IT-Regulatorik umfasst gesetzliche, aufsichtsrechtliche und behördliche Vorgaben, die sicherstellen sollen, dass Unternehmen angemessene Maßnahmen ergreifen, um ihre IT-Systeme und -Prozesse zu schützen. Dadurch sollen Risiken minimiert sowie die Vertraulichkeit, Integrität und Verfügbarkeit von Assets gewährleistet werden. Insbesondere Anbieter von Finanzdienstleistungen, Telekommunikation sowie Gesundheitsträger verzeichnen einen rapiden Zuwachs der ihnen auferlegten regulatorischen Anforderungen, da sie eine Vielzahl sensibler Daten verarbeiten und somit besonders im öffentlichen Interesse stehen. Um das Vertrauen ihrer Kund:innen und Stakeholder:innen nachhaltig zu gewährleisten, müssen Unternehmen sicherstellen, dass neue regulatorische Anforderungen frühzeitig identifiziert, deren Auswirkungen analysiert und entsprechende Maßnahmen getroffen werden. Die Herausforderung besteht dabei darin, den Überblick zu wahren, Redundanzen zu vermeiden und gezielte Maßnahmen zu setzen, um somit Ressourcen effizient einzusetzen.
Wir unterstützen Ihr Unternehmen dabei zu verstehen, welche regulatorischen Anforderungen Sie betreffen, wie sich diese auf Ihre IT-Landschaft auswirken und wie Sie den regulatorischen Anforderungen effizient gerecht werden.
Unsere Schwerpunkte im Bereich IT-Regulatorik
GAP-Analyse
Zur initialen Bewertung der vorhandenen Privacy-Landschaft und ihres Reifegrads, führt KPMG eine GAP-Analyse durch. Dabei werden die im Unternehmen vorhandenen datenschutzrelevanten Dokumente und Prozesse erhoben und mit einem Reifegrad versehen. Wir orientieren uns dabei an der Datenschutzgrundverordnung (DSGVO) sowie lokalen und branchenspezifischen Gesetzen und Auflagen. Anhand der Ergebnisse der Analyse erarbeiten wir gemeinsam mit Ihnen Maßnahmen, um die identifizierten GAPs zu adressieren.
Unterstützung durch KPMG
Datenschutz-Managementsystem nach ISO/IEC 27701
KPMG unterstützt Ihr Unternehmen bei der Erweiterung Ihres ISMS um die in der ISO/IEC 27701 festgelegten Anforderungen für Datenschutz-Managementsysteme (DSMS). Gleichwohl die Norm internationale Anerkennung genießt, ist sie somit keinem spezifischen Datenschutzgesetz zugeschrieben und gilt daher nicht als Zertifikat im Sinne von Artikel 42 DSGVO. Die Prüfung nach ISO 27701 bietet Unternehmen die Möglichkeit, die Einhaltung internationaler Datenschutzstandards nachzuweisen, das Vertrauen von Kund:innen und Partnern zu stärken, Risiken zu managen und eine kontinuierliche Verbesserung im Datenschutz zu fördern.
Privacy-Riskmanagement
Privacy-Riskmanagement bezieht sich auf den Prozess der Identifizierung, Bewertung, Überwachung und Steuerung von Risiken im Zusammenhang mit dem Schutz personenbezogener Daten. Es ist ein wichtiger Bestandteil eines umfassenden Datenschutz-Managementsystems und zielt darauf ab, potenzielle Risiken für die Privatsphäre von Kund:innen und Mitarbeiter:innen zu erkennen und angemessene Maßnahmen zu ergreifen, um diese Risiken zu minimieren oder zu kontrollieren. KPMG hilft Ihnen dabei, ein Ihrem Unternehmen angepasstes Target Operating Model (TOM) zu entwickeln, um Privacy-Risiken effektiv zu identifizieren, zu analysieren und zu evaluieren.
