Gepostet am 20. Oktober 2015 von in
Aktuelle Themen der IT-Aufsicht
Aufgrund der stetig wachsenden Bedrohungslage der IT-Systeme in Unternehmen hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) weitere Konsequenzen für die Mindestanforderungen an die IT-Sicherheit in Banken angekündigt.
In diesem Zusammenhang informierte das zuständige Referat der BaFin - „IT-Infrastrukturen bei Banken“ (BA 57) - am 7. Oktober 2015 im Rahmen einer Informationsveranstaltung zum dritten Mal über Themen der IT-Aufsicht. Die dabei veröffentlichten Arbeitsschwerpunkte für die anstehende Prüfungsperiode zeigen einen Fokus der Abschlussprüfer auf die regulatorischen Anforderungen durch die fortschreitende Digitalisierung des Zahlungsverkehrs, wobei die gerade verabschiedete Richtlinie über Zahlungsdienste (PSD II) noch einmal verschärfte Anforderungen für Banken vorsieht.
Als weitere IT-relevante Schwerpunkte wurden vorgestellt:
- Datensicherheit:
Hier liegt der Schwerpunkt auf der Datensicherheit als Kundenservice bei IT-Dienstleistern und IT-Sicherheitsdiensten, was eine enge Verzahnung mit den Vorgaben aus dem IT-Sicherheitsgesetz und dem Bundesdatenschutzgesetz impliziert. - Schutz vor Cyberangriffen:
Hier wurde noch einmal im besonderen Maße darauf hingewiesen, dass der Schutz kritischer Infrastrukturen gemäß den Mindestanforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) für alle Kreditinstitute verpflichtend sein wird. Auch hier wurde auf die neuen Vorgaben im IT-Sicherheitsgesetz an den Schutz kritischer Infrastrukturen, den zukünftigen Berichtspflichten wesentlicher IT-Sicherheitsvorfälle , sowie dem Nachweis eines regelmäßigen Audits gegenüber dem BSI hingewiesen.
In seinem Vortrag betonte Herr Dr. Josef Kokert (BaFin) weiterhin, dass die BaFin ihre Funktion als Gesprächspartner, Aufseher und Regulierer für IT-Sicherheit in Kreditinstituten und Unternehmen weiter ausbauen wird. Zu diesem Zweck engagiert sich die BaFin auf europäischer Ebene in verschiedenen Arbeitsgruppen, die ihrerseits regelmäßig Richtlinien und Vorgaben für die IT-Sicherheit veröffentlichen. Im speziellen wurde auf folgende Themen eingegangen:
- Task Force on Payment Service,
- Guidelines on the security of internet payments (Dez. 2014),
- RTS on Strong Authentication & Secure Communication,
- Guidelines on incident reporting,
- SecuRe Pay Forum, Interpretation der Art. 97 und 102 PSD II,
- Work stream on innovative types of payments (SCConFin),
- Task Force on IT Risk Supervision
Somit lässt sich feststellen, dass auch das BSI, welches in der Vergangenheit schwerpunktmäßig für die nationale Einhaltung aufsichtsrechtlicher Fragen im IT-Umfeld tätig war und eng mit der BaFin zusammenarbeitet, nun auch die Internationalisierung der Problemstellungen erkannt hat und europäische bzw. internationale Lösungen für einheitliche IT-Sicherheitsstandards anstrebt.
Es ist also davon auszugehen, dass auch in der bevorstehenden Prüfungsperiode Kreditinstitute und Unternehmen – insbesondere mit kritischen IT-Infrastrukturen - mit hohen Anforderungen an die Ausgestaltung ihrer IT-Sicherheitsstrukturen konfrontiert werden. Insbesondere für Kreditinstitute wird es also immer wichtiger, das eigene IT Know-How zu stärken und ggf. Kooperationen einzugehen, um auch in Zukunft die regulatorischen Anforderungen abdecken zu können.