LeanIX is now part of SAP
LeanIX is now part of SAP
LeanIX is now part of SAP
Bauen und transformieren Sie Technologielandschaften, unterstützen Sie Business-Strategien und rücken Sie die Innovationskraft ins Zentrum Ihrer Betriebsabläufe.
Mehr erfahrenDas LeanIX-Partnerprogramm passt sich flexibel Ihrem Geschäftsmodell an, damit keine Marktchance an Ihnen vorbeizieht.
Mehr erfahren
LeanIX is now part of SAP
Eines der Ziele des Berichts der Europäischen Bankenaufsichtsbehörde ist es, durch strengere Vorschriften bei der Auslagerung von Dienstleistungen mehr Cybersicherheit zu schaffen.
Ziel des Berichts der Europäischen Bankenaufsichtsbehörde ist es, durch strengere Vorschriften bei der Auslagerung von Dienstleistungen mehr Cybersicherheit zu schaffen. Diese neuen EBA-Leitlinien zur Informations- und Kommunikationstechnologie (IKT) sind für alle Finanzinstitute gedacht und decken alle Zahlungsarten ab, einschließlich elektronisches Geld.
Die IKT-Richtlinien oder EBA-Richtlinien betreffen die Auslagerung von Cloud-Services in FinTechs und ersetzen die Richtlinien des Ausschusses der europäischen Bankenaufsichtsbehörde von 2006 . Darüber hinaus enthalten sie auch die Empfehlungen der EBA zum Thema Ausgliederung.
Außerdem wird sich in der Richtlinie nicht auf eine, alles umfassende Einheit eingegangen, sondern auf die einzelnen Entitäten. Zudem finden sich detaillierte Ausführungen zu spezifischen Verfahren und Verpflichtungen.
Alle Finanzinstitutionen, die die folgenden Kriterien erfüllen, sind zur Einhaltung der im Bericht dargelegten IKT-Richtlinien verpflichtet:
Viele Unternehmen, darunter auch FinTechs, werden sich der Herausforderung stellen müssen, in einem schnelllebigen Markt wettbewerbsfähig zu bleiben und gleichzeitig die Richtlinien einzuhalten.
Seit dem 30. September 2019 müssen sich alle im Bericht angesprochenen Institute an die neuen Richtlinien halten.
Die Komplexität der Informations- und Kommunikationstechnologien nimmt zu und damit auch die Zahl der sicherheitsrelevanten Angriffe. Außerdem sind die Infrastrukturen der IKT-Systeme, die zum Betrieb eines Finanzinstituts beitragen, häufig miteinander verbunden.
Daher könnte ein Sicherheitsvorfall aufgrund eines Hackerangriffs potenziell einen vollständigen Zusammenbruch einer geschäftskritischen Infrastruktur verursachen und verheerende Folgen für ein ganzes Institut oder, im schlimmsten Fall, für die weltweiten Finanzmärkte haben.
Was wie ein Weltuntergangsszenario erscheint, stellt eine tatsächliche, potenzielle Bedrohung dar.
Um dieser Bedrohung entgegenzuwirken, wurde in den EBA-Richtlinien festgelegt, wie Finanzinstitute Sicherheitsrisiken angehen und ihre IKT-Infrastruktur schützen müssen. Mithilfe von IKT und Sicherheitsmanagement arbeiten Finanzinstitute darauf hin, ihre Ziele in den Bereichen Strategie, Unternehmenserwartungen, Betriebsführung und Reputation zu erreichen.
Die EBA-Leitlinien umfassen auch Zahlungsdienstleister. Diese Leitlinien gelten immer dann, wenn es um Zahlungsdienste geht – einschließlich der Ausgabe von elektronischem Geld von Kreditinstituten und aller Aktivitäten außerhalb der Zahlungsdienste und Wertpapierfirmen.
