IT-Security Regulatory Update | NOvember 2022

Fokus: Anzeige von Outsourcings an die BaFin

Highlight aus dem November 2022

Was lange währt…

Am 29. November sind die Anzeigenverordnungen für Banken, Versicherungen, Kapitalverwaltungsgesellschaften und Zahlungsdienstleister in Kraft getreten. Sie befassen sich mit der Anzeige wichtiger Outsourcings an die BaFin.

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

Inkrafttreten der Anzeigepflichten für Outsourcings in der Finanzbranche

Getreu dem Motto „Was lange währt, wird endlich gut“ wurden am 28. November die Anzeigenverodnungen nach dem Kreditwesengesetz (KWG), Versicherungsaufsichtsgesetz (VAG), Kapitalanlagegesetzbuch (KAGB) und Zahlungsdiensteaufsichtsgesetz (ZAG) veröffentlicht, die bereits sehnsüchtig erwartet wurden. Sie sind am 29. November 2022 in Kraft getreten.

Die Anzeigenverordnungen regeln, unter welchen Bedingungen welche Informationen rund um Outsourcings an die BaFin zu melden sind. Für einige Marktteilnehmer ist dies lediglich eine Erweiterung der bereits bestehenden Meldepflicht, andere sehen sich das erste Mal mit dieser Anforderung konfrontiert. Die Liste der zu meldenden Informationen ist dabei umfangreich und umfasst beispielweise Informationen rund um den Dienstleister, die Outsourcingvereinbarung und die ougesourcte Tätigkeit selbst.

Die Gesetzestexte finden Sie hier:

1. Für Anzeigen nach dem KWG:
Vierte Verordnung zur Änderung der Anzeigenverordnung

2. Für Anzeigen nach dem VAG:
Versicherungs-Ausgliederungsanzeigenverordnung

3. Für Anzeigen nach dem KAGB:
KAGB-Auslagerungsanzeigenverordnung

4. Für Anzeigen nach dem ZAG:
ZAG-Anzeigenverordnung

Ausschnitt einer schwarzen, weiß beleuchteten Laptoptastatur

Um Institute bei der Anzeige gemäß den neuen Vorgaben zu unterstützen, hat die BaFin Informationen zum Vorgehen bei der Anzeige von Outsourcings veröffentlicht. Diese steht für Banken, Versicherungen, Kapitalverwaltungsgesellschaften und Zahlungsdienstleister auf der Webseite der BaFin zur Verfügung.

Dort finden Sie weitere Informationen zum Umfang der Anzeigepflicht und Durchführung der Meldung sowie über die Anmeldung und Nutzung des MVP-Portals.

  1. Banken
  2. Versicherungen
  3. Kapitalverwaltungsgesellschaften
  4. Zahlungsdienstleister

Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de

IT-Risiken und IT-Auslagerungen im Fokus der EU

Das Europäische Parlament befasste sich jüngst mit den wachsenden sowie den geopolitischen Risiken am Finanzmarkt und den Prioritäten des SSM, die sich daraus ableiten lassen.

Auf Seite der wachsenden Risiken werden unter anderem Cyberrisiken angesprochen. Sie ergeben sich aufgrund der aktuellen Gegebenheiten, aber auch aus einer wachsenden Abhängigkeit der Finanzsinstitute von IT-Dienstleistern. Vor allem letzteres trägt zu mehr miteinander vernetzten Risiken bei, welche die Bewertung der Risikoexposition zu einer Herausforderung für die Institute machen. Die etablierten Methoden zur Risikomessung und -steuerung sind darauf nicht ausgelegt und können daher keine umfassende Abdeckung erreichen. Entsprechend sieht das Parlament Bedarf an angepassten oder neuen Ansätzen für das Risikomanagement, die qualitative und quantitative Ansätze verbinden. Da der Ursprung der Risiken und die Art, wie sie miteinander zusammenhängen stark institutsspezifisch ist, sollte der SSM auch bei der Überwachung institutsspezifisch vorgehen, so die Haltung des Parlaments.

IT-Risiken, insbesondere das im Zusammenhang mit Cyberattacken, sind aber auch aus Perspektive der geopolitischen Risiken im Fokus. Zwischen 2015 und 2021 hat sich die Anzahl der Cyberattacken laut EZB verdreifacht. Durch die Digitalisierung und zunehmendes Remote Working steigt gleichzeitig die Anfälligkeit für solche Angriffe. Spiegelbildlich zur Einschätzung Blackrocks sehen auch europäische Aufsichtsbehörden Cyberrisiken als eine der drängendesten geopolitischen Risiken. Folgerichtig umfassen die Aufsichtsprioritäten der EZB bereits Schwachstellen aus dem IT-Outsourcing sowie Cyberresilienz. Dementsprechend wurde ein neues Berichtswesen über Cybervorfälle eingeführt sowie eine genauere Überwachung der Auslagerungen und des operativen Risikomanagements. Der Digital Operational Resilience Act (DORA) soll die so bereits erreichte Resilienz deutlich steigern, er ist allerdings erst 2024 umzusetzen. Folglich fordert das Parlament die EZB auf, den Fokus stärker auf IT-Sicherheit zu legen und aktiver in ihrer Aufsichtstätigkeit zu sein.

Den Bericht des Parlaments zu den swachsenden Risiken finden Sie hier, den Bericht zu den geopolitischen Risiken hier auf dessen Webseite.

Quelle: © European Union, 2022 – EP, europarl.europa.eu

ENISA analysiert größte Bedrohungen am Binnenmarkt

In ihrer Threat Landscape für 2022 identifiziert die ENISA für den Zeitram von Juli 2021 bis Juli 2022 die größten Bedrohungen und Trends in der IT-Sicherheit am Binnenmarkt und bewertet deren Konsequenzen.

Demnach sind Ransomware, Malware, Social Engineering, Datenbedrohungen, Verfügbarkeitsbedrohungen (DDoS und Internet), Missinformation und Angriffe auf die Lieferkette die größten Bedrohungen. In ihrem Bericht betrachtet sie die einzelnen Bedrohungen näher und stellt dem Leser Techniken, bedeutende Vorfälle und Trends sowie Unterstützung für die Mitigation solcher Angriffe vor.

Laut den Beobachtungen zeichnet sich ab, dass der geopolitische Einfluss auf die IT-Sicherheit zunimmt und neue und hybride Bedrohungen hohe Auswirkungen haben werden. Gleichzeitig steigen die Fähigkeiten der Angreifer, die sich zunehmend auf Ransomware und Verfügbarkeitsangriffe fokussieren. Die Angreifer sebst sind dabei oft staatlich gesponsort, Cyberkriminelle oder angeheuerte Hacker, daneben sind aber auch sog. Hacktivisten tätig.

Die Threat Landscape der ENISA finden Sie hier auf deren Webseite.

Quelle: European Union Agency for Cybersecurity – enisa.europa.eu

Die Anzeigepflicht wichtiger Outsourcings ist eine Anforderung, die Institute vor Herausforderungen stellen wird. Eine zeitnahe Meldung der Outsourcings bei der BaFin ist sinnvoll, hierbei können die Outsourcing- bzw. Vertragsregister herangezogen werden.

Bei der Anzeige Ihrer Outsourcings stehen wir bei ADWEKO Ihnen gerne mit unserer Expertise zur Seite.

sprechen sie mit

Pia Streicher!