LeanIX Continuous Transformation Platform®

Learn why market leading brands trust in the capabilities of the enterprise-ready LeanIX platform. LeanIX is ISO 27001 and SOC II Type 2 certified with highest standards for security and data privacy. It is a true cloud native SaaS using state-of-the art processes and tools to ensure high SLAs.

Learn more
Der Ultimative Guide zu

EBA - Leitlinien für das Management von IKT - und Sicherheitsrisiken

Eines der Ziele des Berichts der Europäischen Bankaufsichtsbehörde ist es, durch strengere Vorschriften bei der Auslagerung von Dienstleistungen mehr Cybersicherheit zu schaffen.

Hintergrund des EBA-Leitfadens

Ziel des Berichts der Europäischen Bankaufsichtsbehörde ist es, durch strengere Vorschriften bei der Auslagerung von Dienstleistungen mehr Cybersicherheit zu schaffen. Diese neuen EBA-Leitlinien zur IKT (Informations- und Kommunikationstechnologie) sind für alle Finanzinstitute gedacht und decken alle Zahlungsarten ab, einschließlich elektronisches Geld.

Die IKT-Richtlinien oder EBA-Richtlinien betreffen das Cloud-Outsourcing und den Einsatz in FinTech und ersetzen die Richtlinien des Ausschusses der europäischen Bankaufsichtsbehörden von 2006 zum Outsourcing. Darüber hinaus enthalten sie auch die Empfehlungen der EBA, wenn es um Outsourcing geht.

Während die erfassten Entitäten in den Richtlinien definiert sind, finden Sie auch einige Einzelheiten zu spezifischen Verfahren und Verpflichtungen.

Alle Finanzinstitutionen, welche die folgende Kriterien erfüllen, sind verpflichtet, die im Bericht dargelegten ICT-Richtlinien zu befolgen:

  • Alle Institutionen, die in den Zuständigkeitsbereich der EBA fallen, einschließlich Kreditinstitute wie Banken
  • Wertpapierfirmen in der Richtlinie (EU) 2013/36 IV, auch Kapitalanforderungsrichtlinie genannt
  • Zahlungsinstitute und Dienstleistungen
  • E-Geld-Institutionen

Eine breitere Palette von Unternehmen, zu denen jetzt auch FinTech gehört, wird sich der Herausforderung stellen müssen, in einem schnelllebigen Markt wettbewerbsfähig zu bleiben und gleichzeitig die Richtlinien einzuhalten.

Seit dem 30. September 2019 müssen sich alle im Bericht angesprochenen Institutionen an die neuen Regeln halten.

 

Grund der EBA-Richtlinien

Die Komplexität der Informations- und Kommunikationstechnologien nimmt zu und damit auch die Zahl der sicherheitsrelevanten Angriffe. Und häufig sind die Infrastrukturen der IKT-Systeme, die zum Betrieb eines Finanzinstituts beitragen, miteinander verbunden.

Daher könnte ein Systembruch aufgrund von Cyber-Vorfällen potenziell einen vollständigen Zusammenbruch einer lebenswichtigen Infrastruktur verursachen und zu systemischen Auswirkungen mit verheerenden Folgen für ein ganzes Institut oder, im schlimmsten Fall, für die weltweiten Finanzmärkte führen.

Was wie ein Weltuntergangsszenario erscheinen mag, bleibt eine Möglichkeit und stellt eine tatsächliche Bedrohung dar.

Dies gab Anlass zu einer Reaktion in Form neuer EBA-Richtlinien, die festlegen, wie Finanzinstitutionen Sicherheitsrisiken angehen und ihre IKT-Infrastruktur schützen müssen. IKT und Sicherheitsmanagement sind ein grundlegender Bestandteil der Bemühungen eines jeden Finanzinstituts, seine Ziele in Bezug auf Strategie, Unternehmenserwartungen, Betriebsführung und Reputation zu erreichen.

