Ausgabe 115 - Financial Services Aktuell

Risikomanagement in der Informations- & Kommunikationstechnologie

EBA Richtlinie – EBA/GL/2019/04

Aufgrund einer zunehmend ineinandergreifenden Wirtschaft, einer Häufung von Cybersecurity Vorfällen und einer wachsenden Abhängigkeit von Technologien im Unternehmensalltag, tritt per 30. Juni 2020 die Richtlinie zum Thema „Risikomanagement in der Informations- & Kommunikationstechnologie“ (IKT) der European Banking Authority (EBA) in Kraft. Die Richtlinie stellt den neuen Standard in diesem Sektor dar und greift Hand in Hand mit dem EBA Outsourcing-Standard (EBA/GL/2019/02). Der EBA Outsourcing-Standard adressierte die kritische Rolle von Dritten in der Umsetzung von Security & Cyberresilienz bei Bankinstituten.

Auf einen Blick

• Die neue EBA Richtlinie “Risikomanagement in der Informations- & Kommunikationstechnologie” tritt mit 30. Juni 2020 in Kraft.
• Inhaltliche Herausforderungen behandeln teilweise bereits aus dem FMA Leitfaden „IKT-Sicherheit in Kreditinstituten“ bekannte Themenschwerpunkte und inkludieren Risikomanagement, Logging-, Monitoring- und Incdient-Response Prozesse sowie Privilege Access Management.
• Die EBA Richtlinie löst mit in Kraft treten den FMA Leitfaden ab.

Themenschwerpunkte der Richtlinie

Die neue Richtlinie adressiert insbesondere die folgenden Themenschwerpunkte zur Erreichung eines Mindeststandards hinsichtlich IKT-Sicherheit. 

Governance & Strategie: Aufbau einer internen Governance und eines Kontrollframeworks mit klaren Verantwortlichkeiten, einer IKT Strategie, aktivem Risikomanagement, unabhängigen Kontrollfunktionen und einem kontinuierlichen Monitoring der Compliance. Darüber hinaus ist in diesem Zusammenhang auch Outsourcing des Betriebes von IKT Services und Systemen an Dienstleister zu behandeln.

IKT und Risiko Management Framework: Aufbau und Betrieb eines nachhaltigen IKT Risikomanagements zur Identifikation, Analyse, Messung, Kontrolle und Management von Risiken. Wesentlich im Umgang mit Risiken ist die Planung und Berücksichtigung von Risikobehandlungsmethoden sowie Risikoakzeptanzkriterien. Darüber hinaus ist die Klassifikation von Geschäftsfunktionen und Informationsgütern zur Beurteilung der Kritikalität hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit von Daten, als Grundlage eines effektiven und ganzheitlichen Risikomanagements durchzuführen.

Informationssicherheit: Umsetzung effektiver Sicherheitsmaßnahmen zum sicheren Umgang mit Informationen und dem Schutz von Vertraulichkeit, Integrität und Verfügbarkeit. Die Implementierung sollte logische Maßnahmen (z.B.: Need-to-know, Least Privilege, Segregation of Duties, Privilege Access Management, Logging von Benutzeraktivitäten, Zugriffsschutz, sichere Authentifizierung) physische Sicherheit, Sicherheitsmaßnahmen im Bereich des IKT Betriebes (z.B.: Vulnerability Management, Konfigurationsbaseline), Monitoring bzw. Anomalieerkennung sowie Security Reviews und Tests (z.B. Penetration Tests, FIT/GAP Assessments) umfassen. Ebenso Teil der Informationssicherheit ist die Etablierung eines Security Awareness Trainingsprogrammes für die Mitarbeiter der Organisation. Alle Maßnahmen sind zudem zu dokumentieren.

IKT Betriebsmanagement: Einführung von dokumentieren Prozessen, Maßnahmen und Standards zur sicheren Betriebsführung. Das umfasst das Schaffen und Führen eines aktuellen Asset-Registers und die Berücksichtigung aller Phasen im Lifecycle eines IKT Assets. Wesentlicher Bestandteil der Betriebsführung ist die Etablierung eines Incident- und Problemmanagements.

IKT Projekt & Change Management: Einführung standardisierter Prozesse für das Change- und Projektmanagement vor allem im Hinblick auf die Identifikation und den Umgang mit Risiken in Projekten und Changes. Ziel ist, Informationssicherheit nachhaltig zu adressieren, um das Risiko von Sicherheitsvorfällen zu reduzieren. Darüber hinaus inkludiert dieser Themenschwerpunkt auch die Beschaffung von ICT Systemen sowie Maßnahmen im Zusammenhang mit der Entwicklung von Software (z.B.: Outsourcing, Sourcecode-Management).

Business Continuity Management: Implementierung eines nachhaltigen Business Continuity Management (BCM). Das inkludiert die Durchführung einer Business Impact Analyse (BIA) sowie die darauf basierende Erstellung von Business Continuity Plänen (BCP) sowie Notfall- und Krisenplänen. In der Planung zu berücksichtigen ist vor allem auch die Krisenkommunikation. Zur Sicherstellung eines funktionierenden BCM sind regelmäßige, zumindest jährliche, Tests durchzuführen.

Zahlservice – Nutzermanagement: Etablierung von Prozessen zu Steigerung der Awareness für Kunden inklusive der Integration regelmäßiger Updates basierend auf neuen Bedrohungen. Das inkludiert die Implementierung und das Angebot von Benachrichtigungen und Alarmierungen beispielsweise bei fehlgeschlagenen Transaktionen oder Neuerungen der IKT-Sicherheitsmaßnahmen. Dieser Aspekt stellt eine wesentliche Neuerung im Vergleich zum Leitfaden der FMA dar.

Finanzinstitute können die Vorgaben der EBA Richtlinie als

• State of the Art Vorgabe zur Absicherung ihrer IKT ansehen,
• Input für notwendige Strategie-Entscheidungen verstehen und
• zur Planung einer Roadmap zur Umsetzung von IKT Sicherheit heranziehen.

Vorbereitung zur Compliance & Unterstützung durch PwC

Im Folgenden werden die wesentlichsten Schritte dargestellt, die zur effektiven Umsetzung der EBA Richtlinie empfohlen sind. 

1. Readiness Assessment: Erhebung des aktuellen Status der Prozesse und Kontrollen im Unternehmen zur Identifikation von Abweichungen gegenüber der Richtlinie. 

2. Maßnahmenplan & Roadmap: Definition unternehmensspezifischer Maßnahmen sowie Arbeitspakete inklusive risikoorientierter Priorisierung und Berücksichtigung von Quick-Wins. 

3. Reporting Framework: Entwicklung eines Reporting Frameworks, um Stakeholder über den Compliance Status zu informieren und den Entscheidungsfindungsprozess für Risiko reduzierende Investitionen und Maßnahmen zu managen.