IT-Compliance für die Finanzbranche

Operational Resilience wird sowohl für Finanzinstitute als auch für nationale und EU-Aufseher immer wichtiger. Denn es ist Konsens, dass Unternehmen für sich eine angemessene Cyber-Sicherheit schaffen und ihre Widerstandsfähigkeit gegen Bedrohungen stärken sollen.

Um sich passend abzusichern, benötigen Unternehmen einen Überblick über potenzielle Risiken. Dazu zählen nicht nur die Gefährdung einzelner IT-Systeme, sondern auch sämtliche Beziehungen in der Wertschöpfungskette. Dies haben die Regulatoren im Digital Operational Resilience Act (DORA) adressiert. Er soll als Teil der Strategie der EU-Kommission zur Digitalisierung des Finanzsektors in den Unternehmen für mehr Resilienz gegen Cyber-Bedrohungen sorgen. DORA ist im Januar 2023 in Kraft getreten. Für Finanzunternehmen wird die Umsetzung des DORA innerhalb der vorgegebenen Frist von zwei Jahren zur Belastungsprobe. Neu ist unter anderem die Erstellung einer Digital-Resilience-Strategie, das erweiterte Testen von Notfallplänen sowie die an Bedrohungen ausgerichtete Durchführung von Penetrationtests. In diesem Zusammenhang wächst die Bedeutung eines harmonisierten Zusammenspiels der beteiligten Disziplinen wie IRM, BCM und Outsourcing.

Viele Unternehmen haben bereits eine Gap-Analyse durchgeführt oder starten damit, um frühzeitig Transparenz über notwendige Maßnahmen und deren Verortung in bestehenden Projekten oder Linienstrukturen zu erhalten. Wir verfügen über Experten, das hierfür passende Tool und diverse Benchmarks zur Einordnung sowie zur Unterbreitung von Umsetzungsoptionen.

Die EZB führt erstmalig einen Cyber Resilience Stress Test in 2024 bei EZB regulierten Banken durch. Das Ziel ist, die operationale Widerstandsfähigkeit der Kernbankensysteme eines Instituts gegen ein schwerwiegendes, aber plausibles Cybersicherheitsereignis zu bewerten. Der Test ist zweistufig aufgebaut. In dem vereinfachten Ansatz, müssen alle Institute innerhalb von zwei Monaten einen Fragebogen ausfüllen, entsprechende Nachweise erbringen und eine Cyber Incident Meldung an die EZB abgeben. In dem vertieften Ansatz, der 20 ausgewählte Institute betrifft, ist ein Wiederherstellungstest für das Cyberszenario nachzuweisen und es findet eine zweimonatige Vor-Ort Validierung der Nachweise statt.

Die EZB hat ihre aufsichtlichen Erwartungen den Banken in einem Workshop am 3. Juli 2023 zur Konsultation mitgeteilt. Banken können ihr Feedback bis zum 15. August 2023 der EZB melden. Der Cyber Resilience Stress Test beginnt am 2. Januar 2024 und endet für den vereinfachten Ansatz am 29. Februar 2024 mit der Abgabe des Fragebogens und der Nachweise. Die anschließende vertiefte Vor-Ort Validierung endet am 30. April 2024. 

Das Bestehen des EZB Cyber Resilience Stress Test erfordert die funktionsübergreifende Zusammenarbeit verschiedener 1st, 2nd und 3rd LoD Einheiten in den Bereichen IT-SCM, BCM, IT, Informationssicherheit, Auslagerungsmanagement und in den Geschäftsbereichen. Der Cyber Resilience Stress Test ist End-to-End ausgelegt und erfordert die Einschätzung des ökonomischen Verlustes sowie den Einbezug der (IT-) Dienstleister. Die Nachweise gehen über die Anforderung an die schriftlich fixierte Ordnung hinaus und umfassen beispielsweise Pläne und Tests für die Geschäftskontinuität sowie Reaktion und Wiederherstellung sowie interne Kontrollprozesse und Ergebnisse für IKT- und Sicherheitsrisiken.

