IT-security Regulatory Update | Januar 2023

Fokus: IT-Grundschutz-Kompendium 2023, Risiken und Trends im Jahr 2023

← PRISMA - Bundesbankprojekt zur Verbesserung der Meldungsverarbeitung | 17.01.23 DORA – Ein Gesamtüberblick →

Highlight aus dem Januar 2023

Veröffentlichung des IT-Grundschutz-Kompendiums 2023

Das BSI hat das IT-Grundschutz-Kompendium in der Edition 2023 veröffentlicht. Machen Sie sich mithilfe des Änderungsdokuments des BSI mit den Anpassungen vertraut!

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

IT-Grundschutz-Kompendium Edition 2023

Alle Jahre wieder veröffentlicht das BSI eine aktualisierte Version des IT-Grundschutz-Kompendiums. 2023 bildet dabei keine Ausnahme und so wurde Anfang Februar die Edition 2023 publiziert.

Im Zuge der Aktualisierung hat das BSI die folgenden Änderungen vorgenommen:

In fünf Schichten des Kompendiums sind zehn neu Bausteine hinzugekommen. Unter anderem beschäftigen sich diese mit dem IT-Betrieb (OPS.1.1.1) sowie dem Outsourcing (OPS.2.3 und OPS.3.2), in dem zwei bestehenden Bausteine durch die neu hinzugekommenen abgelöst wurden.
21 Bausteine der Edition 2022 wurden umfangreich angepasst. Betroffen sind beispielweise das Kryptokonzept (CON.1) und der Datenschutz (CON.2), aber auch die Active Directrory (APP.2.2) sowie Bausteine rund um Räumlichkeiten und Infrastrukturen (INF.1, INF.2 sowie INF.10).
Bei allen Bausteinen fand eine strukturelle Überarbeitung statt.
Ferner wurden sprachliche Anpassungen umgesetzt.

Neben den Bausteinen selbst hat das BSI die Kreuzreferenztabellen (KRT) überarbeitet. Diese umfassen nur noch direkte Gefährdungen, die unmittelbar auf das Zielobjekt einwirken.

Laptop mit Schlosssymbol auf dem Bildschirm auf einer Weltkarte als Hintergrund mit Vernetzungen in verschiedene Länder

Wie gewohnt stellt das BSI das IT-Grundschutz-Kompendium in diversen Formaten zur Verfügung:

Das gesamte IT-Grundschutz-Kompendium in der Edition 2023 hier;
die einzelnen Bausteine des Kompendiums hier;
die Struktur des Kompendiums hier;
die Version in Word hier; sowie
die Version in xml hier.

Darüber hinaus hat das BSI folgende unterstützende Materialien erarbeitet:

Ein Änderungsdokument, in dem alle vorgenommenen Änderungen aufgelistet und beschrieben sind, hier; sowie
die überarbeiteten Kreuzreferenztabellen hier.

Quelle: Bundesamt für Sicherheit in der Informationstechnik – BSI, bsi.bund.de

Fokusrisiken im Jahr 2023 aus Sicht der BaFin

Der Präsident der BaFin stellte auf dem diesjährigen Presseempfang einige Risiken vor, die die Aufsichtsbehörde 2023 besonders beschäftigen werden. Zu den sechs Fokusrisiken gehören auch IT-Risiken, insbesondere im Kontext von Cyberattacken.

Der Bericht beleuchtet, dass die Wahrscheinlichkeit von Störungen im IT-Betrieb von Fianzdienstleistern weiter zunimmt. Obgleich eine Vielzahl derselben intern ausgelöst werden, ist dies kein Grund zur Entwarnung; absichtlich verursachte IT-Vorfälle weisen ein sehr hohes Schadenspotential auf. Dieses Risiko betrifft auch nicht nur einzelne Institute. Die zunehmende Anzahl an Auslagerungen und der einerseits steigenden Vernetzung der Institute untereinander sowie andererseits der Auslagerungsunternehmen sowohl untereinander als auch mit ihren Subdienstleistern, potenziert dieses Risiko. Ein IT-Vorfall in einem Institut oder einem Dienstleister entlang der Auslagerungskette hat das Potential, sich direkt oder indirekt auf diverse andere Finanzinstitute auszuwirken. Die Konsequenzen können daher in weiten und/oder bedeutenden Teilen des Finanzsystems zu spüren sein.