Die erste NIS-Richtlinie trat bereits im Jahr 2016 in Kraft. Mit dieser verabschiedete die EU erstmals umfassende Regelungen für Cybersicherheit im Bereich der kritischen Infrastruktur. In Österreich wurden diese Vorgaben 2018 insbesondere durch das Netz- und Informationssystemsicherheitsgesetz (NISG) umgesetzt.
Mit der Unterzeichnung der NIS2-Richtlinie hat die Europäische Union begonnen, einen proaktiveren Ansatz zu Fragen der Cybersicherheit in der Region zu verfolgen. Da die Welt immer vernetzter wird, stellen Unternehmen fest, dass ihre IT- und OT-Infrastrukturen zunehmend miteinander verwachsen, wodurch das Potenzial für physische Cybersicherheitsvorfälle wächst. Infolgedessen unterstreicht die NIS2-Richtlinie die Motivation der EU, die Cybersicherheit ganz oben auf die Tagesordnung zu setzen.
Das NISG verpflichtet Betreiber wesentlicher Dienste zur Umsetzung umfangreicher Sicherheitsmaßnahmen und zum Nachweis ihrer Wirksamkeit durch qualifizierte Stellen. Die Prüfung muss gemäß NIS-Gesetz alle drei Jahre von einer qualifizierte Stelle (QuaSte) durchgeführt werden. Das BMI empfiehlt jährliche Überwachungsaudits. Mit über 15 Prüfer:innen bildet KPMG die größte QuaSte in Österreich.
Im Falle einer Nichteinhaltung drohen Einrichtungen finanzielle Sanktionen in Höhe von 2 % des Jahresumsatzes für wesentliche bzw. 1,4 % des Jahresumsatzes für wichtige Einrichtungen.
Anforderungen im Überblick
| Governance und Risikomanagement | Umgang mit Dienstleistern |
|---|---|
| Aufbau eines IKS Risikoanalyse und -bewertung Zuweisung von Rollen und Verantwortlichkeiten |
Vertragsmanagement Überwachung von Service-Level-Agreements |
| Sicherheitsarchitektur | Systemadministration |
|---|---|
| Frühwarnsysteme Risikobasierte Sicherheitsarchitektur Schutzmaßnahmen |
Schlüssel- und Passwortverwaltung Regelmäßige Reviews der administrativen Konten Berechtigungssysteme |
| Business Continuity Management | Systemwartung und Betrieb |
|---|---|
| Disaster Recovery Erstellen von BCM- & Notfallplänen Planung & Durchführung von Notfallübungen |
Patch-Management Laufendes Aktualisieren der Systeme Überprüfen neuer Versionen |
| Physische Sicherheit | Identitäts- und Zugriffsmanagement |
|---|---|
| Sicherheitszonen Implementierung von Alarm- & Notfallmaßnahmen Überwachungsmaßnahmen |
Benutzer:innen- und Berechtigungsverwaltung Implementierung von Zugriffskontrollen |
| Erkennung von Vorfällen | Bewältigung von Incidents |
|---|---|
| Logging & Monitoring Security Information & Event Management |
Incident Response Forensik |
Unterstützung durch KPMG
KPMG begleitet Ihr Unternehmen vor, während und nach der NIS-Prüfung. Hierfür erheben wir den IST-Stand und gleichen die Ergebnisse mit den Anforderungen aus NIS-Gesetz und -Richtlinie ab. Auf Basis der identifizierten Abweichungen erstellen und priorisieren wir Maßnahmen sowie eine Roadmap zu deren Umsetzung.
Hierfür unterstützen wir Sie u. a. in den folgenden Bereichen:
Vor der Prüfung durch eine QuaSte bereiten wir Ihr Unternehmen auf potenzielle Fragen vor und gehen den Prüfungsablauf gemeinsam durch. Sollten im Rahmen der Prüfung Findings auftreten, begleiten wir Sie bei deren Nachbereitung und erarbeiten gemeinsam einen Aktionsplan mit priorisierten Maßnahmenvorschlägen.
