IT-Security Regulatory Update |
September 2022

Fokus: Cyberresilienz

Highlight aus dem September 2022

Verordnung zur Cyberresilienz nimmt an Fahrt auf

Die Kommission hat den nach der Konsultation im März bearbeiteten Entwurf angenommen und bittet um Feedback der Marktteilnehmer zur Verordnung. Betroffen sind Produkte mit digitalen Bestandteilen, also unter anderem SIEM-Systeme, IAM-Systeme und Smartcards.

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

EU-Kommission bittet um Feedback zum Thema Cyberresilienz

IT-Sicherheit und Cyberresilienz sind aktueller denn je. Dies zeigt sich in diversen Initiativen, regulatorischen Vorstößen und Berichten von Aufsichtsbehörden und Gesetzgebern, zu denen wir regelmäßig berichten. Auch strategisch plant die EU sich weiter in diese Richtung zu entwickeln und hat eine entsprechende EU-Strategie für die Sicherheitsunion vorgelegt. Näheres dazu können Sie hier in unserem Update vom Mai 2022 nachlesen.

Im März 2022 wurde im Zuge dieser Entwicklungen eine Verordnung für Cyberresilienz konsultiert (Details dazu können Sie hier in unserem Update nachlesen). Die öffentliche Konsultation dazu ist abgeschlossen und ein überarbeiteter Entwurf wurde von der Kommission angenommen, die nun Rückmeldungen bis Anfang Dezember erbittet.

Anlass für den Verordnungsvorschlag ist, dass Hardware- und Softwareprodukte zunehmend Ziele für Cyberattacken sind. In diesem Kontext werden jährlich Kosten in Höhe von mehreren Billionen Euro erwartet. Die bestehenden nationalen Vorgaben reichen dabei nicht aus, um ein angemessenes Schutzniveau zu ermöglichen, sodass eine harmonisierte und übergreifende Vorgabe nötig ist. Er soll das Vertrauen der Verbraucher erhöhen und EU-Produkte mit digitalen Elementen attraktiver machen. Darüber hinaus soll er ein Level Playing Field herstellen und die Rechtssicherheit steigern.

Herangezoomter Blick auf eine Platine mit diversen elektronischen Bauteilen
Inhaltlich deckt der aktuelle Entwurf des Rechtsakts diverse Punkte ab. Grundsätzlich betrifft er alle Produkte mit digitalen Elementen, zum Beispiel Identitätsmanagementsysteme, SIEM-Systeme und Remote Access Systeme, aber auch Smartcards und Firewalls.

Zum einen definiert er, unter welchen Bedingungen Produkte mit digitalen Elementen überhaupt am Markt platziert werden dürfen. So soll die Cybersicherheit der Produkte ab Werk sichergestellt werden. Entsprechend umfasst er auch Basisanforderungen an das Produktdesign, dessen Entwicklung und Produktion.

Der Vorschlag geht aber noch deutlich weiter, indem er zudem regelt, wie mit Schwachstellen während des gesamten Lebenszyklus eines Produkts mit digitalen Bestandteilen umzugehen ist. Auch richtet er sich dabei nicht nur an die Hersteller der Produkte, sondern auch an Importeure und Verkäufer. Anwendbar werden sollen die neuen Vorgaben 24 Monate nach ihrer Veröffentlichung.

Die aktuelle Entwurfsversion inklusive der Annexe und Folgenabschätzungen finden Sie hier auf der Webseite der Europäischen Kommission.

Quelle: Europäische Kommission – ec.europa.eu

Wie den oben aufgeführten Beispielen zu entnehmen ist, treffen diese Vorgaben die Finanzbranche wenigstens mittelbar, ist sie doch zumindest Nutznießer einiger dieser Systeme und Produkte. Aus einer gesteigerten Cybersicherheit ab Werk und während des Lebenszyklus ergeben sich Vorteile für die Nutzung im Institut und die Sicherstellung einer hohen IT-Sicherheit. Entwickeln Institute solche Systeme selbst, sind die neuen Vorgaben anwendbar und müssen beachtet werden.

