IT-Compliance für die Finanzbranche

Operational Resilience wird sowohl für Finanzinstitute als auch für nationale und EU-Aufseher immer wichtiger. Denn es ist Konsens, dass Unternehmen für sich eine angemessene Cyber-Sicherheit schaffen und ihre Widerstandsfähigkeit gegen Bedrohungen stärken sollen.

Um sich passend abzusichern, benötigen Unternehmen einen Überblick über potenzielle Risiken. Dazu zählen nicht nur die Gefährdung einzelner IT-Systeme, sondern auch sämtliche Beziehungen in der Wertschöpfungskette. Dies haben die Regulatoren im Digital Operational Resilience Act (DORA) adressiert. Er soll als Teil der Strategie der EU-Kommission zur Digitalisierung des Finanzsektors in den Unternehmen für mehr Resilienz gegen Cyber-Bedrohungen sorgen. DORA ist im Januar 2023 in Kraft getreten. Für Finanzunternehmen wird die Umsetzung des DORA innerhalb der vorgegebenen Frist von zwei Jahren zur Belastungsprobe. Neu ist unter anderem die Erstellung einer Digital-Resilience-Strategie, das erweiterte Testen von Notfallplänen sowie die an Bedrohungen ausgerichtete Durchführung von Penetrationtests. In diesem Zusammenhang wächst die Bedeutung eines harmonisierten Zusammenspiels der beteiligten Disziplinen wie IRM, BCM und Outsourcing.

Die EZB führt erstmalig einen Cyber Resilience Stress Test in 2024 bei EZB regulierten Banken durch. Das Ziel ist, die operationale Widerstandsfähigkeit der Kernbankensysteme eines Instituts gegen ein schwerwiegendes, aber plausibles Cybersicherheitsereignis zu bewerten. Der Test ist zweistufig aufgebaut. In dem vereinfachten Ansatz, müssen alle Institute innerhalb von zwei Monaten einen Fragebogen ausfüllen, entsprechende Nachweise erbringen und eine Cyber Incident Meldung an die EZB abgeben. In dem vertieften Ansatz, der 20 ausgewählte Institute betrifft, ist ein Wiederherstellungstest für das Cyberszenario nachzuweisen und es findet eine zweimonatige Vor-Ort Validierung der Nachweise statt.

Die EZB hat ihre aufsichtlichen Erwartungen den Banken in einem Workshop am 3. Juli 2023 zur Konsultation mitgeteilt. Banken können ihr Feedback bis zum 15. August 2023 der EZB melden. Der Cyber Resilience Stress Test beginnt am 2. Januar 2024 und endet für den vereinfachten Ansatz am 29. Februar 2024 mit der Abgabe des Fragebogens und der Nachweise. Die anschließende vertiefte Vor-Ort Validierung endet am 30. April 2024. 

Seit Mitte August 2021 sind die Zahlungsdiensteaufsichtlichen Anforderungen an die IT (ZAIT) für E-Geld-Institute, Fintechs im Zahlungsverkehr, Anbieter von Ratenkauffinanzierungen und Experten für innovative Bezahllösungen gültig. Die Veröffentlichung der ZAIT erweitert die bereits bestehenden Compliance-Anforderungen für die Sicherheit von Zahlungs- und E-Geld-Instituten. Ein wichtiger Fokus liegt dabei auf der Etablierung eines umfassenden Risikomanagements sowie der Dokumentation und Umsetzung entsprechender Prozesse. Auch die Sicherstellung der Einhaltung der Anforderungen durch Dienstleister und Sub-Dienstleister seitens der ZAIT-regulierten Unternehmen ist im Fokus der Aufseher.

Die Aufsichtsschwerpunkte liegen weiterhin auf Cyberrisiken und Risiken aus potenziell unzureichender Modernisierung und Umsetzung von Digitalisierungsvorhaben – sowohl auf nationaler als auch auf EU-Ebene (BaFin, ESAs). Über alle Bereiche hinweg gilt es neben aktuellen auch auf neue Anforderungen und deren Umsetzung vorbereitet zu sein – von den Eigenleistungen bis zu denen der Sub-Dienstleister (z. B. aus der BAIT/VAIT-Novelle oder aus der EU-DORA). Neue Anforderungen der BaFin fokussieren sich insbesondere auf die operative Umsetzung von IT-Sicherheitsmaßnahmen, Notfallmanagement und physische Sicherheit. Nicht nur Finanzinstitute müssen sich auf Prüfungen bezüglich ihres Outsourcings und auf Vor-Ort-Begehungen einstellen, sondern auch kritische IT- und Cloud-Service-Provider müssen sich auf gezielte Prüfungen vorbereiten.

