IT-Security Regulatory Update | April 2023

Fokus: Neue Europäische IT-Sicherheits-Vorgaben, Cyber Incident Reporting, RTS/ITS unter DORA

← SAP & SAP Fioneer Financial Services Forum 2023 | 08.05.23 ESG – Vorbereitung Aufsichtsgespräch – Teil 1 | 15.05.23 →

Highlight aus dem April 2023

Neue IT-Sicherheits- und Datenschutzvorgaben der EU in Arbeit

Im April veröffentlichte die Europäische Kommission drei neue Initiativen im Kontext der IT- und Cybersicherheit sowie des Datenschutzes, die wir näher beleuchten.

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

IT-Sicherheit, Cybersicherheit und Datenschutz erwarten Aktualisierung durch die EU

Die Europäische Kommission hat jüngst einen neuen Rechtsakt und zwei delegierte Rechtsakte im Entwurfsstadium vorgestellt, die sich mit den Themen IT- bzw. Cybersicherheit und Datenschutz befassen.

1. Initiative zum Cyber Solidarity Act

Der Vorschlag für eine Verordnung befasst sich mit Bedrohungen und Schwachstellen im Kontext Cybersicherheit und soll Risiken und Bedrohungen aufgrund der zunehmenden Nutzung von Informations- und Kommunikationstechnologien (IKT) aufgreifen. Als wesentlicher Faktor kommen die wachsenden Spill-Over-Risiken über Landesgrenzen hinweg hinzu. Schließlich wird die Verwendung von Cyber- und hybriden Komponenten in Kriegshandlungen immer wahrscheinlicher, sodass auch hieraus Konsequenzen auf rechtlicher Ebene gezogen werden müssen. Die EU-Kommission hält angesichts dessen die Verbesserung des Informationsaustauschs und die Schaffung kollektiver Kapazitäten für den Umgang mit Cyberbedrohungen für eine aussichtsreiche Maßnahme, die sie im Cyber Solidarity Act veranken möchte.
Stellungnahmen zur Initiative nimmt die Kommission bis zum 29. Juni 2023 entgegen, die Sie hier finden.

2. Vorschlag für Cyber Skills Proposal Amendment

In ihrem Cyber Security Act von 2019 räumte die EU die Möglichkeit ein, Cybersicherheitsprodukte und -services zertifizieren zu lassen. Drei Zertifizierungsmöglichkeiten hat die European Union Cybersecurity Agency (ENISA) bereits vorgestellt, das European Cybersecurity certification Scheme (EUCC), das Cybersecurity Certification Scheme for Cloud Services (EUCS) sowie das EU 5G Scheme for network devices and identification. Die Kommission stellt in diesem Vorschlag nun auch eine Zertifizierung für Managed Security Services vor, da diese laufend an Relevanz gewinnen und so ein Qualitätsmerkmal eingeführt werden soll.
Rückmeldungen zum Vorschlag nimmt die Kommission bis zum 29. Juni 2023 entgegen, den Sie hier finden.

Vor einem blauen Hintergrund findet sich auf der rechten Bildseite die gelben Sterne der Europa-Flagge rings um ein gelbes abstrakt gezeichnetes Schloss. Auf der linken Seite befindet sich eine Hand mit ausgestrecktem Zeigefinger, die auf ein ihr durch eine andere Hand waagrecht hin gehaltenes Telefon tippt.

3. Sondierung Delegierte Verordnung zum Datenzugang

Mit dem im Oktober 2022 veröffentlichten Digital Services Act hat der europäische Gesetzgeber unter anderem Haftungs- und Sicherheitsvorschriften für digitale Plattformen, Dienste und Produkte ins Leben gerufen. Gemäß der Verordnung ist die EU-Kommission für die Erarbeitung von delegierten Rechtsakten hierzu verpflichtet und wagt einen Vorstoß in Richtung Datenzugang. Konkret geht es um die Möglichkeit für geprüfte Forschende Zugang zu Daten sehr großer Online-Plattformen und Suchmaschinen zu gewähren. Dies ist eine der zentralen Maßnahmen des Digital Services Act, um Transparenz und Verantwortlichkeit der Plattformen zu erhöhen.
Bis zum 23. Mai 2023 nimmt die Kommission Rückmeldungen zur Sondierung entgegen, die Sie hier auf der Webseite der Kommission finden.

