Cyber Resilience Oversight Expectations (CROE)

Definition des Begriffs

CROE steht für Cyber Resilience Oversight Expectations. Der Begriff bezeichnet die vom Eurosystem entwickelten Aufsichtserwartungen zur Cyber-Resilienz von Finanzmarktinfrastrukturen, insbesondere Zahlungsverkehrssystemen, Zentralverwahrern, Wertpapierabwicklungssystemen und zentralen Gegenparteien. Die Erwartungen wurden 2018 veröffentlicht und konkretisieren, wie Betreiber kritischer Marktinfrastrukturen Cyberrisiken erkennen, steuern, überwachen und nach Störungen wieder funktionsfähig werden sollen. CROE ist kein unmittelbar geltender Rechtsakt, sondern ein aufsichtsbezogener Bewertungsrahmen. Er stützt sich auf internationale Grundsätze für Finanzmarktinfrastrukturen und auf die CPMI-IOSCO-Leitlinien zur Cyber-Resilienz.

Vorkommen und Verwendung

CROE wird von Zentralbanken und Aufsichtsstellen im Rahmen der Überwachung von Finanzmarktinfrastrukturen verwendet. Die betroffenen Betreiber nutzen den Rahmen für Selbstbewertungen, Reifegradanalysen, Prüfungen und Verbesserungsprogramme. Die Anwendung erfolgt risikoorientiert und regelmäßig, häufig im Zusammenhang mit Oversight-Gesprächen, Nachweisen zur Informationssicherheit und Tests der betrieblichen Widerstandsfähigkeit. Dadurch entsteht eine nachvollziehbare Grundlage für Priorisierung, Budgetierung und Managementberichte.

Kernbereiche sind:

1. Governance, mit Verantwortlichkeiten, Strategie und Kontrollfunktionen.
2. Identifikation, mit Inventaren kritischer Prozesse, Daten und Abhängigkeiten.
3. Schutz, Erkennung, Reaktion und Wiederherstellung, mit Kontrollen, Überwachung und Notfallfähigkeit.
4. Tests, Lagebewusstsein sowie kontinuierliches Lernen und Weiterentwickeln.

Relevanz

CROE ist relevant, weil Finanzmarktinfrastrukturen zentrale Funktionen für Zahlungsverkehr, Clearing, Settlement und Sicherheitenverwaltung erfüllen. Cybervorfälle können Liquidität, Marktintegrität und Finanzstabilität beeinträchtigen. Der Rahmen schafft eine einheitliche Erwartungsbasis für Governance, technische Schutzmaßnahmen, Krisenorganisation und Wiederanlaufziele. Er unterstützt außerdem die Einordnung von Reifegraden. Üblich sind die Stufen evolving, advancing und innovating, die den Entwicklungsstand der Cyber-Resilienz beschreiben. Ergebnisse aus CROE-Bewertungen können zu Maßnahmenplänen, Fristen, vertieften Prüfungen oder ergänzenden Tests führen.

Beispiel / Synonyme oder verwandte Begriffe

Verwandte Begriffe sind:

• Cyber-Resilienz, die Fähigkeit, Cyberangriffe zu verhindern, zu verkraften und den Betrieb wiederherzustellen.
• FMI, Financial Market Infrastructure, als Sammelbegriff für kritische Marktinfrastrukturen.
• TIBER-EU, ein europäischer Rahmen für bedrohungsgeleitete Red-Team-Tests.
• PFMI, internationale Prinzipien für robuste Finanzmarktinfrastrukturen.

Weitere Informationen

CROE steht im Zusammenhang mit der Überwachungsaufgabe des Eurosystems nach Art. 127 Abs. 2 AEUV und Art. 22 der ESZB/EZB-Satzung. Ergänzend bestehen Bezüge zu sektorspezifischen Regelwerken wie der SIPS-Verordnung, EMIR, CSDR und DORA, soweit operationelle Resilienz, Auslagerungen, IKT-Risikomanagement und Meldepflichten betroffen sind.

Weiterführende Details, regulatorische Vorgaben und Methodikbeschreibungen finden Sie auf Regupedia: www.regupedia.de