IT-Security Regulatory UpdatE | Mai 2022
Highlight aus dem Mai 2022
EU-Strategie für die Sicherheitsunion – sieht so die Zukunft der IT-Sicherheit innerhalb Europas aus?
31. Mai 2022 – In ihrem vierten Fortschrittsbericht zur Sicherheitsunion beleuchtet die EU-Kommission unter anderem die Auswirkungen des Konflikts zwischen Russland und der Ukraine. Gerade im Kontext IT-Sicherheit haben sich hier in den vergangenen Monaten bedeutende neue Risiken ergeben, die einer Implementierung und einer Annahme von europäischen Rechtsakten rund um die IT-Sicherheit wachsende Bedeutung zukommen lassen.
Die Zukunft der IT-Sicherheit in Europa
Mit dem andauernden Krieg zwischen Russland und der Ukraine steigt das Risiko, aber auch die Awareness für IT-Sicherheit. Neben diversen Aufsichtsbehörden greift dies auch die EU-Kommission im Rahmen ihres vierten Fortschrittsberichts zur Umsetzung der EU-Strategie für die Sicherheitsunion auf.
Vermehrt findet für bzw. gegen beide Seiten sog. „Hacktivism“ statt, zu dem die EU bereits Stellung bezogen hat. Daraus ergeben sich – neben der Illegalität des Hacktivism – mögliche Spill Over-Effekte. Diese haben die EU dazu veranlasst, ihre Bemühungen rund um Koordination und Bereitschaft im Kontext von IT-Risiken zu steigern. Daneben zeigen die Risiken, die sich aus dem Konflikt generell ableiten, dass eine Kultur des Informations- und Erfahrungsaustausch innerhalb der EU, ihrer Mitgliedstaaten und Cybersicherheitsgemeinschaften nötig ist. So kann das reibungslose Funktionieren des Binnenmarktes sichergestellt werden.
Dies zeigt aber auch die Notwendigkeit der Implementierung veröffentlichter Gesetzestexte sowie der Annahme ausstehender Gesetzesinitiativen der EU. Als positives Beispiel führt die Kommission hier die NIS2-Richtlinie (Richtlinie zur Netz- und Informationssicherheit) heran, bei der eine politische Einigung erzielt werden konnte. Flankiert wird die NIS2-Richtlinie durch weitere Rechtsakte, wie die Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen (CER, Directive on the resilience of critical entities), Verordnung zur gemeinsamen Cybersicherheit für EU-Institutionen (Cybersecurity Regulation for EU Institutions, Bodies and Agencies) sowie die Informationssicherheistverordnung (Information Security Regulation).
Die NIS2-Richtlinie soll zum einen die Schwachstellen der Vorgängerrichtlinie beheben. Zum anderen bildet sie die Baseline für Risikomanagementmaßnahmen im Kontext Cyberrisiken. Mit ihr soll das European Cyber Crises Liaison Organisation Network, EU-CyCLONe aufgesetzt werden, das sich um das koordinierte Management großflächiger Cybersecurity-Vorfälle kümmern soll. Die Frist für die Umsetzung ins nationale Recht soll 21 Monate betragen.
Den Fortschrittsbericht finden Sie hier auf der Webseite der Kommission.
Quelle Europäische Kommission – ec.europa.eu
IKT-Risiken bedürfen weiterer Bemühungen der Aufsichtsbehörden
Jährlich beleuchtet die European Banking Authority (EBA) die Konvergenz der Aufsichtspraktiken in der EU. Im Bericht zum Jahr 2021 hebt die EBA hervor, dass sie ingesamt sehr zufrieden mit der Umsetzung der definierten Schwerpunkte in die Aufsichtspraxis. Zugleich stellt der Bericht aber auch klar, dass weitere Bemühungen um diverse Themen erforderlich sind.
Im Jahr 2021 wurde der Fokus seitens der EBA auf das Management von Kapital und Verbindlichkeiten sowie die Qualität der Aktiva und das Kreditrisikomanagement gesetzt. Diese Schwerpunkte ergaben sich vor allem vor dem Hintergrund der Pandemie und ließen wenig Raum für IKT- (Informations- und Kommunikationstechnologie) und Sicherheitsrisiken, operative Resilienz sowie Profitabilität und Geschäftsmodell. Entsprechend sieht die EBA hier weiteres Potential, aufsichtliche Konvergenz zu fördern. Vor diesem Hintergrund hebt sie im Jahresbericht folgende Themen erneut auf die Agenda für 2022:
- Kreditvergabe
- Cyberrisiken, inklusive Outsourcing und IKT-Anforderungen
- Digitale Transformation und ihre Auswirkungen auf das Geschäftsmodell
- Durchführbarkeit von Finanzierungsplänen im Kontext MREL (minimum requirement for own funds and eligible liabilities)
- Kapitalanforderungen
Aus dem Bericht wird deutlich, dass trotz insgesamt guter Entwicklung weitere aufsichtliche Aktivitäten gerade auch im Bereich IT Sicherheit, Informations- und Kommunikationstechnologie sowie Outsourcing zu erwarten sind.
Den Bericht finden Sie hier auf der Webseite der EBA.
Quelle: European Banking Authority – EBA, eba.europa.eu
BaFin blickt auf das Jahr 2021 zurück
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) betrachtet in ihrem Jahresbericht 2021 ihre aufsichtliche Tätigkeit und sieht hier u.a. IT-Sicherheit als wiederkehrendes Thema. In 2021 wurde nicht nur die Data Intelligence Unit als Bindeglied zwischen den Fachbereichen und der IT ins Leben gerufen, sondern auch die IT-Aufsicht gestärkt. Darunter fallen auch die Prävention von Cyberrisiken sowie die Überwachung von vernetzten IT-Auslagerungsunternehmen. Darüber hinaus wurden die Novelle der BAIT (bankaufsichtliche Anforderungen an die IT) sowie die neue ZAIT (zahlungsdiensteaufsichtliche Anforderungen an die IT) veröffentlicht. Aber auch in der Prüfungspraxis schlägt schlägt sich der Fokus auf IT-Sicherheit und Auslagerungen nieder: 94 Sonderprüfungen hat die BaFin im vergangenen Jahr bei LSI (less significant institution) mit dem Schwerpunkt §25a Abs. 1 Kreditwesengesetz durchgeführt.
Den Jahresbericht 2021 finden Sie hier auf der Webseite der BaFin.
Kürzlich hat sich die BaFin weiterhin mit dem Bundesfinanzminsiterium auf neue Grundsätze der Zusammenarbeit geeinigt. Diese finden Sie hier auf der Webseite der BaFin.
Schließlich wurde im Mai auch die englische Version der Mindestanforderungen an das Risikomanagement veröffentlicht, die Sie hier auf der Webseite der BaFin finden können.
Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de
IT-Sicherheit bleibt nach wie vor auf der Agenda der Aufsicht und des Gesetzgebers. Neben der langfristig zu erwartenden NIS2-Richtlinie und deren Umsetzung in nationales Recht sind kurz- oder mittelfristig weitere aufsichtliche Verschärfungen zu erwarten und sollten entsprechend vorgemerkt werden. Gleichzeitig sollten Sie sicherstellen, dass Sie aktuelle aufsichtliche wie gesetzliche Vorgaben prüfungssicher umgesetzt haben.
Wir bei ADWEKO stehen Ihnen dabei gerne zur Seite.