IT-Security Regulatory Update | Juli 2024
Fokus: Umsetzungshinweise zu DORA, DsiN Jahreskongress zum Thema Cybersicherheit / NIS-2-Umsetzung
Highlight aus dem Juli 2024
Am 08. Juli 2024 veröffentlichte die BaFin Umsetzungshinweise zu DORA.
Die meisten beaufsichtigten Unternehmen müssen künftig DORA anwenden. Was bedeutet dies für Banken und Versicherer? Das zeigt eine Aufsichtsmitteilung der BaFin zum IT-Risikomanagement und IT-Drittparteienrisikomanagement.
Aufsichtsmitteilung – Hinweise zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienrisikomanagement
Die BaFin hat Umsetzungshinweise zur Digital Operational Resilience Act (DORA) veröffentlicht, die Richtlinien zur digitalen Widerstandsfähigkeit für Finanzinstitute bieten. Das Dokument deckt verschiedene Bereiche ab, darunter Governance, IT-Risikomanagement, IT-Betrieb und Geschäftsfortführung. Es vergleicht die Anforderungen von DORA mit bestehenden Regelungen wie BAIT und VAIT, um die Einhaltung und Integration neuer Standards zu erleichtern. Die Zielsetzung besteht darin, die Widerstandsfähigkeit der Finanzinstitute gegen digitale Risiken durch detaillierte Maßnahmen zur Risikovermeidung und -kontrolle zu stärken.
zur Mitteilung der BaFin: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2024/meldung_2024_07_08_DORAGap.html;jsessionid=E9146D88A3E6E5B16913E5D45EBB7D28.internet952
Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de
Final report on the draft RTS
Die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) hat im Mai 2024 neue regulatorische technische Standards (RTS) für das Europäische einheitliche elektronische Format (ESEF) veröffentlicht, um es an die aktuellen International Financial Reporting Standards (IFRS) und neue XBRL-Spezifikationen anzupassen. Der Bericht legt zudem Anforderungen an die Berichterstattung über IT-Vorfälle und Cyber-Bedrohungen fest, um die digitale Resilienz im EU-Finanzsektor zu stärken. Dazu gehören Vorlagen und Prozesse für die Meldung solcher Vorfälle sowie eine Zusammenarbeit mit der Europäischen Zentralbank (EZB) und der EU-Agentur für Cybersicherheit (ENISA). Diese Standards wurden auch entwickelt, um die Widerstandsfähigkeit der Finanzinstitute gegenüber Cyber-Bedrohungen durch Penetrationstests zu erhöhen und eine harmonisierte Berichterstattung zu gewährleisten. Schließlich wird die Effizienz der Aufsicht durch harmonisierte Bedingungen und die Bildung von Joint Examination Teams (JETs) verbessert, um eine konsistente und effektive Überwachung sicherzustellen. Die Entwicklung der Standards berücksichtigte das Feedback aus öffentlichen Konsultationen und erfolgte in enger Zusammenarbeit mit europäischen Aufsichtsbehörden.
zum Final Report der ESMA:
https://www.esma.europa.eu/document/final-report-draft-rts-and-its-incident-reporting
Quelle: Quelle: European Security and Markets Authority – ESMA, esma.europa.eu
IDW beteiligt sich am DsiN Jahreskongress zum Thema Cybersicherheit / NIS-2-Umsetzung
Der Jahreskongress von Deutschland sicher im Netz (DsiN) beschäftigte sich intensiv mit aktuellen Herausforderungen und Entwicklungen im Bereich der Cybersicherheit, insbesondere im Hinblick auf die Umsetzung der NIS-2-Richtlinie. In einer Podiumsdiskussion unterstrich das Institut der Wirtschaftsprüfer (IDW) wichtige Aspekte zur Implementierung dieser Richtlinie. WP StB Andreas Pöhlmann, Technical Director Digitalization & Advisory beim IDW, nahm als Experte an dem Panel „Cybersicherheit vs. Cybercrime: Wer hat die Nase vorn?“ teil. Zentrales Thema der Diskussion war der Referentenentwurf zum Umsetzungsgesetz zur europäischen NIS2-Richtlinie (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG). Die Diskussion beleuchtete verschiedene Fragestellungen, darunter die Rolle der NIS-2 als möglicher Game-Changer im Wettlauf zwischen Unternehmen und Cyberangreifern, die Situation kleiner und mittelständischer Unternehmen (KMU) im Kampf gegen Cyberkriminalität und deren besondere Anfälligkeit als bevorzugte Ziele. Zudem wurden konkrete Maßnahmen erörtert, die Unternehmen sofort ergreifen können, sowie die Herausforderungen und Unterstützungsbedarfe, denen KMU bei der Umsetzung gegenüberstehen. Schließlich wurde diskutiert, wie die Politik Cybersicherheitskompetenzen auf ihre Agenda setzt und fördert.
zum Beitrag des IDW: https://www.idw.de/idw/idw-aktuell/idw-beteiligt-sich-am-dsin-jahreskongress-zum-thema-cybersicherheit-nis-2-umsetzung.html
Quelle: Institut der Wirtschaftsprüfer in Deutschland e.V. / www.idw.de
Wir von ADWEKO behalten die nationale, europäische und internationale Regulatorik für Sie im Blick und unterstützen Sie bei deren Umsetzung.
- Stresstest der Europäischen Bankenaufsichtsbehörde (EBA)
- One Pager des Systemic Cyber Incident Coordination Frameworks (EU-SCICF)
- Final report on the draft RTS and ITS on incident reporting
- Final Report on draft RTS specifying elements related to threat led penetration tests
- Final Report on draft RTS on the harmonisation of conditions enabling the conduct of the oversight activities