DORA (Digital Operational Resilience Act) ist Teil der Strategie der EU-Kommission für ein digitales Finanzpaket, um eine angemessene Cybersicherheit zu schaffen und die Widerstandsfähigkeit von Finanzunternehmen gegen Cyberbedrohungen zu stärken. Am 27. Dezember 2022 wurde die DORA im EU-Amtsblatt veröffentlicht, nachdem sie am 10. November 2022 vom EU-Parlament und am 28. November 2022 vom EU-Rat angenommen wurde. Sie wird am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft treten und gilt ab dem 17. Jänner 2025 unmittelbar in allen EU-Mitgliedsstaaten. Ihre Vorgaben sind somit bis dahin von allen betroffenen Unternehmen zu implementieren.
Eine rasche Erkennung größerer IKT-bezogener Vorfälle und deren Ursachenanalyse bilden die Grundlage für einen wirksamen Umgang mit neu auftretenden Finanzmarktbedrohungen. Ein angemessenes und wirksames IKT-Risikomanagement wird unter anderem als wesentliche Voraussetzung dafür angesehen.
Anforderungen im Überblick
| Governance | IKT-bezogene Vorfälle |
|---|---|
DORA fordert als Grundprinzip die oberste Verantwortung des Leitungsorgans für die digitale Betriebsstabilität. Beispiel der Umsetzung: konsistentes Governance- und Kontrollframework für das effektive Management aller vorhandenen IKT-Risiken |
DORA fordert die Standardisierung der Meldepflichten für größere IKT-bezogene Vorfälle im europäischen Finanzsektor. Beispiel der Umsetzung: einheitliche Verfahren zur Überwachung, Klassifizierung und Meldung größerer IKT-bezogener Vorfälle an nationale/europäische Behörden |
| Schutz und Prävention | Testen der digitalen Resilienz |
|---|---|
Um die Reaktionsfähigkeit zu erhöhen, werden in DORA u. a. Anforderungen an Verfahren und Systeme zur unmittelbaren Erkennung und Abwehr potenzieller Bedrohungen formuliert. Beispiel der Umsetzung: automatische Netzwerkisolierung im Falle von Cyberangriffen |
Ein risikobasierter Ansatz stellt sicher, dass kritische und wichtige IT-Systeme regelmäßig auf ihre betriebliche Belastbarkeit und den Schutz vor IKT-Störungen getestet werden. Beispiel der Umsetzung: Mindestens alle drei Jahre muss ein bedrohungsgesteuerter Penetrationstest auf laufenden Produktionssystemen durchgeführt werden. |
| IKT-Risikomanagement | Management des IKT-Drittrisikos |
|---|---|
DORA fordert ein umfassendes Beispiel der Umsetzung: Aufbau von resilienten IKT-Systemen mit Blick auf den gesamten europäischen Wirtschaftsraum |
Die Verordnung zielt darauf ab, Finanzunternehmen eine robuste Überwachung des von IKT-Drittdienstleistern ausgehenden Risikos zu ermöglichen. Beispiel der Umsetzung: Einführung von Bußgeldern und neuen Kündigungsmöglichkeiten bei Nichteinhaltung der DORA-Anforderungen |
Unterstützung durch KPMG
Abweichungen zwischen der DORA und dem aktuellen Umsetzungsstand werden mithilfe einer fünfstufigen Gap-Analyse ermittelt. Wir analysieren die bestehenden schriftlichen Richtlinien und Verfahren, führen Workshops und Interviews mit den Themenverantwortlichen durch und überprüfen bei Bedarf den tatsächlichen Umsetzungsstand. Weitere relevante Compliance- oder Cyberprojekte werden bei der Ableitung der Lücken und der Entwicklung der Maßnahmen berücksichtigt. Als Ergebnis erhalten Sie einen Aktionsplan mit priorisierten Maßnahmenvorschlägen inklusive einer Roadmap und einer Einschätzung des Aufwands zur Schließung der Lücken.