Quelle: Europäische Kommission – ec.europa.eu

FSB stellt Empfehlungen zur Konvergenz im Cyber Incident Reporting auf

Mit zunehmender Anzahl an Cybervorfällen wird aufgrund der Vernetztheit innerhalb der Finanzbranche auch immer wahrscheinlicher, dass ein Vorfall mehrere Institute betrifft. Damit steigt auch die Wahrscheinlichkeit von grenz- und sektorüberschreitenden Spill-Over-Effekten. Vor diesem Hintergrund betrachten die G20 pünktliche und akkurate Informationen über Cybervorfälle als essentiell, um diesen entsprechend zu begegnen und die Finanzstabilität aufrechtzuerhalten. Auf dieser Basis hat das FSB eine Unterlage zur Konvergenz im Cyber Incident Reporting konsultiert und veröffentlicht nun den finalen Bericht.

In dem Bericht geht das FSB auf Gemeinsamkeiten der verschiedenen Reporting-Rahmenwerke ein und stellt praktische Herausforderungen bei der Sammlung von Informationen rund um Cyber Incident Reports und das Teilen der Informationen zwischen Finanzaufsichtsbehörden vor. Um diesen zu begegnen, stellt der Bericht 16 Handlungsempfehlungen auf, die auf Best Practices beruhen. Die Empfehlungen werden in 4 Kategorien gruppiert: Herangehensweise an das Reportings, Aufsichtsaktivitäten und Zusammenarbeit zwischen Aufsichtsbehörden, Einbindung der Finanzunternehmen und Kompetenzentwicklung.

Den Bericht des FSB finden Sie hier, auf dessen Webseite.

Das FSB hat im Zuge dieses Vorstoßes zur Steigerung der Konvergenz im Cyber Incident Reporting sein Cyber-Lexikon aktualisiert. Die dort festgehaltenen Definitionen und Taxonomien sind für die Förderungen der Cyberresilienz und der Konvergenz im Reporting erforderlich.

Das Lexikon soll ein gemeinsames Verständnis der Terminologie sicherstellen und so die Bewertung und Überwachung von Risiken für die Finanzstabilität im Kontext von Cyberrisiken vereinfachen. Darüber hinaus soll es das Teilen von Informationen vereinfachen und standardsetzenden Behörden Anleitung im Kontext Cybersicherheit und -Resilienz geben.

Das aktualisierte Lexikon des FSB finden Sie hier auf dessen Webseite.

Im Rahmen seiner Arbeit an einer Steigerung der Konvergenz für das Cyber Incident Reporting hat das FSB außerdem festgestellt, dass die durch verschiedene Aufsichtsbehörden geforderten Informationen weitgehend deckungsgleich sind. Hier sieht das FSB die Möglichkeit, von diesen Übereinstimmungen zu profitieren und ein gemeinsames Reportingformat zu definieren. So würde die Informationssammlung und deren Teilen einfacher werden.

In seinem Report geht das FSB auf erhaltenes Feedback zum Format for Incident Reporting Exchange (FIRE) ein und stellt mögliche Nutzen, Risiken und Kosten vor. Ferner wird darauf eingegangen, wie die Entwicklung von FIRE vorangetrieben werden soll.

Den Vorschlag des FSB finden Sie hier auf dessen Webseite.

Quelle: Financial Stability Board, c/o Bank for International Settlements, Basel, Switzerland – fsb.org

Update zu DORA RTS und ITS durch die ESMA

In ihrer Übersicht zu geplanten Konsultationen 2023 stellt die ESMA unter anderem die delegierten und Durchführungsrechtsakte unter dem Digital Operational Resilience Act (DORA) auf eine Timeline. Demnach hat sie die ersten Konsultationen zu technischen Regulierungsstandards (RTS) und technischen Durchführungsstandards (ITS) für das Q2 2023 geplant, die zweiten Konsultationen sollen dann im Q4 2023 folgen.

Damit erleichtert die ESMA hoffentlich bald die Umsetzung des DORA durch betroffene Institute und IKT-Dienstleister, indem so weitere Details zu einzelnen Aspekten des DORA bekannt werden.

Die Übersicht der ESMA finden Sie hier auf deren Webseite.

Quelle: European Security and Markets Authority – ESMA, esma.europa.eu

Mithilfe unserer Übersichtsseite zum DORA halten wir Sie gerne auf dem Laufenden.

Mit den drei angedachten neuen (delegierten) Rechtsakten macht die EU-Kommission einen deutlichen Schrott vorwärts in Sachen Cybersicherheit und Nutung von IKT. Bleiben Sie mit ADWEKO rund um die weitere Entwicklung hierzu auf dem Laufenden.

Bei der Prüfung Ihres Compliance-Reifegrads und der Umsetzung von IT-Sicherheits-Vorgaben und -Maßnahmen stehen wir Ihnen mit unserer Expertise gerne zur Seite.

Die aktuellen regulatorischen Entwicklungen finden Sie hier im Überblick

EZB veröffentlicht Working Paper zur Digitalisierung

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.