Auf das IT-Risiko zahlt aber auch einer der vorgestellten Trends ein: die Digitalisierung. Und vorallem der Mangel derselben. Viele Institute operieren auf veralteten IT-Infrastrukturen und sind damit deutlich anfälliger für IT-Sicherheitsvorfälle, Störungen und Ausfälle.

Um dieser Entwicklung zu begegnen und das wachsende Risiko zu mitigieren, plant die BaFin eine engmaschige Überwachung von Mehrmandantendienstleistern sowie zusätzliche Prüfungshandlungen. Weiterhin wird sie die Umsetzung der Vorgaben des DORA eng betreuen.

Die Mitteilung der BaFin zum Presseempfang und den Fokusrisiken für 2023 finden Sie hier.

Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de

Cyberresilienz als Trend für 2023

Neben der BaFin beschäftigt sich auch die EU-Kommission mit Themen, die 2023 besonders relevant werden. Im EU-weiten Kontext werden bereits jetzt die Europawahlen 2025 in Augenschein genommen. Daneben sind aber auch ESG- und klimabezogene Themen ein Trend, der uns im Jahr 2023 begleiten wird.

Neben diesen beispielhaft genannten Trends betrachtet die Kommission auch die Cyberresilienz als besonders relevant. Der Bericht nähert sich dem Thema über die Bedrohungslandkarte sowie die Cybersicherheit von KRITIS, ehe er sich mit der Steigerung der operativen Resilienz der EU widmet. Betrachtet werden aber auch die Risiken für Privathaushalte, denen durch den Cyber Resilience Act begegnet werden soll. Daneben rückt die Lieferkette in den Fokus sowie Hochrisikodienstleister entlang dieser.

Schließlich adressiert die Kommission die Fähigkeitenlücke im Cybersicherheitssektor und geht auf verschiedene Maßnahmen zur Schließung dieser Lücke ein.

Die Analyse der EU-Kommission finden Sie hier auf deren Webseite.

Quelle: Europäische Kommission – ec.europa.eu

Das IT-Grundschutz-Kompendium in der Edition 2023 bringt einige neue Inhalte und Anpassungen mit sich. Als Orientierung in einer Vielzahl an Themen rund um die IT-Sicherheit lohnt sich die Lektüre in jedem Fall.

Auch die Fokusthemen und -risiken der BaFin sowie der EU-Kommission zeigen die anhaltende Relevanz der IT-Sicherheit.

Bei der Orientierung und Umsetzung von Vorgaben rund um die IT-Sicherheit stehen wir bei ADWEKO Ihnen gerne mit unserer Expertise zur Seite.

Die aktuellen regulatorischen Entwicklungen finden Sie hier im Überblick

BaFin und Bundesbank veröffentlichen Rede zum Aufsichtsbriefing 2023
ESAs veröffentlichen Programm zur technischen Diskussion rund um DORA
EIOPA beschäftigt sich mit der aufsichtlichen Konvergenz

BSI veröffentlicht Empfehlung zum Einsatz von Produkten mit digitalen Elementen in UP KRITIS
BSI veröffentlicht englische Version des IT-Grundschutz-Kompendiums 2022
EBA veröffentlicht Risk Dashboard mit Daten aus dem Q3 2022
FSB veröffentlicht Rückmeldungen zur Konsultation zum Cyber Incident Reporting
ENISA gewährt Einblick in „Awareness Raising in a Box“
CEP analysiert Cyber Resilience Act

BfDI befasst sich mit Cookies
EU-Parlament adressiert seine Datenschutzpolitik
ENISA veröffentlicht Bericht zum praktischen Einsatz der DSGVO im Kontext des Datenaustauschs

Ausschüsse des Bundesrats empfehlen keine Aussetzung des Lieferkettensorgfaltspflichtengesetz

BaFin veröffentlicht Benutzerhandbuch für das MVP-Portal
EIOPA veröffentlicht Consumer Trends Report 2022
EBA startet Stresstest 2023
Europäisches Parlament betrachtet Fortschritt zur Bankenunion
BaFin veröffentlicht FAQ zur Meldung von Zahlungssicherheitsvorfällen

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.