IT-Security Regulatory Update | Februar 2023

Fokus: Auslagerungsanzeigen, US-Datenschutzabkommen & CVDs Gemäß NIS2-Richtlinie

Highlight aus dem Februar 2023

Meldung von Outsourcings über das MVP-Portal

Nachdem seit 2022 die Meldung von Outsourcings bei der BaFin erfolgen soll, adressiert diese nun erste Rückfragen und stellt eine Vorlage für das MVP-Portal bereit.

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

Anzeige von Outsourcings bei der BaFin

Im Jahr 2022 sind für verschiedene Finanzinstitute Meldepflichten zu Outsourcings in Kraft getreten, wie wir in unserem Update vom November berichtet haben.

Für einige Finanzunternehmen war die Anzeigepflicht bereits eine bekannte Größe, für andere war die Anforderung eine neue. Im Zuge der Anzeigeverordnungen sind diverse Informationen rund um die outgesourcte Tätigkeit sowie um den Dienstleister selbst mit der Finanzaufsicht zu teilen.

Nach der Veröffentlichung der Anzeigeverordnungen hat die BaFin die Webseiten für die betroffenen Unternehmen erweitert und aktualisiert. Nun hat sie neben den Hinweisen zum Einreichen der Meldungen über das MVP-Portal auch eine Meldungsvorlage für die Anzeige schwerwiegender Vorfälle im Rahmen bestehender wesentlicher Outsourcings zur Verfügung gestellt.

Diese finden Sie hier auf der Webseite der BaFin.

unordentlicher Stapel weißes Papier

Mitte Februar hat die BaFin Finanzinstitute zu einer Informationsveranstaltung rund um die Anforderungen zur Anzeige eingeladen. Auf dem dreigeteilten Event ging sie auf Fragen von KWG- und ZAG-regulierten Instituten, Kapitalanlagegesellschaften und Wertpapierinstituten sowie Versicherungsunternehmen und Einrichtungen der betrieblichen Altersversorgung ein.

Im Nachgang zu ihrer Informationsveranstaltung hat die BaFin eine Präsentation mit Feedback zur Auslagerungsanzeige veröffentlicht. Darin adressiert sie Rückfragen und Feedback im Kontext allgemeiner Themen und geht nochmal auf den Meldeprozess ein.
Die häufigen Fragen, die sie aufgreift, befassen sich mit den folgenden Themengebieten:

  • Absicht und Vollzug von Outsourcings,
  • Wesentliche Änderungen von Outsourcings,
  • Anzeige schwerwiegender Vorfälle im Rahmen bestehender Outsourcings,
  • Nachmeldungen von Outsourcings.

Darüber hinaus adressiert die BaFin ihre geplante Bestandsabfrage mit dem Ziel, Konzentrationsrisiken zu erkennen und die Datenqualität zu erhöhen. Mit der Abfrage, die bei risikoorientiert ausgewählten Finanzunternehmen durchgeführt wird, soll im März 2023 begonnen werden.

Die Präsentation der BaFin finden Sie hier auf deren Webseite.

Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de

Stellungnahme der Aufsichtsbehörden zum EU-U.S. Data Privacy Shield

Mit dem Schrems II-Urteil des EuGH und dem damit verbundenen Wegfall des US Privacy Shields wurde die Übermittlung persönlicher Daten aus der EU heraus in die Vereinigten Staaten von Amerika zu einer Herausforderung. Etwa zwei Jahre später ist nun ein EU-U.S. Data Privacy Framework im Gespräch, das ein angemessenes Datenschutzniveau sicherstellen soll.

Sowohl der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) als auch durch das European Data Protection Board (EDPB) wird der Vorstoß der USA grundsätzlich begrüßt. Beide Stellen sehen Fortschritte in diversen Bereichen im Verhältnis zum Privacy Shield, die sie klar aus dem Urteil des EuGH ableiten. Der BfDI bewertet das Vorhaben positiv und sieht einen wichtigen Fortschritt im Kontext des internationalen Datenschutzes.

Gleichzeitig bestehen seitens BfDI und EDPB Bedenken, ob über das Framework ein angemessenes und der DSGVO entsprechendes Niveau erreicht werden kann. Konkret sieht das EDPB u.a. Schwachstellen im Kontext der Rechte von Datenschutzsubjekten, Datenweitergaben, Ausnahmeregelungen sowie Sammelerfassungen.

Die Stellungnahme des BfDI finden Sie hier auf dessen Webseite, diejenige des EDPB hier auf deren Webseite.

Quellen: © BfDI – bfdi.bund.de; European Data Protection Board – edpb.europa.eu

ENISA betrachtet Coordinated Vulnerability Disclosures im Rahmen von NIS2

Anhand einer Coordinated Vulnerability Disclosure (CVD) werden identifizierte Schwachstellen durch den Finder an die relevanten Stakeholder kommuniziert, sodass diese vor der Ausnutzung durch einen Angreifer geschlossen werden können. Dabei wird ein koordinierter Ansatz verfolgt, der auf einer Zusammenarbeit zwischen dem Entdecker der Schwachstelle, dem Hersteller oder Anbieter des Produkts oder Services, den Aufsichtsbehörden sowie ggf. Kunden beruht. 

Dieser etablierte Ansatz wird von der NIS2-Richtlinie aufgegriffen. In diesem Kontext beschäftigt sich die ENISA damit, wie harmonisierte nationale Schwachstellenprogramme und -initiativen in der EU aussehen können. Dabei geht sie auf die Erwartungshaltung der EU-Mitgliedstaaten einerseites und der Wirtschaft andererseits ein. Sie greift damit entsprechenden Leitlinien vor.

In ihrem Bericht erreicht die ENISA die nachfolgenden Schlussfolgerungen:

1. Nationale Vorgaben zu CVD können der Industrie als Beispiel dienen;
2. Vorgaben zu CVD und Umgang mit CVD sind weiterhin fragmentiert;
3. Aufklärung und Sensibilisierung im Kontext von CVD sollten vorrangig sein;
4. Es bestehen Herausforderungen auf Ebene des Rechts, der Technik und der Zusammenarbeit;
5. Ansätze zu „Sicherheit und Datenschutz by design“ sind zu bevorzugen.

Den Bericht der ENISA finden Sie hier auf deren Webseite.

Quelle: European Union Agency for Cybersecurity (ENISA) – enisa.europa.eu

Die Anzeige von Outsourcings bei der BaFin trägt dazu bei, Risiken auf übergeordneter Ebene rechtzeitig erkennen zu können. Sie geht aber auch mit diversen Aufwänden einher und ist in vielen Finanzunternehmen noch nicht vollständig erfolgt.

Bei der Implementierung des Meldevorgangs in der Auslagerungsprozess und der Identifikation zu meldender Inhalte stehen wir bei ADWEKO Ihnen gerne mit unserer Expertise zur Seite.

sprechen sie mit
Pia Streicher!