 

Bestimmungen für Zahlungsdienstleistungsanbieter (PSPs)

Die EBA-Leitlinien umfassen auch Zahlungsdienstleister. Immer dann, wenn es um Zahlungsdienste geht - einschließlich der Ausgabe von elektronischem Geld von Kreditinstituten und aller Aktivitäten außerhalb der Zahlungsdienste und Wertpapierfirmen - gelten die Leitlinien.

Kurz gesagt, zu den PSPs, die sich an die IKT-Richtlinien halten müssen, gehören:

  • PSPs, wie in Artikel 4(11) der PSD2 definiert
  • Kreditinstitute und Wertpapierfirmen im Sinne von Artikel 4 Absatz 1 Punkt 3 der (EU) Nr. 575/2013
  • Zuständige Behörden im Sinne von Artikel 4 Absatz 1 Nummer 40 der (EU) Nr. 575/2013
  • Die Europäische Zentralbank in allen Angelegenheiten im Zusammenhang mit den durch die Verordnung (EU) Nr. 1024/2013 übertragenen Aufgaben und alle zuständigen Behörden gemäß der PSD2, auf die in Artikel 4 Absatz 2 Buchstabe i der Verordnung (EU) Nr. 1093/2010 Bezug genommen wird

Die Richtlinien gelten für alle oben genannten Punkte, sofern nicht anders angegeben.

 

Angleichung des Spielfeldes für alle Institutionen

Die EBA-Leitlinien sollen die im Dezember 2017 veröffentlichten Regeln in Artikel 95 der PSD2 mit dem Titel "Leitlinien zu Sicherheitsmaßnahmen für Betriebs- und Sicherheitsrisiken von Zahlungsdiensten" integrieren.

Um gleiche Wettbewerbsbedingungen zu schaffen, werden in den Richtlinien auch Themen behandelt, die auf die Minderung von IKT- und Sicherheitsrisiken in Finanzinstitutionen ausgerichtet sind.

Darüber hinaus gehen die IKT-Richtlinien auch auf die Forderung der Europäischen Kommission ein, die im Aktionsplan für Finanztechnologie (FinTech), der im März 2018 veröffentlicht wurde, formuliert wurde.

Darin enthalten ist eine Aufforderung an die Europäischen Aufsichtsbehörden, Richtlinien zum IKT-Risikomanagement und zu den Anforderungen an die Minderung von IKT-Risiken im Finanzsektor der Europäischen Union zu erstellen.

 

Bewältigung der Zunahme des Risikos in den letzten Jahren

Die Richtlinien befassen sich ferner mit der Zunahme der Sicherheitsrisiken, die sich aus der Digitalisierung des Finanzsektors und der Vernetzung der Infrastrukturen ergeben und jeden in den Netzwerken Angriffen aussetzen.

Durch moderne Online-Telekommunikationskanäle und drahtlose Technologie, die Weitverkehrsnetze nutzt, öffnen sich die EU-Finanzinstitutionen einem erhöhten Risiko. Ganz zu schweigen von allen anderen Finanzinstitutionen und Dritten, die mit den EU-Institutionen verbunden sind.

Durch die IKT-Richtlinien verbessern die Institutionen ihre Cyber-Sicherheit und können sich besser vor Cyber-Angriffen schützen. Schließlich sollte das Cyber-Sicherheitsrisikomanagement ein Teil des gesamten Sicherheitsrisikomanagements einer Finanzinstitution sein.