Kurz gesagt, zu den PSPs, die sich an die IKT-Richtlinien halten müssen, gehören:
Die Richtlinien gelten für alle oben genannten Punkte, sofern nicht anders angegeben.
Die EBA-Leitlinien sollen die im Dezember 2017 veröffentlichten Regeln in Artikel 95 der PSD2 mit dem Titel „Leitlinien zu Sicherheitsmaßnahmen für Betriebs- und Sicherheitsrisiken von Zahlungsdiensten“ integrieren.
Um gleiche Wettbewerbsbedingungen zu schaffen, werden in den Richtlinien auch Themen behandelt, die auf die Minderung von IKT- und Sicherheitsrisiken in Finanzinstitutionen ausgerichtet sind.
Darüber hinaus gehen die IKT-Richtlinien auch auf die Forderung der Europäischen Kommission des Aktionsplans für Finanztechnologie (FinTech) ein, der im März 2018 veröffentlicht wurde.
Darin enthalten ist eine Aufforderung an die Europäischen Aufsichtsbehörden, Richtlinien zum IKT-Risikomanagement und zu den Anforderungen an die Minderung von IKT-Risiken im Finanzsektor der Europäischen Union zu erstellen.
Die Richtlinien befassen sich ferner mit der Zunahme der Sicherheitsrisiken, die sich aus der Digitalisierung des Finanzsektors und der Vernetzung der Infrastrukturen ergeben und jeder in den Netzwerken agierenden Person Cyberangriffen aussetzen.
Durch moderne Online-Telekommunikationskanäle und drahtlose Technologien, die Weitverkehrsnetze nutzen, setzen sich die EU-Finanzinstitute einem erhöhten Risiko aus. Ganz zu schweigen von allen anderen Finanzinstituten und Dritten, die mit den EU-Institutionen verbunden sind.
Durch die IKT-Richtlinien verbessern die Institute ihre Cybersicherheit und können sich besser vor Cyberangriffen schützen. Schließlich sollte das Cyber-Sicherheitsrisikomanagement ein Teil des gesamten Sicherheitsrisikomanagements einer Finanzinstitution sein.
Cyberangriffe weisen bestimmte Merkmale auf. Wenn Finanzinstitute um diese Charakteristika wissen, können sie geeignete Informationssicherheitsmaßnahmen treffen, um Cyberrisken zu bekämpfen. Hier eine Liste einiger Merkmale:
Um Sicherheitslücken zu vermeiden, müssen Finanzinstitute und andere Marktteilnehmer zusammenarbeiten und das schwächste Glied der Kette unterstützen.
Die IKT-Betriebseinheiten sind die erste Verteidigungslinie. Aus diesem Grund konzentrieren sich die EBA-Richtlinien zunächst auf die Verantwortlichkeiten des Leitungsorgans und dann auf die zweite Verteidigungslinie, die aus der Informationssicherheitsfunktion besteht.
Nach einer öffentlichen Konsultation spiegeln die Richtlinien nun die Verantwortung der internen Führungsgremien in das Risikomanagement im Zusammenhang mit der Cybersicherheit wider.
Um dem breiten Anwendungsbereich des Risikomanagements für Cybersicherheit besser gerecht zu werden, wurden die in den „Leitlinien zu den Sicherheitsmaßnahmen für Betriebs- und Sicherheitsrisiken von Zahlungsdiensten“ enthaltenen Anforderungen in die neuen EBA-Leitlinien aufgenommen und erweitert.
Tatsächlich wurden die Bestimmungen von 2017 aufgehoben, da sie Art, Umfang und Komplexität der Verantwortung der Institutionen für das Risikomanagement nicht angemessen berücksichtigten.
In den EBA-Richtlinien für das Sicherheitsrisikomanagement soll ein Weg gefunden werden, wie Auslagerung und Innovation angegangen und mit der Einhaltung von Vorschriften in Einklang gebracht werden können. Trotz Aufforderungen von öffentlichen Beratern, FinTech aus dem Bericht zu streichen, enthalten die IKT-Richtlinien ausdrücklich Bestimmungen für das Sicherheitsrisikomanagement, die alle relevanten Branchenakteure einbeziehen.
