IT-Security Regulatory Update | Februar 2022
Highlight aus dem Februar 2022
IT-Grundschutz-Kompendium Edition 2022 veröffentlicht
IT-Grundschutz-Kompendium 2022
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht regelmäßig eine Aktualisierung des IT-Grundschutz-Kompendiums, welches gemeinsam mit den BSI-Standards die Basis für die Informationssicherheit bildet. Für das diesjährige Kompendium wurden allerdings im Vergleich zum Vorjahr 16 IT-Grundschutz-Bausteine auf Basis der Rückmeldungen von Informationssicherheitsbeauftragten angepasst. Das BSI begrüßt dabei diesen Input sehr, da er entscheidend zur anwenderfreundlichen Ausgestaltung der Vorgaben beiträgt.
Die Anpassungen am IT-Grundschutz-Kompendium lassen sich wie folgt zusammenfassen:
- Bei 14 Bausteinen hat das BSI inhaltliche Änderungen vorgenommen, unter anderem im Datensicherungskonzept (CON.3), bei Software-Tests und -Freigaben (OPS.1.1.6) sowie bei allgemeiner Software (APP.6).
- Zwei weitere Bausteine wurden redaktionell angepasst.
- Sieben Bausteine des IT-Grundschutz-Kompendiums wurden neu aufgenommen. Sie beschäftigen sich mit diversen Themen, beispielweise dem Systemmanagement (OPS.1.1.7), der Containerisierung (SYS.1.6) und der Fernwartung im industriellen Umfeld (IND.3.2).
- Zwei Bausteine wurden umbenannt.
Um die praktische Umsetzung der Veränderungen zu vereinfachen, hat das BSI folglich diverse unterstützende Dokumente zur Verfügung gestellt, welche Sie auf der Webseite des BSI abrufen können:
- Eine Änderungsübersicht, welche die vorgenommenen Anpassungen aufzeigt und erläutert. Diese finden Sie hier.
- Eine Übersicht zur Struktur der 5. Edition des Grundschutz-Kompendiums finden Sie hier.
- Kreuzreferenztabellen zum IT-Grundschutz-Kompendium finden Sie hier.
- Checklisten zu den einzelnen Bausteinen finden Sie hier.
Das gesamte IT-Grundschutz-Kompendium 2022 finden Sie entsprechend hier auf der Webseite des BSI.
Quelle: Bundesamt für Sicherheit in der Informationstechnik – BSI, https://www.bsi.bund.de/
Fachgremium der BaFin geht auf Auslegungsfragen zur 6. MaRisk Novelle und dem FISG ein
Mit Veröffentlichung der Entwürfe zum Finanzmarktintegritätsstärkungsgesetz (FISG) ging ein Ruck durch die Finanzbranche, die Folgen des Wirecard-Skandals hatten damit auch unbeteiligte Institute eingeholt. Neben diversen anderen Themen verschärft das Gesetz nun auch die Regulierung von Auslagerungen quer durch die Branche. In seiner Sitzung im Oktober 2021 griff das Fachgremium MaRisk diverse Fragen zur Auslegung des FISG sowie der 6. MaRisk Novelle – die neben anderen Themen ebenfalls eine Verschärfung im Kontext der Auslagerungen nach sich zog – auf.
Im Übrigen beschäftigte sich das Fachgremium außerdem auch mit der Anzeigepflicht im Auslagerungskontext sowie den geplanten Anpassungen an den Mindestanforderungen an das Risikomanagement (MaRisk) bezüglich der Geschäftsmodellanalyse als auch den Information über die aufsichtliche Eigenmittelzielkennziffer zur Abdeckung von Risiken in Stresssituationen.
Das Protokoll des Fachgremiums finden Sie entsprechend hier auf der Webseite der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).
© Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de
Neue Technologien fordern ein Neudenken des Datenschutzes
Neue Technologien fordern die Aufsichtsbehörden und Gesetzgeber aktuell europaweit. Im Kontext des Datenschutzes hat sich die European Union Agency for Cybersecurity (ENISA) deswegen genauer mit den daraus entstehenden Chancen und ebenso Risiken beschäftigt. Sie kommt dabei schließlich zu dem Ergebnis, dass die Datenschutzgrundverordnung (DSGVO) in Bezug auf neue Technologien neu gedacht werden muss. Gerade Verarbeitungstätigkeiten müssen überdacht werden und gegebenenfalls sind neue Akteure und ebenso Verantwortlichkeiten zu definieren.
Mit dem Bericht „Data Protection Engineering“ gibt die ENISA Datenschutz-Praktikern und Organisationen damit eine Hilfestellung zur praktischen Umsetzung technischer Aspekte des Datenschutzes an die Hand.
Den Bericht der ENISA finden Sie hier auf deren Webseite.
Quelle: © European Union Agency for Cybersecurity (ENISA), 2022 – enisa.europa.eu
Informationssicherheitsbeauftragte sollten sich mit den Änderungen am IT-Grundschutz-Kompendium vertraut machen, Anpassungsbedarfe identifizieren und umsetzen.
Wir bei ADWEKO stehen Ihnen dabei gerne zur Seite.