Eine zielgerichtet aufgebaute IT-Governance bildet das Rückgrat für eine effektive und sichere digitale Transformation von Unternehmen. Sie unterstützt dabei, die Digitalisierung organisatorisch angemessen voranzutreiben, ohne den Schutz der Kunden und Informationen der Finanzunternehmen zu vergessen. Typische weitere Fragestellungen, welche die IT-Governance betreffen, sind: Wie können notwendige Ressourcen jetzt und in Zukunft sichergestellt werden? Wie ist es möglich, effizient und überschneidungsfrei zu arbeiten? Wie können vorhandene Prozesse effizient integriert werden? Welchen Beitrag muss die IT-Governance zur übergreifenden ESG-Strategie des Unternehmens beisteuern? 

Fachkräftemangel und erhöhter Effizienzdruck treffen in der Informationssicherheit auf erweiterte regulatorische Anforderungen (z. B. BAIT/VAIT-Novelle oder DORA) und „strapazieren“ dadurch zunehmend die Unternehmen. Zwar wissen diese um die Wichtigkeit eines funktionierenden ISMS (Information Security Management Systems), trotzdem beschränken sich viele darauf, lediglich regulatorische Mindestanforderungen zu erfüllen. Aufgrund einer zunehmend digitalen und komplexen Geschäftswelt ist eine realistische Darstellung der Risikolage in der Informationssicherheit mit den aktuell im Einsatz befindlichen Lösungen nicht ressourceneffizient möglich. Vielmehr muss dafür gesorgt werden, dass durch Prozessautomatisierung und Tool-Einsatz die Unternehmen wieder selbst Herr ihrer individuellen Bedrohungslage werden.

Der richtige Umgang mit digitalen Identitäten bildet die Grundlage einer erfolgreichen digitalen Transformation. Die Herausforderungen der Customer Journey bzw. Employee Journey sowie die stetig steigenden regulatorischen Anforderungen erfordern moderne, integrierte Lösungen. 

Ein effektives Business Continuity Management unterstützt Unternehmen bei der Identifikation von möglichen Bedrohungen und deren Einfluss auf die Geschäftsprozesse. So leitet ein Unternehmen passende Maßnahmen gegen aktuelle Bedrohungen ab. In einem regelmäßigen Turnus werden die kritischen Geschäftsprozesse und Ressourcen identifiziert und mithilfe von Notfallkonzepten, die Tests unterzogen werden, kann angemessen reagiert werden.

Damit stellt BCM/ITSCM einen wesentlichen Eckpfeiler bei der Erreichung der Ziele aus DORA dar. Bewährte Notfallpläne und eine effektive Integration in das Unternehmensrisikomanagement gewährleisten unter anderem die Erreichung der geforderten operativen Resilienz eines Unternehmens.

Immer mehr Finanzinstitute migrieren in die Cloud. Ein wichtiges Kriterium bei der Wahl eines Cloud Providers ist dessen Umgang mit Compliance- und Security-Anforderungen. Anbieter, die ihre Services sicher und compliant aufgesetzt haben, können für Finanzunternehmen den Unterschied machen. Aktuelle Regulierungen erhöhen den Druck auf Cloud und sonstige IT-Service-Provider, da bei IT-Aufsichtsprüfungen verstärkt Weiterverlagerungen in den Fokus rücken. Es gilt, spezifische Bedrohungen und Risiken zu erkennen, Transparenz über die Auslagerungskette zu schaffen und diese effizient zu managen.

IT-Compliance bedeutet für Finanzinstitute in erster Linie erhöhte Ausgaben. Banken, Versicherungen und Asset Manager sehen neben dem Einsatz von Tools (z. B. im GRC-Umfeld) immer häufiger einen Nutzen, regulatorische Anforderungen direkt am Anfang von neuen IT-Vorhaben zu berücksichtigen, statt diese erst im Zuge einer anstehenden IT-Aufsichts- oder sonstigen Prüfung oder bezogen auf eine Einzelfeststellung anzugehen. Das Bewusstsein für die Vorteile einer nachhaltigen und proaktiven IT-Compliance-Strategie steigt konstant. 

Eine wichtige Aufgabe ist das IT-Compliance-Monitoring – das Identifizieren und Bewerten neuer gesetzlicher und regulatorischer Anforderungen. Ziel ist es, neue und veränderte Regularien zu identifizieren, das Risiko einer möglichen Nicht-Compliance zu bewerten, die Auswirkungsanalyse zur Umsetzung durchzuführen sowie die konforme Umsetzung im Policy-Rahmenwerk sowie in der Organisation, den Prozessen und / oder Tools sicherzustellen.