IT-Security Regulatory Update | Juni 2024
Fokus: DORA-Informationsregister, Ergänzungen des IDW zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes, Jahresbericht Insurance Europe
Highlight aus dem Juni 2024
Am 20. und 21. Juni 2024 informierte die Finanzaufsicht BaFin Finanzunternehmen über die Anforderungen an ein Informationsregister
Dabei wurden unter anderem folgende Fragen beantwortet:
Welche Daten müssen in den Informationsregistern enthalten sein? In welcher Detailtiefe sind die Daten bzgl. der genutzten IKT-Dienstleistungen vorzuhalten? Auf welche Art und Weise werden die Informationsregister bei der Aufsicht eingereicht?
Wie kann sichergestellt werden, dass die Daten im richtigen Format („maschinenlesbar“) eingereicht werden?
Präsentation DORA Informationsregister
Die Präsentation der BaFin zum DORA-Informationsregister erläutert die Anforderungen und Prinzipien zur Führung von Informationsregistern für Finanzunternehmen, die auf IKT-Drittdienstleister zurückgreifen. Finanzunternehmen müssen ein Informationsregister führen, das alle vertraglichen Vereinbarungen mit IKT-Drittdienstleistern umfasst. Diese Register dienen sowohl dem internen Risikomanagement als auch der Bereitstellung von Informationen für Aufsichtsbehörden. Es ist wichtig, die Daten regelmäßig zu überprüfen und etwaige Fehler unverzüglich zu korrigieren. Die Daten müssen mindestens fünf Jahre nach Vertragsende aufbewahrt werden. Die Identifikation von geschäftlichen Funktionen und deren Kritikalität ist ein zentraler Punkt. Unternehmen müssen alle operativen und geschäftlichen Funktionen identifizieren und bewerten, welche davon kritisch oder wichtig sind.
Ebenso müssen alle IKT-Dienste, die von Drittanbietern bereitgestellt werden und diese kritischen Funktionen unterstützen, im Register erfasst werden. DORA legt besonderen Wert auf die Unterscheidung zwischen kritischen und wichtigen Funktionen, deren Ausfall erhebliche negative Auswirkungen auf die finanzielle Leistungsfähigkeit oder die regulatorische Einhaltung haben könnte. Auch Subunternehmer, die IKT-Dienste unterstützen, müssen im Register dokumentiert werden. Das EU-Überwachungsrahmenwerk gibt standardisierte Templates vor, die Details zu den vertraglichen Vereinbarungen und den beteiligten Dienstleistern enthalten. Unternehmen müssen sich an der Melde- und Veröffentlichungsplattform (MVP) selbst registrieren, wobei die Freischaltung durch die BaFin ab Januar 2025 erfolgt.
zur Präsentation der BaFin | Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de
Ergänzungen des IDW zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes
Das Institut der Wirtschaftsprüfer (IDW) hat sich zum Referentenentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) geäußert und gegenüber dem Bundesministerium des Innern und für Heimat (BMI) weitere Maßnahmen zur externen Qualitätssicherung und zur Stärkung der Cyberresilienz vorgeschlagen. Das IDW kritisiert, dass die Pflicht zur Nachweisführung der Sicherheitsmaßnahmen nur für Betreiber kritischer Anlagen vorgesehen ist. Angesichts der erhöhten Cyberbedrohungslage fordert das IDW, diese Nachweispflicht auch auf besonders wichtige Einrichtungen auszuweiten, um durch externe Sicherheitsaudits, Prüfungen oder Zertifizierungen eine zusätzliche Qualitätssicherung durch unabhängige Dritte zu gewährleisten. Weiterhin lehnt das IDW die im Entwurf geplante Verlängerung des Nachweiszeitraums von zwei auf mindestens drei Jahre ab. Aufgrund der dynamischen Bedrohungslage im Bereich der Cybersicherheit, insbesondere infolge des russischen Angriffskriegs auf die Ukraine, hält das IDW einen zweijährigen Nachweiszeitraum für angemessener, um Risiken rechtzeitig zu erkennen und zu beheben. Daher plädiert das IDW dafür, den Nachweiszeitraum für Betreiber kritischer Anlagen bei zwei Jahren zu belassen.
Zur Äußerung des IDW | Quelle: Institut der Wirtschaftsprüfer / www.idw.de
Jahresbericht Insurance Europe
Die Insurance Europe veröffentlicht ihren Report 2023 – 2024 und geht dabei ebenfalls auf den Punkt Cybersicherheit ein: Die zunehmende Digitalisierung der Wirtschaft erhöht das Risiko von Cyberangriffen. Mit der NIS1-Richtlinie von 2016 führte die EU erstmals Cybersicherheits- und Meldepflichten für Betreiber wesentlicher Dienste ein. Diese schuf jedoch Ungleichheiten im Versicherungssektor, da einige Länder Versicherungsunternehmen einbezogen und andere nicht. 2020 schlug die EU die NIS2-Richtlinie und das Digital Operational Resilience Act (DORA) vor, das 2022 verabschiedet wurde. DORA vereinheitlicht die Cybersicherheitspraktiken im Finanzsektor und ersetzt NIS1 für Versicherer. Die Entwicklung der „level 2 measures“ ist im Gange, und der Versicherungssektor arbeitet intensiv an der Einhaltung von DORA bis Januar 2025. Diese Maßnahmen umfassen technische Standards und Anforderungen an das Risikomanagement. Herausforderungen bestehen bei der Meldung von Sicherheitsvorfällen und der Vertragsgestaltung mit Drittanbietern. Der Sektor begrüßt DORA und arbeitet aktiv daran, die Vorschriften umzusetzen und die Cybersicherheit zu stärken.
zum Bericht des Insurance Europe | Quelle: Insurance Europe / www.insuranceeurope.eu
Wir von ADWEKO behalten die nationale, europäische und internationale Regulatorik für Sie im Blick und unterstützen Sie bei deren Umsetzung.
- Insurance Europe veröffentlicht Jahresbericht – Insurance Europe Annual Report 2023-2024
- Nutzungsbedingungen der Zeichenordnung – Zeichenordnung zur Zertifizierung und Anerkennung sowie IT-Sicherheitskennzeichen, Version 2.5
- Ergänzungen des IDW zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes – IDW zum Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes
- IDW gibt Prüfungshinweis zur Behandlung des Einsatzes von IT – IDW Prüfungshinweis zur Behandlung des Einsatzes von IT in der Abschlussprüfung
- Webinar von PwC – The New Generation of ESG Risk Assessment Methods – PwC webinar – The New Generation of ESG Risk Assessment Methods
- IT-Grundschutz-konforme Dokumentation – IT-Grundschutz-konforme Dokumentation – FAQ und Einführung
- BSI Magazin 2024/01 – Mit Sicherheit – BSI-Magazin erschienen: Cybernation Deutschland im Fokus
- Präsentation DORA-Informationsregister – Präsentation DORA Infromationsregister