EBA reagiert auf wachsende IT-Risiken mit neuen Vorschriften

Gepostet am 20. Dezember 2019 von Norman Nehls, Partner der Severn Consultancy in Regularien

Am 28. November 2019 veröffentlichte die European Banking Authority (EBA) die "Guidelines on ICT and security risk management" als umfassendes neues Regelwerk zum Umgang mit Information and Communication Technology (ICT) und den daraus resultierenden Sicherheitsrisiken für Finanzinstitute. Die BaFin wird diese Vorschriften erfahrungsgemäß weitgehend in ihre Verwaltungspraxis übernehmen.

Hausaufgaben bisher nur unzureichend erfüllt

Die Bankaufsichtlichen Anforderungen an die IT (BAIT) konkretisieren in Deutschland die Anforderungen des KWG / der MaRisk an die IT Organisation von Finanzinstituten. Die von den Aufsichtsbehörden durchgeführten Sonderprüfungen offenbaren allerdings immer noch gravierende Mängel im Umgang mit der IT. So kranken Banken an einem konsistenten und robusten Management ihrer IT-Risiken, den häufig zu statistisch ausgeprägten IT-Sicherheitsmaßnahmen und fehlenden Überwachungsmechanismen im eigenen Haus.

Innovationskraft von Banken gefordert

Die schnelllebige Entwicklung am Finanzmarkt erfordert von der IT noch höhere Flexibilität und Skalierbarkeit. Neue Lösungen - wie die Nutzung von Cloud-Diensten - stellen dabei umfassendere Anforderungen an die IT, um die regulatorischen Anforderungen zu erfüllen. Gleichwohl wächst die Bedrohungslage, z.B. durch trickreiche Cyber-Attacken oder social engineering. Somit ist neben einer hohen Innovationskraft gleichermaßen eine hohe Anpassungsfähigkeit der IT-Organisation gefordert, um schnell auf neue IT- und Sicherheitrisiken reagieren zu können.

EBA misst IT-Risiken höhere Bedeutung bei

Die Europäische Bankenaufsicht hat diesen Trend erkannt und betont, dass IT-Risiken die vitalen Funktionen von Finanzinstituten gefährden können. Vor diesem Hintergrund ist der Umgang mit den Risiken aus Informations- und Kommunikationstechnologien sowie Sicherheitsrisiken überlebenswichtig für Banken, um deren strategische und operative Ziele sicherzustellen.

Die EBA veröffentlichte am 28. November 2019 eine Leitlinie zu Informations- und Kommunikationstechniken und dem zugehörigen Sicherheitsrisikomanagement. Maßgebliche Adressaten der neuen Vorgaben sind die IT als erste aber auch als zweite Verteidigungslinie - üblicherweise die IT-Sicherheitsfunktion, ein von der IT unabhängiger Bereich, der die Einhaltung und Überwachung der Anforderungen an die IT sicherstellt.

Nationale Umsetzung zeitnah erwartet

Die EBA Leitlinie tritt zum 30. Juni 2020 in Kraft - der kurze Zeitraum bestätigt den Handlungsdruck für Finanzinstitute nochmals. Es ist erfahrungsgemäß zu erwarten, dass die BaFin die Anforderungen weitestgehend übernehmen wird, da die IT-Aufsicht ein nach wie vor gewichtiger Schwerpunkt der Prüfungspraxis sein wird.

Mit Umsetzung der im Februar 2019 durch die EBA veröffentlichten neuen Anforderungen an das Auslagerungsmanagement (EBA Guidelines on outsourcing arrangements) ist eine Anpassung der BAIT in 2020 vorgesehen. Es ist wahrscheinlich, dass auch Anforderungen zum IT- und Sicherheitsrisikomanagement darin einfließen.

Checkliste ermittelt schnell Ihren Handlungsbedarf

Severn Consultancy und ORO Services haben eine Checkliste erstellt, die Sie schnell über mögliche Gaps informiert und Ihren Handlungsbedarf aufzeigt. Gerne unterstützen wir Sie, um die bestehende IT-Organisation auf den Prüfstand zu stellen und neue Anforderungen wirkungsvoll und nachhaltig zu implementieren.

Die Checkliste finden Sie hier.

Zurück

Feedback