Cyber-Angriffe weisen bestimmte Merkmale auf, die berücksichtigt werden sollten, wenn sichergestellt wird, dass die Informationssicherheitsmaßnahmen geeignet sind, Cyber-Risiken zu bekämpfen. Dazu gehören:

  1. Cyber-Angriffe sind im Gegensatz zu anderen Risikoquellen für Finanzinstitute oft schwer zu identifizieren oder auszumerzen. Auch die Quantifizierung des Schadensausmasses ist schwierig.
  2. Einige Angriffe können Risikomanagement und Kontinuitätsmaßnahmen sowie Verfahren zur Wiederherstellung im Katastrophenfall wirkungslos machen. Es ist möglich, dass Malware beschädigte Daten in die Backup-Systeme verbreitet.
  3. Anbieter, Produkte von Anbietern und andere Drittanbieter von Dienstleistungen können als Kanäle genutzt werden, die Malware für einen Cyberangriff verbreiten. Die Verflechtung kann die Methode der Risikoverbreitung sein.

Nach dem "Weakest Link-Prinzip" müssen Finanzinstitute und andere Marktteilnehmer zusammenarbeiten, um Sicherheitslücken zu vermeiden.

 

Das Three Lines of Defense-Modell

Die IKT-Operationseinheiten sind die erste Verteidigungslinie. Aus diesem Grund konzentrieren sich die EBA-Richtlinien zunächst auf die Verantwortlichkeiten des Leitungsorgans und dann auf die zweite Verteidigungslinie, die aus der Informationssicherheitsfunktion besteht.

Nach einer öffentlichen Konsultation spiegeln die Richtlinien nun eine Änderung wider, um die Verantwortung der internen Führungsgremien in das Risikomanagement im Zusammenhang mit der Cybersicherheit einzubeziehen.

 

Ein besserer Weg nach vorn

Um dem breiteren Anwendungsbereich der Bestimmungen und Fragen des Risikomanagements im Bereich der Cybersicherheit besser gerecht zu werden, werden die in den "Leitlinien zu den Sicherheitsmaßnahmen für Betriebs- und Sicherheitsrisiken von Zahlungsdiensten" enthaltenen Anforderungen in die neuen EBA-Leitlinien aufgenommen und erweitert.

Tatsächlich wurden die Bestimmungen von 2017 aufgehoben, da sie Art, Umfang und Komplexität der Verantwortung der Institutionen für das Risikomanagement nicht angemessen berücksichtigen.

 

Leitlinien für das Management von IKT und Sicherheitsrisiken

In den EBA-Richtlinien für das Sicherheitsrisikomanagement besteht der Ansatz darin, einen Weg zu finden, wie Outsourcing und Innovation angegangen und mit der Einhaltung von Vorschriften in Einklang gebracht werden können. Trotz Aufforderungen von öffentlichen Beratern, FinTech aus dem Bericht zu streichen, enthalten die IKT-Richtlinien ausdrücklich Bestimmungen für das Sicherheitsrisikomanagement, die alle relevanten Branchenakteure einbeziehen.

Die Richtlinien setzen sich aus den folgenden Kategorien zusammen:

 

Proportionalität

Alle Finanzinstitutionen sind verpflichtet, die Bestimmungen der EBA-Leitlinien in einer Weise einzuhalten, die der Größe der Institution, ihrer internen Organisation, ihrem Umfang, ihrer Art, ihrer Komplexität und der Risikobereitschaft der angebotenen Produkte/Dienstleistungen angemessen ist.

 

Governance and Strategie

Das Sicherheitsrisikomanagement ist verpflichtet, das Führungsgremium einzubeziehen, um eine angemessene Führung, hohe Qualitätsstandards und Mitarbeiterfähigkeiten sowie die Genehmigung, Überwachung und Umsetzung robuster IKT-Strategien zu gewährleisten.

Im Rahmen ihrer Strategie müssen sich die Institutionen so weiterentwickeln, dass sie die Organisationsstruktur, Änderungen der IKT-Systeme, Abhängigkeiten von Dritten sowie ihre Mitarbeiter und Prozesse wirksam unterstützen.

 

Rahmenwerk für das Management von IKT- und Sicherheitsrisiken

Die Institutionen sind verpflichtet, ihre Infrastruktur nach ICT-Richtlinien zu ermitteln und zu verwalten. Darüber hinaus muss die Verantwortung direkt zugewiesen werden, um IKT- und Sicherheitsrisiken zu managen und zu überwachen. Dieser Abschnitt befasst sich mit der Zuweisung von Schlüsselrollen und Verantwortlichkeiten, der Bestimmung von Risiken und der Behebung von Problemen aus den gewonnenen Erkenntnissen.

