich wird die Verwendung von Cyber- und hybriden Komponenten in Kriegshandlungen immer wahrscheinlicher, sodass auch hieraus Konsequenzen auf rechtlicher Ebene gezogen werden müssen. Die EU-Kommission hält angesichts dessen die Verbesserung des Informationsaustauschs und die Schaffung kollektiver Kapazitäten für den Umgang mit Cyberbedrohungen für eine aussichtsreiche Maßnahme, die sie im Cyber Solidarity Act veranken möchte.
Stellungnahmen zur Initiative nimmt die Kommission bis zum 29. Juni 2023 entgegen, die Sie hier finden.
2. Vorschlag für Cyber Skills Proposal Amendment
In ihrem Cyber Security Act von 2019 räumte die EU die Möglichkeit ein, Cybersicherheitsprodukte und -services zertifizieren zu lassen. Drei Zertifizierungsmöglichkeiten hat die European Union Cybersecurity Agency (ENISA) bereits vorgestellt, das European Cybersecurity certification Scheme (EUCC), das Cybersecurity Certification Scheme for Cloud Services (EUCS) sowie das EU 5G Scheme for network devices and identification. Die Kommission stellt in diesem Vorschlag nun auch eine Zertifizierung für Managed Security Services vor, da diese laufend an Relevanz gewinnen und so ein Qualitätsmerkmal eingeführt werden soll.
Rückmeldungen zum Vorschlag nimmt die Kommission bis zum 29. Juni 2023 entgegen, den Sie hier finden.
3. Sondierung Delegierte Verordnung zum Datenzugang
Mit dem im Oktober 2022 veröffentlichten Digital Services Act hat der europäische Gesetzgeber unter anderem Haftungs- und Sicherheitsvorschriften für digitale Plattformen, Dienste und Produkte ins Leben gerufen. Gemäß der Verordnung ist die EU-Kommission für die Erarbeitung von delegierten Rechtsakten hierzu verpflichtet und wagt einen Vorstoß in Richtung Datenzugang. Konkret geht es um die Möglichkeit für geprüfte Forschende Zugang zu Daten sehr großer Online-Plattformen und Suchmaschinen zu gewähren. Dies ist eine der zentralen Maßnahmen des Digital Services Act, um Transparenz und Verantwortlichkeit der Plattformen zu erhöhen.
Bis zum 23. Mai 2023 nimmt die Kommission Rückmeldungen zur Sondierung entgegen, die Sie hier auf der Webseite der Kommission finden.
Quelle: Europäische Kommission – ec.europa.eu
FSB stellt Empfehlungen zur Konvergenz im Cyber Incident Reporting auf
Mit zunehmender Anzahl an Cybervorfällen wird aufgrund der Vernetztheit innerhalb der Finanzbranche auch immer wahrscheinlicher, dass ein Vorfall mehrere Institute betrifft. Damit steigt auch die Wahrscheinlichkeit von grenz- und sektorüberschreitenden Spill-Over-Effekten. Vor diesem Hintergrund betrachten die G20 pünktliche und akkurate Informationen über Cybervorfälle als essentiell, um diesen entsprechend zu begegnen und die Finanzstabilität aufrechtzuerhalten. Auf dieser Basis hat das FSB eine Unterlage zur Konvergenz im Cyber Incident Reporting konsultiert und veröffentlicht nun den finalen Bericht.
In dem Bericht geht das FSB auf Gemeinsamkeiten der verschiedenen Reporting-Rahmenwerke ein und stellt praktische Herausforderungen bei der Sammlung von Informationen rund um Cyber Incident Reports und das Teilen der Informationen zwischen Finanzaufsichtsbehörden vor. Um diesen zu begegnen, stellt der Bericht 16 Handlungsempfehlungen auf, die auf Best Practices beruhen. Die Empfehlungen werden in 4 Kategorien gruppiert: Herangehensweise an das Reportings, Aufsichtsaktivitäten und Zusammenarbeit zwischen Aufsichtsbehörden, Einbindung der Finanzunternehmen und Kompetenzentwicklung.
Den Bericht des FSB finden Sie hier, auf dessen Webseite.
Das FSB hat im Zuge dieses Vorstoßes zur Steigerung der Konvergenz im Cyber Incident Reporting sein Cyber-Lexikon aktualisiert. Die dort festgehaltenen Definitionen und Taxonomien sind für die Förderungen der Cyberresilienz und der Konvergenz im Reporting erforderlich.
Das Lexikon soll ein gemeinsames Verständnis der Terminologie sicherstellen und so die Bewertung und Überwachung von Risiken für die Finanzstabilität im Kontext von Cyberrisiken vereinfachen. Darüber hinaus soll es das Teilen von Informationen vereinfachen und standardsetzenden Behörden Anleitung im Kontext Cybersicherheit und -Resilienz geben.
Das aktualisierte Lexikon des FSB finden Sie hier auf dessen Webseite.
Im Rahmen seiner Arbeit an einer Steigerung der Konvergenz für das Cyber Incident Reporting hat das FSB außerdem festgestellt, dass die durch verschiedene Aufsichtsbehörden geforderten Informationen weitgehend deckungsgleich sind. Hier sieht das FSB die Möglichkeit, von diesen Übereinstimmungen zu profitieren und ein gemeinsames Reportingformat zu definieren. So würde die Informationssammlung und deren Teilen einfacher werden.
In seinem Report geht das FSB auf erhaltenes Feedback zum Format for Incident Reporting Exchange (FIRE) ein und stellt mögliche Nutzen, Risiken und Kosten vor. Ferner wird darauf eingegangen, wie die Entwicklung von FIRE vorangetrieben werden soll.
Den Vorschlag des FSB finden Sie hier auf dessen Webseite.
Quelle: Financial Stability Board, c/o Bank for International Settlements, Basel, Switzerland – fsb.org
Update zu DORA RTS und ITS durch die ESMA
In ihrer Übersicht zu geplanten Konsultationen 2023 stellt die ESMA unter anderem die delegierten und Durchführungsrechtsakte unter dem Digital Operational Resilience Act (DORA) auf eine Timeline. Demnach hat sie die ersten Konsultationen zu technischen Regulierungsstandards (RTS) und technischen Durchführungsstandards (ITS) für das Q2 2023 geplant, die zweiten Konsultationen sollen dann im Q4 2023 folgen.
Damit erleichtert die ESMA hoffentlich bald die Umsetzung des DORA durch betroffene Institute und IKT-Dienstleister, indem so weitere Details zu einzelnen Aspekten des DORA bekannt werden.
Die Übersicht der ESMA finden Sie hier auf deren Webseite.
Quelle: European Security and Markets Authority – ESMA, esma.europa.eu
Mithilfe unserer Übersichtsseite zum DORA halten wir Sie gerne auf dem Laufenden.
Mit den drei angedachten neuen (delegierten) Rechtsakten macht die EU-Kommission einen deutlichen Schrott vorwärts in Sachen Cybersicherheit und Nutung von IKT. Bleiben Sie mit ADWEKO rund um die weitere Entwicklung hierzu auf dem Laufenden.
Bei der Prüfung Ihres Compliance-Reifegrads und der Umsetzung von IT-Sicherheits-Vorgaben und -Maßnahmen stehen wir Ihnen mit unserer Expertise gerne zur Seite.
Die aktuellen regulatorischen Entwicklungen finden Sie hier im Überblick