7. MaRisk Novelle in Konsultation

Die BaFin hat am 26. September die Konsultation zur 7. MaRisk-Novelle veröffentlicht und nimmt bis zum 28. Oktober 2022 Stellungnahmen entgegen. Angekündigt hatte sie diese Veröffentlichung bereits im Januar (Details können Sie hier unserem Update vom Januar entnehmen). Der veröffentlichte Entwurf soll nach seiner Finalisierung die aktuell gültige MaRisk ersetzen.

Wie im Januar angekündigt befasst sich die Novelle in erster Linie mit der Umsetzung der EBA-Leitlinien für Kreditvergabe und Überwachung (hier auf der Webseite der EBA). Dementsprechend sind thematische Neuerungen insbesondere in der Aufnahme der Vorgaben zur Kreditvergabe und Überwachung zu finden.

Darüber hinaus befasst sich der Entwurf des Rundschreibens mit Immobiliengeschäften und der Geschäftsmodellanalyse, bei der überwiegend Klarstellungen erfolgen. Auch die Möglichkeit zum dauerhaften Handel im Home Office wird als direkte Folge der Corona-Pandemie aufgegriffen. Weiterhin werden in dem neuen Entwurf Nachhaltigkeitsrisiken adressiert, die nun explizit bei der Risikoinventur und insgesamt im Risikomanagement und -controlling zu beachten sind. Schließlich hat die BaFin aufgenommen, wann überproportionale Regelungen für bedeutende Förderbanken anwendbar sein sollen.

Den Entwurf des Rundschreibens finden Sie hier auf der Webseite der BaFin.

Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de

DORA und MiCa 2023 im Fokus der EBA

Die Aufsichtsprioritäten der EBA für das Jahr 2023 finden sich in ihrem Arbeitsprogramm für das kommende Jahr. Dort hat die Bankenaufsichtsbehörde sechs Schwerpunktthemen für das kommende Jahr aufgegriffen.

Die Finalisierung des Basel-Rahmenwerks führt sie hierbei als ersten Punkt an. Infolgedessen kann im Lauf des kommenden Jahres mit weiteren Umsetzungsvorgaben rund um die Inhalte von CRR und CRD gerechnet werden. Als nächste Punkte greift die EBA europaweite Stresstests sowie Datenaggregation und die Weitergabe von Daten und Informationen an Stakeholder auf.

Außerdem stehen Digitale Finanzen sowie die beiden Rechtsakte DORA (Digital Operational Resilience Act, hier auf der Webseite des Amts für Veröffentlichungen der Europäischen Union) und MiCA (Markets in Crypto-assets Act, hier auf der Webseite des Amts für Veröffentlichungen der Europäischen Union). Bei beiden Vorhaben ist die EBA an der Umsetzung beteiligt sowie von einigen Vorgaben direkt betroffen. Beide Rechtsakte befinden sich aktuell in der ersten Lesung im Europäischen Parlament und werden bereits mit Spannung vom Markt erwartet. Sie bringen beide hohen Umsetzungsbedarf mit sich, den Marktteilnehmer aktiv angehen sollten.

Schließlich werden die Themen Anti-Geldwäsche und Verhinderung von Terrorismusfinanzierung sowie die Umsetzung der ESG-Roadmap 2023 auf der Agenda der EBA stehen.

Das Arbeitsprogramm der EBA für 2023 finden Sie hier auf deren Webseite.

Quelle: European Banking Authority – EBA, eba.europa.eu

 

Wenn Anpassungen rund um Produkte mit digitalen Elementen erfolgen, bleiben Auswirkungen auf die Finanzbranche und ihre Dienstleister und Lieferanten nicht aus. Institute sollten prüfen, ob sie unmittelbar als Hersteller, Verkäufer oder Importeur oder mittelbar als Nutzer solcher Produkte betroffen sind.

Wir bei ADWEKO stehen Ihnen bei der Beurteilung und der Erarbeitung und Umsetzung weiterer Schritte mit unserer Expertise gerne zur Seite.

Die aktuellen regulatorischen Entwicklungen finden Sie hier im Überblick

sprechen sie mit

Pia Streicher!