Die Richtlinien setzen sich aus den folgenden Kategorien zusammen:
Alle Finanzinstitutionen sind verpflichtet, die Bestimmungen der EBA-Leitlinien in einer Weise einzuhalten, die der Größe des Instituts, ihrer internen Organisation, ihrem Umfang, ihrer Art, ihrer Komplexität und der Risikobereitschaft der angebotenen Produkte/Dienstleistungen angemessen ist.
Das Sicherheitsrisikomanagement ist verpflichtet, das Führungsgremium einzubeziehen, um eine angemessene Führung, hohe Qualitätsstandards und Mitarbeiterfähigkeiten sowie die Genehmigung, Überwachung und Umsetzung robuster IKT-Strategien zu gewährleisten.
Im Rahmen ihrer Strategie müssen sich die Institutionen so weiterentwickeln, dass sie die Organisationsstruktur, Änderungen der IKT-Systeme, Abhängigkeiten von Dritten sowie ihre Mitarbeiter und Prozesse wirksam unterstützen.
Die Institute sind verpflichtet, ihre Infrastruktur nach IKT-Richtlinien zu ermitteln und zu verwalten. Darüber hinaus müssen Verantwortlichkeiten direkt zugewiesen werden, um IKT- und Sicherheitsrisiken angemessen zu verwalten und zu überwachen. Dieser Abschnitt befasst sich mit der Zuweisung von Schlüsselrollen und Verantwortlichkeiten, der Bestimmung von Risiken und der Behebung von Problemen aus den gewonnenen Erkenntnissen.
In einem System der Risikoklassifizierung und -bewertung wird dargelegt, wie Risiken gemindert und relevante Informationen den EBA-Richtlinien gemäß gemeldet werden können. Außerdem werden die bestehenden Systeme kontinuierlich überprüft.
Unter Informationssicherheit definieren die EBA-Richtlinien, was eine akzeptable Informationssicherheit für das Sicherheitsrisikomanagement darstellt. Die IKT-Richtlinien umreißen zudem die logische Sicherheit, die physische Sicherheit, die Sicherheit des IKT-Betriebs, die Sicherheitsüberwachung, die Überprüfung, Bewertung und Prüfung der Informationssicherheit sowie die Ausbildung und das Bewusstsein für Informationssicherheit.
In diesem Abschnitt der EBA-Richtlinien wird den Finanzinstituten empfohlen, ihren IKT-Betrieb auf der Grundlage von Verfahren und Prozessen zu verwalten, die vom Leitungsorgan implementiert werden. Auch das Vorfall- und Problemmanagement wird behandelt. Es wird erklärt, wie man im Falle eines Problems am besten mit dem zuständigen Bearbeiter zusammenarbeitet.
Die Institute werden angewiesen, einen Projekt-Governance-Prozess einzurichten, der Verantwortlichkeiten definiert, Rollen zuweist und die Rechenschaftspflicht festlegt, um die Umsetzung von IKT-Richtlinien und -Strategien zu unterstützen.
Außerdem lässt sich in den Richtlinien ein Abschnitt zur Anschaffung und Entwicklung von IKT-Systemen und das Änderungsprotokoll für das IKT-Management finden.
Im Falle schwerwiegender Geschäftsunterbrechungen infolge von Cyberangriffen oder Sicherheitsverletzungen müssen die Institute auf einen reibungslosen Übergang zurück zur Normalität vorbereitet sein. Der beschriebene Prozess umfasst eine Analyse der Geschäftsauswirkungen, einen Plan für die Geschäftskontinuität und Reaktion, Wiederherstellungspläne, das Testen der Pläne und schließlich die Einrichtung von Kommunikationskanälen während einer Krise.