In einem System der Risikoklassifizierung und -bewertung wird dargelegt, wie Risiken gemindert und wie relevante Informationen gemäß den EBA-Richtlinien gemeldet werden können. Außerdem werden die bestehenden Systeme kontinuierlich überprüft.

 

Informationssicherheit

Unter Informationssicherheit definieren die EBA-Richtlinien, was eine akzeptable Informationssicherheitspolitik für das Sicherheitsrisikomanagement darstellt. Die IKT-Richtlinien umreißen auch die logische Sicherheit, die physische Sicherheit, die Sicherheit der IKT-Operationen, die Sicherheitsüberwachung, die Überprüfung, Bewertung und Prüfung der Informationssicherheit sowie die Ausbildung und das Bewusstsein für Informationssicherheit.

 

IKT-Betriebsmanagement

In diesem Abschnitt der EBA-Richtlinien wird den Finanzinstitutionen empfohlen, ihre IKT-Operationen auf der Grundlage von Verfahren und Prozessen zu verwalten, die vom Leitungsorgan implementiert werden. Auch das Vorfall- und Problemmanagement wird behandelt, und es wird erklärt, wie man im Falle eines Problems am besten mit dem zuständigen Bearbeiter zusammenarbeitet.

 

IKT-Projekt- und Änderungsmanagement

Die Institutionen werden angewiesen, einen Projekt-Governance-Prozess einzurichten, der Verantwortlichkeiten definiert, Rollen zuweist und die Rechenschaftspflicht festlegt, um die Umsetzung von IKT-Richtlinien und -Strategien zu unterstützen.

Sie finden auch einen Abschnitt über die Anschaffung und Entwicklung von IKT-Systemen und das Änderungsprotokoll für das IKT-Management.

 

Geschäftsfortführungsmanagement

Im Falle schwerwiegender Geschäftsunterbrechungen infolge von Cyber-Angriffen oder Sicherheitsverletzungen müssen die Institutionen auf einen reibungslosen Übergang zurück zur Normalität vorbereitet sein. Der beschriebene Prozess umfasst eine Analyse der Geschäftsauswirkungen, einen Plan für die Geschäftskontinuität und Reaktion, Wiederherstellungspläne, das Testen der Pläne und schließlich die Einrichtung von Kommunikationskanälen während einer Krise.

 

Pflege der Kundenbeziehungen mit Zahlungsdienstnutzern

Das Sicherheitsrisikomanagement der Zahlungsverkehrsdienstleister hat die Aufgabe, Prozesse einzurichten und zu implementieren, die das Bewusstsein für die mit den einzelnen Diensten verbundenen Sicherheitsrisiken erhöhen. Angesichts neuer Bedrohungen müssen Unterstützung und Anleitung umgesetzt werden.

Die übrigen EBA-Richtlinien für PSPs befassen sich mit der Aufdeckung von betrügerischen oder böswilligen Konto-Nutzungen und mit Möglichkeiten, Verstöße durch die Deaktivierung bestimmter Funktionen zu verhindern.

 

Die Nutzung von Drittanbietern - EBA-Richtlinien für Outsourcing

In den EBA-Outsourcing-Richtlinien definiert die Behörde Outsourcing als eine Vereinbarung zwischen einer regulierten Institution und einem Dienstleister, der einen Prozess, eine Dienstleistung oder eine Tätigkeit ausführt, die normalerweise intern abgewickelt werden würde. Daher wird jeder Institution empfohlen, zu bestimmen, welche Vereinbarungen unter das Outsourcing durch Dritte fallen. Die Regeln sind strenger für die sensibleren Aufgaben, die zu Störungen führen könnten, wie z.B. Systemversagen, wenn sie kompromittiert werden.

