IT-Security Regulatory Update | MÄRZ 2022

Highlight aus dem März 2022

Neue europäische Rechtsakte zum Datenschutz und zur Cyberresilienz avisiert

08. April 2022 – Im Kontext des „A Europe Fit for the Digital Age“ befasst sich die Europäische Kommission mit Cyberresilienz und Datenschutz. Hierzu werden neue europäische Rechtsakte erarbeitet, die potentiell hohen Anpassungsbedarf verursachen werden. Ein Blick in die Entwürfe lohnt sich!

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

Neue europäische Rechtsakte zum Datenschutz und zur Cyberresilienz avisiert

Bestandteil der Prioritäten der Europäischen Kommission für 2019 bis 2024 ist die Digitalstrategie „Ein Europa für das digitale Zeitalter“ (engl. „A Europe Fit for the Digital Age“). In ihrem Management Plan für 2022 greift die Kommission in diesem Kontext die Themen Cyberresilienz und Datenschutz auf und veröffentlicht eine Konsultation des sog. „Cyber Resilience Act“ sowie einen Regulierungsvorschlag des sog. „Data Act“.

Den Management Plan der Europäischen Kommission finden Sie hier.

Der Cyber Resilience Act wird bis zum 25. Mai 2022 konsultiert und befasst sich mit den bislang nicht adressierten Aspekten der Cybersicherheit materieller digitaler Produkte und eingebetteter Software. Mit der Umsetzung dieses Rechtsakts erhofft sich die Kommision u.a. ein gleichbleibend hohes Cybersicherheitsniveau innerhalb der EU. Daneben sollen Produktnutzer in die Lage versetzt werden, die Sicherheitseigenschaften ihrer Produkte selbst anpassen zu können.
Die Erarbeitung dieses Rechtsakts steht noch am Anfang, sodass die Kommission zunächst erhebt, wie eine Umsetzung erfolgen kann.

Die Konsultation der Europäischen Kommission finden Sie hier.

Drei Ordner, die über die Cloud miteinander verbunden sind und über diverse andere Systeme Daten austauschen

Neben der Cyberresilienz rückt der Datenschutz zurück in den Fokus der Gesetzgeber. Bereits im Juni wurde der Regulierungsvorschlag für harmonisierte Vorgaben zu fairer Datenzugänglichkeit und Datennutzung (Data Act) konsultiert. Mit der Bitte um Feedback veröffentlicht die Europäische Kommission jetzt die angepasste Version. Nach aktuellem Stand soll der Data Act zwölf Monate nach seiner Verkündung gelten, sodass ein Zeitfenster für die Umsetzung eingeräumt wird.
Inhaltlich befasst sich der Data Act insbesondere mit der beschränkten Verfügbarkeit und Zugänglichkeit von Daten. Das Potential soll erschlossen und Hindernisse reduziert werden, um möglichst allen Marktteilnehmern Zugang zu den sich aus den Daten ergebenden Chancen zu gewähren.

Die Konsultation der Europäischen Kommission finden Sie hier.

 © Europäische Union, 1995-2022

Novelle der VAIT rückt IT-Sicherheit und IT-Sicherheitsrisiken in den Fokus der Aufsicht

Seit dem 3. März 2022 ist die Novelle der Versicherungsrechtlichen Anforderungen an die IT (VAIT) veröffentlicht und in Kraft. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) setzt IT-Sicherheit und IT-Sicherheitsrisiken als Schwerpunktthemen der Novellierung. Damit geht sie mit diversen deutschen und europäischen Aufsichtsbehörden konform, die IT-Risiken als Hauptaugenmerk für die kommenden Jahre verstehen. So kommen zwei Kapitel zur operativen Informationssicherheit und zum IT-Notfallmanagement zu den Inhalten der VAIT hinzu.

Mit unserem Blogbeitrag können Sie einen tiefergehenden Einblick in die Änderungen der Novelle gewinnen. Dort finden Sie auch eine Aufstellung der Änderungen zwischen der Konsultationsfassung und der finalen Version.

Unseren Blogbeitrag mit weiteren Details zur Novelle finden Sie hier.

Die Unterlagen der BaFin zur VAIT-Novelle finden Sie hier auf der Webseite der BaFin.

© Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de

IT-Sicherheit bleibt auch 2022 im Fokus der aufsichtlichen Arbeit

Das Financial Stability Board (FSB) sieht Cyberrisken auch im Jahr 2022 im Fokus seiner Aufsichtsarbeit. Die Chancen der digitalten Innovation sollen ausgeschöpft werden, während die einhergehenden Risiken zu reduzieren sind. 

Vor diesem Hintergrund plant das FSB im Oktober 2022 die Konsultation eines Reports zum Thema Konvergenz bei Cyber Incidents Reports. Damit sollen Anforderungen für die Meldung von IT-Sicherheitsvorfällen an die Aufsichtsbehörden vereinheitlicht werden. Daneben werden die High Level Empfehlungen zu Stable Coins einer Prüfung unterzogen.

Daneben spielt aber auch ein anderes Thema eine wesentliche Rolle im Kontext IT-Sicherheit: die seit Jahren und seit Beginn der Pandemie 2020 nochmals besonders stark steigende Anzahl an Auslagerungen in der Finanzbranche. Durch große Dienstleister steigt die mittelbare Vernetzung zwischen Finanzinstituten sowie die systemische Abhängigkeit zu einzelnen Dienstleistern in der Branche. Die Zahl solcher kritischer Dienstleister wächst und damit auch das Bedürfnis, diese aufsichtlich zu überwachen. Zusätzlich steigt die Anfälligkeit für Cyberattacken, sodass risikoreduzierende Maßnahmen nötig werden. Folgerichtig bleiben beide Themen im Jahr 2022 auf der Agenda des FSB.

Instiute können davon ausgehen, dass diese Themen nicht nur die europäische Aufsicht beschäftigen, sondern auch die BaFin ihre aufsichtlichen Tätigkeiten hierauf ausrichtet. Gerade für anstehende Prüfungen sollten Sie dies im Hinterkopf behalten.

Das Arbeitsprogramm des FSB finden Sie hier auf dessen Webseite.

© Financial Stability Board (FSB)

Nutzen Sie die Gelegenheit und befassen sich bereits jetzt mit den avisierten neuen Vorgaben. So können Sie Ihre Betroffenheit und die entstehenden Aufwände frühzeitig indikativ einschätzen und entsprechend vormerken.

Wir bei ADWEKO stehen Ihnen dabei gerne zur Seite.

sprechen sie mit

Pia Streicher!