Seit Mitte August 2021 sind die Zahlungsdiensteaufsichtlichen Anforderungen an die IT (ZAIT) für E-Geld-Institute, Fintechs im Zahlungsverkehr, Anbieter von Ratenkauffinanzierungen und Experten für innovative Bezahllösungen gültig. Die Veröffentlichung der ZAIT erweitert die bereits bestehenden Compliance-Anforderungen für die Sicherheit von Zahlungs- und E-Geld-Instituten. Ein wichtiger Fokus liegt dabei auf der Etablierung eines umfassenden Risikomanagements sowie der Dokumentation und Umsetzung entsprechender Prozesse. Auch die Sicherstellung der Einhaltung der Anforderungen durch Dienstleister und Sub-Dienstleister seitens der ZAIT-regulierten Unternehmen ist im Fokus der Aufseher.

Wir sind eines der führenden Unternehmen im Bereich Compliance und unterstützen Sie gerne bei der Umsetzung der ZAIT mit einer eigens entwickelten ZAIT-Compliance-Analyse und unseren jahrelangen Erfahrungen aus der Vorbereitung und Begleitung von Aufsichtsprüfungen sowie der Definition und Umsetzung von Maßnahmen. Für die Maßnahmen hat sich unsere Methode der Definition von Ambitionsniveaus bewährt.

Die Aufsichtsschwerpunkte liegen weiterhin auf Cyberrisiken und Risiken aus potenziell unzureichender Modernisierung und Umsetzung von Digitalisierungsvorhaben – sowohl auf nationaler als auch auf EU-Ebene (BaFin, ESAs). Über alle Bereiche hinweg gilt es neben aktuellen auch auf neue Anforderungen und deren Umsetzung vorbereitet zu sein – von den Eigenleistungen bis zu denen der Sub-Dienstleister (z. B. aus der BAIT/VAIT-Novelle oder aus der EU-DORA). Neue Anforderungen der BaFin fokussieren sich insbesondere auf die operative Umsetzung von IT-Sicherheitsmaßnahmen, Notfallmanagement und physische Sicherheit. Nicht nur Finanzinstitute müssen sich auf Prüfungen bezüglich ihres Outsourcings und auf Vor-Ort-Begehungen einstellen, sondern auch kritische IT- und Cloud-Service-Provider müssen sich auf gezielte Prüfungen vorbereiten.

Wir bringen das geeignete Handwerkszeug mit und bereiten unsere Kunden auf IT-Aufsichtsprüfungen vor, auch begleiten wir sie während einer Aufsichtsprüfung und in der Nachbereitung. Unser Vorgehen, mitsamt Methoden und Templates, beruht auf unserem Knowhow aus zahlreichen Projekten zu Aufsichtsprüfungen bei Versicherungen, Banken und Asset Managern.

Eine zielgerichtet aufgebaute IT-Governance bildet das Rückgrat für eine effektive und sichere digitale Transformation von Unternehmen. Sie unterstützt dabei, die Digitalisierung organisatorisch angemessen voranzutreiben, ohne den Schutz der Kunden und Informationen der Finanzunternehmen zu vergessen. Typische weitere Fragestellungen, welche die IT-Governance betreffen, sind: Wie können notwendige Ressourcen jetzt und in Zukunft sichergestellt werden? Wie ist es möglich, effizient und überschneidungsfrei zu arbeiten? Wie können vorhandene Prozesse effizient integriert werden? Welchen Beitrag muss die IT-Governance zur übergreifenden ESG-Strategie des Unternehmens beisteuern? 

Passende Steuerungsmechanismen entwickeln wir über IT- oder IS-Governance- Modelle (u. a. COBIT, NIST CSF, ISO) und zu deren Umsetzung das hierfür erforderliche Policy Framework. Ziel ist es, notwendige Compliance mit regulatorischen Anforderungen sicherzustellen, ohne dabei Effizienz und Pragmatismus aus den Augen zu verlieren.

Der richtige Umgang mit digitalen Identitäten bildet die Grundlage einer erfolgreichen digitalen Transformation. Die Herausforderungen der Customer Journey bzw. Employee Journey sowie die stetig steigenden regulatorischen Anforderungen erfordern moderne, integrierte Lösungen. 

