IT-Security Regulatory Update | Juni 2024

Fokus: DORA-Informationsregister, Ergänzungen des IDW zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes, Jahresbericht Insurance Europe

Highlight aus dem Juni 2024

Am 20. und 21. Juni 2024 informierte die Finanzaufsicht BaFin Finanzunternehmen über die Anforderungen an ein Informationsregister

Dabei wurden unter anderem folgende Fragen beantwortet:
Welche Daten müssen in den Informationsregistern enthalten sein? In welcher Detailtiefe sind die Daten bzgl. der genutzten IKT-Dienstleistungen vorzuhalten? Auf welche Art und Weise werden die Informationsregister bei der Aufsicht eingereicht?
Wie kann sichergestellt werden, dass die Daten im richtigen Format („maschinenlesbar“) eingereicht werden?

Pia Streicher

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

Präsentation DORA Informationsregister

Die Präsentation der BaFin zum DORA-Informationsregister erläutert die Anforderungen und Prinzipien zur Führung von Informationsregistern für Finanzunternehmen, die auf IKT-Drittdienstleister zurückgreifen. Finanzunternehmen müssen ein Informationsregister führen, das alle vertraglichen Vereinbarungen mit IKT-Drittdienstleistern umfasst. Diese Register dienen sowohl dem internen Risikomanagement als auch der Bereitstellung von Informationen für Aufsichtsbehörden. Es ist wichtig, die Daten regelmäßig zu überprüfen und etwaige Fehler unverzüglich zu korrigieren. Die Daten müssen mindestens fünf Jahre nach Vertragsende aufbewahrt werden. Die Identifikation von geschäftlichen Funktionen und deren Kritikalität ist ein zentraler Punkt. Unternehmen müssen alle operativen und geschäftlichen Funktionen identifizieren und bewerten, welche davon kritisch oder wichtig sind.

Ebenso müssen alle IKT-Dienste, die von Drittanbietern bereitgestellt werden und diese kritischen Funktionen unterstützen, im Register erfasst werden. DORA legt besonderen Wert auf die Unterscheidung zwischen kritischen und wichtigen Funktionen, deren Ausfall erhebliche negative Auswirkungen auf die finanzielle Leistungsfähigkeit oder die regulatorische Einhaltung haben könnte. Auch Subunternehmer, die IKT-Dienste unterstützen, müssen im Register dokumentiert werden. Das EU-Überwachungsrahmenwerk gibt standardisierte Templates vor, die Details zu den vertraglichen Vereinbarungen und den beteiligten Dienstleistern enthalten. Unternehmen müssen sich an der Melde- und Veröffentlichungsplattform (MVP) selbst registrieren, wobei die Freischaltung durch die BaFin ab Januar 2025 erfolgt.

zur Präsentation der BaFin | Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de

Verschlüsselte Daten zum Schutz gegen KI generierter Cyber Angriffe

Ergänzungen des IDW zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes

Das Institut der Wirtschaftsprüfer (IDW) hat sich zum Referentenentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) geäußert und gegenüber dem Bundesministerium des Innern und für Heimat (BMI) weitere Maßnahmen zur externen Qualitätssicherung und zur Stärkung der Cyberresilienz vorgeschlagen.  Das IDW kritisiert, dass die Pflicht zur Nachweisführung der Sicherheitsmaßnahmen nur für Betreiber kritischer Anlagen vorgesehen ist. Angesichts der erhöhten Cyberbedrohungslage fordert das IDW, diese Nachweispflicht auch auf besonders wichtige Einrichtungen auszuweiten, um durch externe Sicherheitsaudits, Prüfungen oder Zertifizierungen eine zusätzliche Qualitätssicherung durch unabhängige Dritte zu gewährleisten. Weiterhin lehnt das IDW die im Entwurf geplante Verlängerung des Nachweiszeitraums von zwei auf mindestens drei Jahre ab. Aufgrund der dynamischen Bedrohungslage im Bereich der Cybersicherheit, insbesondere infolge des russischen Angriffskriegs auf die Ukraine, hält das IDW einen zweijährigen Nachweiszeitraum für angemessener, um Risiken rechtzeitig zu erkennen und zu beheben. Daher plädiert das IDW dafür, den Nachweiszeitraum für Betreiber kritischer Anlagen bei zwei Jahren zu belassen.

Zur Äußerung des IDW | Quelle: Institut der Wirtschaftsprüfer / www.idw.de

Jahresbericht Insurance Europe

Die Insurance Europe veröffentlicht ihren Report 2023 – 2024 und geht dabei ebenfalls auf den Punkt Cybersicherheit ein: Die zunehmende Digitalisierung der Wirtschaft erhöht das Risiko von Cyberangriffen. Mit der NIS1-Richtlinie von 2016 führte die EU erstmals Cybersicherheits- und Meldepflichten für Betreiber wesentlicher Dienste ein. Diese schuf jedoch Ungleichheiten im Versicherungssektor, da einige Länder Versicherungsunternehmen einbezogen und andere nicht. 2020 schlug die EU die NIS2-Richtlinie und das Digital Operational Resilience Act (DORA) vor, das 2022 verabschiedet wurde. DORA vereinheitlicht die Cybersicherheitspraktiken im Finanzsektor und ersetzt NIS1 für Versicherer. Die Entwicklung der „level 2 measures“ ist im Gange, und der Versicherungssektor arbeitet intensiv an der Einhaltung von DORA bis Januar 2025. Diese Maßnahmen umfassen technische Standards und Anforderungen an das Risikomanagement. Herausforderungen bestehen bei der Meldung von Sicherheitsvorfällen und der Vertragsgestaltung mit Drittanbietern. Der Sektor begrüßt DORA und arbeitet aktiv daran, die Vorschriften umzusetzen und die Cybersicherheit zu stärken.

zum Bericht des Insurance Europe | Quelle:  Insurance Europe / www.insuranceeurope.eu

Wir von ADWEKO behalten die nationale, europäische und internationale Regulatorik für Sie im Blick und unterstützen Sie bei deren Umsetzung.

Die aktuellen regulatorischen Entwicklungen finden Sie hier im Überblick

sprechen sie mit
Pia Streicher!

Pia Streicher