Die EBA-Richtlinien zum Outsourcing besagen, dass die Institutionen sicherstellen müssen, dass ihre risikomindernden Maßnahmen wirksam sind, wenn sie Drittanbieter in Anspruch nehmen. Daher fallen Drittanbieter unter die Definition des Risikomanagements der Institution.

Um sicherzustellen, dass die Kontinuität der IKT-Dienstleistungen und IKT-Systeme gewährleistet ist, empfehlen die EBA-Outsourcing-Richtlinien den Institutionen, dafür zu sorgen, dass die Verträge und Dienstleistungsvereinbarungen die folgenden Maßnahmen enthalten:

  • Es muss angemessene und verhältnismäßige Informationen über die sicherheitsbezogenen Ziele und Maßnahmen geben. Diese müssen die Mindestanforderungen an die Cybersicherheit, Spezifikationen für den Datenlebenszyklus der Institution, Anforderungen an die Datenverschlüsselung, Netzwerksicherheit und Überwachungsprozesse sowie den Standort der Rechenzentren umfassen.
  • Die EBA-Outsourcing-Richtlinien besagen, dass es Verfahren für den Betrieb und die Behandlung von Sicherheitsvorfällen geben muss, die Eskalation und Berichterstattung einschließen.

Die Finanzinstitutionen, die diese Vereinbarungen mit Drittanbietern abschließen, müssen überwachen und sicherstellen, dass der Grad der Einhaltung der Sicherheitsmaßnahmen, Ziele und Leistungsvorgaben erreicht wird.

Der Sicherheitsstandard von Drittanbietern muss dem Standard der Institutionen entsprechen, die sie beauftragen, wie in den EBA-Outsourcing-Richtlinien festgelegt.

 

Fazit

Die EBA-Richtlinien nennen insbesondere Cloud-Dienste als das höchste Sicherheitsrisiko.

Die Bemühungen um den Einsatz von Cloud-Diensten haben in den meisten Branchen zugenommen, was durch die Pandemie noch beschleunigt wurde, so dass mehr Menschen gezwungen sind, von zu Hause aus zu arbeiten. Die EBA-Richtlinien zum Outsourcing zielen darauf ab, die potenziellen Risikobereiche abzudecken, die mit Cloud-basierten Arbeitsplätzen einhergehen.

Durch Software wie LeanIX erhalten große Institutionen die notwendigen Werkzeuge und Dienstleistungen innerhalb ihrer Unternehmensarchitektur und können gleichzeitig Anwendungsportfolios effektiv verwalten.

Für Unternehmen, die mehr als 100 Anwendungen in ihrem täglichen Betrieb einsetzen, ist die Aufrechterhaltung der Anwendungstransparenz eine äußerst schwierige Aufgabe. Ein effektives Anwendungsmanagement macht es daher viel einfacher, die EBA-Richtlinien zum Outsourcing einzuhalten.

LeanIX hilft den genannten Institutionen, alle Software von verschiedenen Anbietern im Griff zu behalten. Denn mit dem Schwerpunkt auf der Überwachung von Drittanbietern ist die Einhaltung der komplexen EBA-Richtlinien viel praktikabler, als es den Anschein hat.

Jetzt kostenlos herunterladen

Wie die Finanzbranche die Einhaltung von IT-Regularien sicherstellen kann

check

Wie ein EAM-Tool dabei helfen kann, die IT-Infrastrukturen von Finanzinstituten zu modernisieren und gleichzeitig effiziente Wege für Compliance- und Sicherheitsteams findet.

check

Wie Datensicherheit und IT-Compliance mittels unternehmensweiter Unterstützung vorangetrieben werden kann.

check

Wie automatisierte Reporting-Mechanismen genutzt werden können, um die Integrität, die Verfügbarkeit und die Vertraulichkeit von IT-Systemen zu gewährleisten