Gepostet am 20. Juni 2017 von in
Neue Runde in der IT-Aufsicht eingeläutet
Zu Beginn der Urlaubszeit denken viele IT-Sicherheitsverantwortliche in Finanzunternehmen sicher bereits an Sonne und Strand. Im Ozean der aufsichtsrechtlichen Normen und Standards ist allerdings weiterhin kein Land zu sehen. Nachdem mit der Konsultation zu "Bankaufsichtlichen Anforderungen an die IT" (BAIT) der BaFin vom 23. Februar 2017 die erste Welle an neuen Vorgaben etwas abgeebbt war, meldet sich das Thema IT-Sicherheit nun mit voller Wucht zurück. Mit dem Referentenentwurf zur "Ersten Verordnung zur Änderung der BSI-Kritisverordnung" hat der deutsche Gesetzgeber die lange erwarteten Bestimmungen zur Definition Kritischer Infrastrukturen (KRITIS) im Sektor "Finanz- und Versicherungswesen" nach dem IT-Sicherheitsgesetz veröffentlicht.
Nun gilt es sorgfältig zu prüfen, ob Unternehmen im Finanzbereich (Banken, Börsen, Versicherungen) die strengen Anforderungen nach KRITIS zu erfüllen hat. Als wäre dies nicht schon genug, fordert der Gesetzgeber, die neue Datenschutzgrundverordnung (EU-DSGVO) bis zum 25. Mai 2018 umzusetzen; die Umsetzung der europäischen Netz- und Informationssicherheits-(NIS)-Richtlinie in nationales Recht muss bis zum 10. Mai 2018 erfolgt sein.
Hohe Bußgelder bei Nichterfüllung möglich
Bei beiden Anforderungen handelt es sich bei genauerer Betrachtung um umfangreiche Schwergewichte, die insbesondere im Bereich IT-Sicherheit und Datenschutz die Messlatte enorm erhöhen. Fristete der Datenschutz bisher meist eine eher ungeordneteres Dasein im Gesamtkontext regulatorischer Anforderungen (gemäß dem Motto "der Datenschutz wird sowieso mit erledigt"), so wird jetzt der Schutz sensibler Daten mit erheblichem Aufwand und hohen Strafen bei Nichterfüllung gefordert. So sind nun Strafzahlungen bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes eines Konzerns möglich.
Mehr denn je gilt es also die Dämme zu erhöhen, um der Flut von Regulierungen und Bedrohungen für Unternehmen im IT-Umfeld gezielt widerstehen zu können. Dabei fordert der Gesetzgeber nun in fast jeder Veröffentlichung die Einhaltung eines "Mindeststandards" analog zu den bereits durch das BSI veröffentlichten Maßnahmenkatalogen und Technischen Richtlinien. Weiterhin haben sich hier Wirksamkeitsprüfungen bestehender IT-Sicherheitsstandards und bereits etablierter "gängiger Standards" im Unternehmen als wirkungsvolle und zielgerichtete Vorgehensweise etabliert. Insbesondere kann hier die Vergleichbarkeit als wesentliche Grundlage für die Akzeptanz durch die Aufsicht eine entscheidende Rolle spielen.
Severn Consultancy bietet in diesem Zusammenhang ein umfangreiches Beratungsportfolio von der Auditierung besonders kritischer IT-Infrastrukturen (z. B. Netzwerke, PC und Laptops) bis zum "Cyber-Security -Check" und der Optimierung der IT-Sicherheitsstrukturen im Fokus von Aktualität und Effizienz für Endkunden an.