Das Sicherheitsrisikomanagement für Zahlungsdienstleister sieht die Einrichtung und Implementierung von Prozessen vor, die das Bewusstsein von Sicherheitsrisiken einzelner Services erhöhen.
Die übrigen EBA-Richtlinien befassen sich mit der Aufdeckung von betrügerischen oder böswilligen Konto-Nutzungen und weisen Möglichkeiten auf, Verstößen durch die Deaktivierung bestimmter Funktionen vorzubeugen.
In den EBA-Leitlinien zur Auslagerung definiert die Behörde Auslagerung als eine Vereinbarung zwischen einem regulierten Institut und einem Dienstleister, der einen Prozess, eine Dienstleistung oder eine Tätigkeit ausführt, die normalerweise intern abgewickelt werden würde. Daher sollte jedes Institut genau bestimmen, welche Vereinbarungen unter die Auslagerung an Dritte fallen. Die Regeln sind strenger für sensiblere Aufgaben, die im Falle eines Cyberangriffs etwa zu einem Systemausfall führen können.
Laut den EBA-Richtlinien zur Auslagerung müssen Institute sicherstellen, dass ihre risikomindernden Maßnahmen wirksam sind, wenn sie Drittanbieter in Anspruch nehmen. Daher fallen Drittanbieter unter die Definition des Risikomanagements der Institution.
Um sicherzustellen, dass die Kontinuität der IKT-Dienstleistungen und IKT-Systeme gewährleistet ist, empfehlen die EBA-Richtlinien zur Auslagerung den Instituten, in ihren Verträgen und Dienstleistungsvereinbarungen die folgenden Maßnahmen abzudecken:
Die Finanzinstitute, die diese Vereinbarungen mit Drittanbietern abschließen, müssen den Grad der Einhaltung der Sicherheitsmaßnahmen, Ziele und Leistungsvorgaben überwachen und sicherstellen.
Der Sicherheitsstandard von Drittanbietern muss dem Standard der Institutionen entsprechen, die sie beauftragen, wie in den EBA-Richtlinien zur Auslagerung festgelegt.
Die EBA-Richtlinien zur Auslagerung nennen insbesondere Cloud-Dienste als das höchste Sicherheitsrisiko.
Die Bemühungen um den Einsatz von Cloud-Diensten haben in den meisten Branchen zugenommen – besonders während der Pandemie und dem Aufkommen von Remote Work. Die EBA-Richtlinien zur Auslagerung zielen darauf ab, die potenziellen Risikobereiche abzudecken, die mit Cloud-basierten Arbeitsplätzen einhergehen.
Mithilfe von LeanIX erhalten große Institute die notwendigen Tools und Services zur effizienten Verwaltung ihrer Enterprise Architecture.
Unternehmen, deren Application Portfolios aus mehr als 100 Applikationen bestehen, fehlt häufig ein transparenter Blick auf ihre Applikationslandschaft. Ein effektives Application Portfolio Management erleichtert die Einhaltung der in diesem Guide beschriebenen EBA-Richtlinien.
LeanIX unterstützt Finanzinstitute bei der Verwaltung von Software verschiedener Anbieter, wodurch die Einhaltung der komplexen EBA-Richtlinien erheblich erleichtert wird.
Gratis White Paper
/EN/Reports/Thumbnail-Obsolescence-Gartner.png?width=260&height=171&name=Thumbnail-Obsolescence-Gartner.png)
/EN/Poster/Thumbnail-Obsolescence-Poster-Template-720x500-1.png?width=260&height=171&name=Thumbnail-Obsolescence-Poster-Template-720x500-1.png)
/DE/Poster/DE-Tech-Stacks-Poster_Resource_Page_Thumbnail-1.png?width=260&height=171&name=DE-Tech-Stacks-Poster_Resource_Page_Thumbnail-1.png)