Wir beraten unsere Kunden in Einzelfragestellungen aber auch in langjährigen Projekten von der fachlichen bis zur technischen Umsetzung von IAM-, CIAM- und PAM-Lösungen, ausgerichtet am Geschäftsziel und der relevanten Regulatorik.

Ein effektives Business Continuity Management unterstützt Unternehmen bei der Identifikation von möglichen Bedrohungen und deren Einfluss auf die Geschäftsprozesse. So leitet ein Unternehmen passende Maßnahmen gegen aktuelle Bedrohungen ab. In einem regelmäßigen Turnus werden die kritischen Geschäftsprozesse und Ressourcen identifiziert und mithilfe von Notfallkonzepten, die Tests unterzogen werden, kann angemessen reagiert werden.

Damit stellt BCM/ITSCM einen wesentlichen Eckpfeiler bei der Erreichung der Ziele aus DORA dar. Bewährte Notfallpläne und eine effektive Integration in das Unternehmensrisikomanagement gewährleisten unter anderem die Erreichung der geforderten operativen Resilienz eines Unternehmens.

Unser konzeptionelles und methodisches Leistungsspektrum ist geprägt aus den langjährigen Erfahrungen bei der Implementierung und dem Betrieb von Managementsystemen für BCM und ITSCM sowie der Integration in die übergreifenden Risikomanagementsysteme. Über die Methoden hinaus und mit unserem einschlägigen Tool Know-how begleiten wir unsere Kunden in der effizienten Umsetzung der Prozesse.

Immer mehr Finanzinstitute migrieren in die Cloud. Ein wichtiges Kriterium bei der Wahl eines Cloud Providers ist dessen Umgang mit Compliance- und Security-Anforderungen. Anbieter, die ihre Services sicher und compliant aufgesetzt haben, können für Finanzunternehmen den Unterschied machen. Aktuelle Regulierungen erhöhen den Druck auf Cloud und sonstige IT-Service-Provider, da bei IT-Aufsichtsprüfungen verstärkt Weiterverlagerungen in den Fokus rücken. Es gilt, spezifische Bedrohungen und Risiken zu erkennen, Transparenz über die Auslagerungskette zu schaffen und diese effizient zu managen.

Wir begleiten den Weg unserer Kunden in die Cloud und zu sonstigen IT-Service-Providern von Beginn an und sorgen dafür, dass diese unterwegs nicht über Regulatorik und Gesetzgebung ins Stolpern geraten.

IT-Compliance bedeutet für Finanzinstitute in erster Linie erhöhte Ausgaben. Banken, Versicherungen und Asset Manager sehen neben dem Einsatz von Tools (z. B. im GRC-Umfeld) immer häufiger einen Nutzen, regulatorische Anforderungen direkt am Anfang von neuen IT-Vorhaben zu berücksichtigen, statt diese erst im Zuge einer anstehenden IT-Aufsichts- oder sonstigen Prüfung oder bezogen auf eine Einzelfeststellung anzugehen. Das Bewusstsein für die Vorteile einer nachhaltigen und proaktiven IT-Compliance-Strategie steigt konstant. 

Compliance- und Security-by-Design heißt, von Anfang an die Sicherheit der Informationswerte mitzudenken und Systeme und Prozesse so zu gestalten, dass sie rechtskonform und sicher durchgeführt werden.

Eine wichtige Aufgabe ist das IT-Compliance-Monitoring – das Identifizieren und Bewerten neuer gesetzlicher und regulatorischer Anforderungen. Ziel ist es, neue und veränderte Regularien zu identifizieren, das Risiko einer möglichen Nicht-Compliance zu bewerten, die Auswirkungsanalyse zur Umsetzung durchzuführen sowie die konforme Umsetzung im Policy-Rahmenwerk sowie in der Organisation, den Prozessen und / oder Tools sicherzustellen. 

Auch wir von KPMG haben hierzu eine Funktion eingerichtet: Unseren Regulatory Hub für IT-Compliance & Cyber Security. So stellen wir sicher, dass unsere Mitarbeiter:innen stets über das neueste Knowhow verfügen und unsere Kunden nicht nur zu aktuellen Neuerungen, sondern auch zu deren Auswirkungen, beraten können.