IT-Security Regulatory Update | Januar 2022

Highlight aus dem Januar 2022

7. MaRisk Novelle im Q4 2022 avisiert

02. Februar 2022 – Ein Protokoll des Fachgremiums MaRisk weist darauf hin, dass im vierten Quartal 2022 die 7. MaRisk Novelle aufgrund der EBA-Leitlinien zur Kreditvergabe und -überwachung zu erwarten sind.

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

Erneute Novelle der MaRisk steht bevor

In einem im Januar veröffentlichten Protokoll des Fachgremiums MaRisk vom vergangenen September stand unter anderem die siebte Novelle der Mindestanforderungen an das Risikomanagement auf der Agenda. Laut Protokoll ist diese nun bereits im vierten Quartal 2022 zu erwarten.

Inhaltlich seien die folgenden zu erwarten:

  • EBA-Leitlinien zur Kreditvergabe und -überwachung
  • Direktinvestitionen in Immobilien
  • Spezialfonds
  • Geschäftsmodellanalyse
  • Handel im Home Office

Außerdem sollten sich Adressaten darauf einstellen, dass die MaRisk künftig schlanker werden – jedoch nicht aus der inhaltlichen Sicht. Aufgrund europäischer Vorgaben, die immer häufiger entschieden und zu implementieren sind mehr Verweise und weniger direkte Zitate in die MaRisk eingeführt werden. Für den Anwender bedeutet dies folglich vermehrtes Nachschlagen und somit einhergehend höherer Aufwand.

Das Fachgremium beschäftigte sich unter anderem mit Klarstellungen zur sechsten MaRisk Novelle, Hintergrundinformationen rund um die anstehende Anzeigepflicht von Auslagerungen und einer Neuausrichtung der Aufsicht im Hinblick auf Spezialfonds.

Das Protokoll des Fachgremiums MaRisk finden Sie hier auf der Webseite der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).

© Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de

Hinweise zum Umgang mit Zertifikaten und Testaten von Cloud Service Providern

Ein Sonderfachgremium des Fachgremium IT der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat sich mit dem Thema Zertifikate und Testate im Kontext von Cloud Service Providern (CSP) beschäftigt.
Das Ergebnis: Standardthemen Zertifikate und Testate können ausreichend sein. Allerdings müssen für andere, nicht abgedeckte Bestandteile des internen Kontrollsystems (IKS) Alternativen für die Informationsermittlung gefunden werden. Wenn Informationen nicht beschafft werden können oder fehlen, muss sich das in der Risikobewertung niederschlagen. Die Risiken, die dabei entstehen sind dann entsprechend zu managen.

Das Protokoll des Sonderfachgremiums finden Sie hier auf der Webseite der BaFin.

© Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de

Europäische Aufsichtsbehörden stellen sich auf systemische Cybervorfälle ein

Der Digital Operational Resilience Act (DORA) der EU sieht ein paneuropäisches Framework zur Koordination systemischer Cybervorfälle für zuständige Behörden vor. In einem Public Statement begrüßen die European Supervisory Authroities (ESAs) die Umsetzungsempfehlung dieses Frameworks durch das European Systemic Risk Board (ESRB).

Den ESAs fällt die Aufgabe zu, die graduelle Entwicklung eines Rahmenwerks vorzubereiten, das eine effektive sowie koordinierte und ebenso EU-weite Antwort auf bedeutende grenzüberschreitende Cybervorfälle mit möglichen systemischen Auswirkungen ermöglicht.

Das Statement der ESAs finden Sie hier auf der Webseite des Joint Committee.

Quelle: Joint Committee of the European Supervisory Authorities – JC of the ESAs, https://esas-joint-committee.europa.eu

Nehmen Sie diese Ankündigung zum Anlass, eine erste Betroffenheitsanalyse durchzuführen und merken Sie sich ggf. die MaRisk Novelle für ein Projekt Ende 2022 / Anfang 2023 im Projektportfolio vor.

Wir bei ADWEKO stehen Ihnen dabei gerne zur Seite.

sprechen sie mit

Pia Streicher!