IT-Security Regulatory Update | Februar 2022

Highlight aus dem Februar 2022

IT-Grundschutz-Kompendium Edition 2022 veröffentlicht

03. März 2022 – Neben inhaltlichen Anpassungen an 14 Bausteinen wurden
sieben Bausteine neu aufgenommen. Machen Sie sich mit den Änderungen vertraut!

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

IT-Grundschutz-Kompendium 2022

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht regelmäßig eine Aktualisierung des IT-Grundschutz-Kompendiums, welches gemeinsam mit den BSI-Standards die Basis für die Informationssicherheit bildet. Für das diesjährige Kompendium wurden allerdings im Vergleich zum Vorjahr 16 IT-Grundschutz-Bausteine auf Basis der Rückmeldungen von Informationssicherheitsbeauftragten angepasst. Das BSI begrüßt dabei diesen Input sehr, da er entscheidend zur anwenderfreundlichen Ausgestaltung der Vorgaben beiträgt.

Die Anpassungen am IT-Grundschutz-Kompendium lassen sich wie folgt zusammenfassen:

  • Bei 14 Bausteinen hat das BSI inhaltliche Änderungen vorgenommen, unter anderem im Datensicherungskonzept (CON.3), bei Software-Tests und -Freigaben (OPS.1.1.6) sowie bei allgemeiner Software (APP.6).
  • Zwei weitere Bausteine wurden redaktionell angepasst.
  • Sieben Bausteine des IT-Grundschutz-Kompendiums wurden neu aufgenommen. Sie beschäftigen sich mit diversen Themen, beispielweise dem Systemmanagement (OPS.1.1.7), der Containerisierung (SYS.1.6) und der Fernwartung im industriellen Umfeld (IND.3.2).
  • Zwei Bausteine wurden umbenannt.

Um die praktische Umsetzung der Veränderungen zu vereinfachen, hat das BSI folglich diverse unterstützende Dokumente zur Verfügung gestellt, welche Sie auf der Webseite des BSI abrufen können:

  • Eine Änderungsübersicht, welche die vorgenommenen Anpassungen aufzeigt und erläutert. Diese finden Sie hier.
  • Eine Übersicht zur Struktur der 5. Edition des Grundschutz-Kompendiums finden Sie hier.
  • Kreuzreferenztabellen zum IT-Grundschutz-Kompendium finden Sie hier.
  • Checklisten zu den einzelnen Bausteinen finden Sie hier.

Das gesamte IT-Grundschutz-Kompendium 2022 finden Sie entsprechend hier auf der Webseite des BSI.

Quelle: Bundesamt für Sicherheit in der Informationstechnik – BSI, https://www.bsi.bund.de/

Fachgremium der BaFin geht auf Auslegungsfragen zur 6. MaRisk Novelle und dem FISG ein

Mit Veröffentlichung der Entwürfe zum Finanzmarktintegritätsstärkungsgesetz (FISG) ging ein Ruck durch die Finanzbranche, die Folgen des Wirecard-Skandals hatten damit auch unbeteiligte Institute eingeholt. Neben diversen anderen Themen verschärft das Gesetz nun auch die Regulierung von Auslagerungen quer durch die Branche. In seiner Sitzung im Oktober 2021 griff das Fachgremium MaRisk diverse Fragen zur Auslegung des FISG sowie der 6. MaRisk Novelle – die neben anderen Themen ebenfalls eine Verschärfung im Kontext der Auslagerungen nach sich zog – auf.

Im Übrigen beschäftigte sich das Fachgremium außerdem auch mit der Anzeigepflicht im Auslagerungskontext sowie den geplanten Anpassungen an den Mindestanforderungen an das Risikomanagement (MaRisk) bezüglich der Geschäftsmodellanalyse als auch den Information über die aufsichtliche Eigenmittelzielkennziffer zur Abdeckung von Risiken in Stresssituationen.

Das Protokoll des Fachgremiums finden Sie entsprechend hier auf der Webseite der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).

© Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de

Neue Technologien fordern ein Neudenken des Datenschutzes

Neue Technologien fordern die Aufsichtsbehörden und Gesetzgeber aktuell europaweit. Im Kontext des Datenschutzes hat sich die European Union Agency for Cybersecurity (ENISA) deswegen genauer mit den daraus entstehenden Chancen und ebenso Risiken beschäftigt. Sie kommt dabei schließlich zu dem Ergebnis, dass die Datenschutzgrundverordnung (DSGVO) in Bezug auf neue Technologien neu gedacht werden muss. Gerade Verarbeitungstätigkeiten müssen überdacht werden und gegebenenfalls sind neue Akteure und ebenso Verantwortlichkeiten zu definieren.

Mit dem Bericht „Data Protection Engineering“ gibt die ENISA Datenschutz-Praktikern und Organisationen damit eine Hilfestellung zur praktischen Umsetzung technischer Aspekte des Datenschutzes an die Hand.

Den Bericht der ENISA finden Sie hier auf deren Webseite.

Quelle: © European Union Agency for Cybersecurity (ENISA), 2022 – enisa.europa.eu

Informationssicherheitsbeauftragte sollten sich mit den Änderungen am IT-Grundschutz-Kompendium vertraut machen, Anpassungsbedarfe identifizieren und umsetzen.

Wir bei ADWEKO stehen Ihnen dabei gerne zur Seite.

sprechen sie mit

Pia Streicher!