Feedback

Gepostet am 14. Mai 2021 von  Verena Siemes, Geschäftsführerin ORO Services GmbH

IT-Risiken und Auslagerungsmanagement: Bundesbank verschärft Fragebogen

Vergangene Woche hat die Aufsicht ihre Prüfungsschwerpunkte für 2021 verkündet. Neben dem Thema Widerstandsfähigkeit der Institute gegen die Folgen der Pandemie, rücken ein weiteres Mal die IT-Risiken in den Fokus der (Sonder-)Prüfungen.

Neu ist dabei, dass auch die (zunehmende) Auslagerung von IT-Dienstleistungen insbesondere mit Blick auf Konzentrationsrisiken thematisiert wird. Die Aufsicht sieht ein erhöhtes Risiko dadurch, dass viele Finanzinstitute auf einen oder einige wenige Dienstleister wichtige Prozesse und Funktionen ausgelagert haben. Kommt es nun zu Störungen bei dem Dienstleister, wäre die Konsistenz des Finanzsektors erheblich betroffen.

Im Fokus: Cyber- und IT-Risiken

Die Cyber- und IT-Risiken sollen dabei im Rahmen von Sonderprüfungen sowie des regelmäßigen aufsichtlichen Überprüfungs- und Bewertungsprozesses (Supervisory Review and Evaluation Process – SREP) beurteilt werden. Diesbezüglich hat die Bundesbank an etliche Finanzinstitute einen umfangreichen Fragebogen zur (Selbst-) Einschätzung der IT-Risiken (ICT-Risiken) verschickt. Diejenigen Institute, die den Fragebogen im Jahr 2021 nicht erhalten, werden diesen im Folgejahr erhalten und ausfüllen müssen.

Die Fragebögen basieren auf einer von der EZB gemeinsam mit den nationalen Aufsichtsbehörden entwickelten einheitlichen Methodik zur Umsetzung der ICT-Risiko-Beurteilung im SREP. Die Bewertung der ICT-Risiken fließt in die operationellen Risiken sowie das Risikomanagement ein. Im Fragebogen sind Angaben zur Einschätzung des IT-Risikolevels des jeweiligen Instituts sowie umfangreiche aus den BAIT abgeleitete IT-Risikokontrollfragen zu beantworten. 

Detaillierte Fragen zu IT-Auslagerung und IT-Fremdbezug

Mit rund 50 detaillierten Fragen zum Themenbereich IT-Auslagerung und IT-Fremdbezug  wird ein ganz erheblicher Fokus auf das Thema Dienstleistersteuerung gelegt. So müssen Angaben u.a. zum Informationsrisikomanagement, Notfallmanagement, Umgang mit Weiterverlagerungen, sicherer IT-Betrieb, Projektmanagement, Organisation und Governance des jeweiligen Dienstleisters gemacht werden. Zusätzlich muss der Reifegrad all dieser Themen auf einer Skala von 1-4 beurteilt werden.

Der Umfang und die Komplexität des Fragebogens erfordern einen sorgfältigen Umgang mit der Beantwortung, da letztendlich die Ergebnisse auch Auswirkungen auf das operationelle Risikomanagement des Instituts haben werden und damit unerwünschte Aufschläge die Folge sein könnten.

Wenn Sie Unterstützung bei der Beantwortung der Fragen benötigen oder sich auf weitere Maßnahmen der Aufsicht vorbereiten möchten, sprechen Sie uns gerne an. Die Broschüre der BaFin mit den Aufsichtsschwerpunkten 2021 finden Regupedia-Kunden hier.


Zum Kontaktformular


 ESG: Der Omnibus rollt

 AI-Act: Anwendungsfrist 02. Februar 2025

 Vom Entwurf zur Verordnung: Die Dynamik der saisonalen Regulierung

 Jahresausblick von Regupedia auf 2025

 DORA-Verordnung: Ein neues Kapitel für die digitale Resilienz in der Finanzindustrie

Passwort zurücksetzen

Bitte geben Sie Ihre E-Mail-Adresse an. Wir senden Ihnen eine E-Mail zum Zurücksetzen Ihres Passwortes.


Abbrechen

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.