BAIT / VAIT / KAIT / ZAIT

DORA/ BAIT / VAIT / KAIT / ZAIT

An dieser Stelle finden Sie regelmäßige Updates aus unser Beratungspraxis: Best Practice und aktuelle Informationen zur BaFin Novellierung der IT Security Assessments.

 

Digital Operational Resilience Act (DORA) 

Mit der DORA-Verordnung verfolgt die Europäische Kommission das Ziel, einen einheitlichen Rahmen für ein effektives und umfassendes Management von Cybersicherheits- und IKT-Risiken auf den Finanzmärkten zu schaffen. Dabei wird der Schwerpunkt von der Gewährleistung der finanziellen Widerstandsfähigkeit von Finanzunternehmen verlagert: auf die Sicherstellung der Aufrechterhaltung eines widerstandsfähigen Betriebs im Falle einer schwerwiegenden Betriebsunterbrechung, die die Sicherheit des Netzes und der Informationssysteme gefährden könnte.

Durch steigende Cyberangriffe ist es für Finanzunternehmen notwendiger denn je, sich auf Vorfälle vorzubereiten und Maßnahmen zur Stärkung der Cyber-Resilienz einzuführen. Es ist mit Anpassungen und Mehraufwänden zu rechnen, jedoch sehen wir DORA gleichzeitig als große Chance für Finanzunternehmen, durch eine gestärkte Resilienz und einen konsistenten Reifegrad in Sachen Cybersicherheit zu einem signifikant höheren Sicherheitsniveau aufzusteigen.

DORA führt einen ganzheitlichen Rahmen für ein effektives Risikomanagement, IKT- und Cybersicherheitsfunktionen, die Behandlung und Meldung von Störungen sowie für das Management von Drittanbietern ein und gewährleistet so eine konsistente Bereitstellung von Dienstleistungen über die gesamte Wertschöpfungskette hinweg. Fünf Kernthemen spielen eine besondere Rolle: IKT Risikomanagement, Management von IKT-Vorfällen, Digital Operational Resilience Testing, Management von Drittparteien und Informationsaustausch.

 

Hauptanforderungen des Digital Operational Resilience Act (DORA) 

Der Digital Operational Resilience Act (DORA) greift den Grundgedanken der Resilienz auf, die Widerstandsfähigkeit der IT von Finanzinstituten und deren IT-Dienstleistern zu stärken und einen einheitlichen europaweit geltenden Rahmen zu schaffen.

Mit welchen Anforderungen DORA künftig Finanzinstitute konfrontiert, zeigt folgende Auflistung:

  1. Governance zur Schaffung der IT-Resilienz
  2. IT-Risikomanagement
  3. Meldepflichten von IT-Vorfällen
  4. Überprüfung der IT-Resilienz
  5. Umgang mit Risiken von IT-Drittanbietern
  6. Informationsaustausch zu Cyberbedrohungen zwischen Finanzunternehmen

Die Anforderungen des für Mai 2022 erwartenden DORA-Assessments lassen sich klar aus der ISO:IEC 27001 vorhersagen. Es empfiehlt sich also eine rechtzeitige Stärkung der IT Governance und IT Infrastruktur mit anlassbezogenen Managementreviews, um eine geeignete Steuerung, Kontrolle und Überwachung der IT-Resilienz sicherzustellen und bei Prüfung durch BaFin jederzeit nachweisen zu können.

 

Ab wann müssen Unternehmen die Anforderungen von DORA umsetzen?

Für die Implementierung der DORA-Verordnung, die am 16.01.2023 in Kraft getreten ist, ist eine Frist von zwei Jahren vorgesehen. Trotz Umsetzungsfrist bis Januar 2025 sehen wir bereits jetzt starken Druck bei Finanzunternehmen, ihre Handlungsbedarfe aus DORA-Anforderungen zu identifizieren und umzusetzen. Dabei sehen wir momentan besonderen Fokus auf der Einführung eines umfassenden IKT-Risikomanagements.

 

1. Halbjahr 2024: Veröffentlichung der ersten Reihe von RTS / ITS u.a. zum ICT Risk Management Framework, Operative Sicherheit, Klassifizierung von ICT-Vorfällen und ICT-Drittparteirisikomanagement

2. Halbjahr 2024: Veröffentlichung der zweiten Reihe von RTS / ITS u.a. zur Meldung von ICT Vorfällen, Kriterien, Methodologien und Anforderungen an das Testen der digital operational Resilience und Vorgaben zu der Gestaltung von Sub-outsourcing Arrangements

2025: Die DORA-Anforderungen sind 24 Monate nach Inkrafttreten durchsetzbar. Daher wird erwartet, dass die Finanzunternehmen die DORA-Anforderungen bis Anfang 2025 erfüllen.

 

 

Unsere Sicht auf DORA für deutsche Unternehmen

Wir sehen DORA gleichzeitig als Herausforderung und Chance für Finanzunternehmen. Die EU-weit einheitlichen Anforderungen von DORA bedeuten, dass Finanzunternehmen einen konsistenten Reifegrad in Sachen Cybersicherheit und operativer Widerstandsfähigkeit über ihre gesamten Tätigkeiten in der EU sicherstellen müssen.

Bei einer „Vorbereitungszeit“ von zwei Jahren gibt es jedoch eine Menge zu bedenken, umzusetzen und nachzuweisen. Schon jetzt sollten Finanzinstitute umfassende GAP-Analysen durchführen, um ihren jeweiligen Reifegrad in Bezug auf DORA zu bewerten und rechtzeitig Bereiche zu ermitteln, die weitere Investitionen und angemessene Prioritätensetzung erfordern. Dies wird Ihr Unternehmen in eine bessere Position versetzen, um komplexere Anforderungen wie Third Party Risk Management, Threat Intelligence und fortgeschrittene Sicherheitstests zu erfüllen und sich somit proaktiv gegen mögliche Ausfälle zu schützen.

In Anbetracht des breiten Anwendungsbereichs von DORA ist es wahrscheinlich, dass die Verordnung viele Themen anspricht, die bereits durch bestehende Vorschriften in Deutschland berücksichtigt wurden. Dennoch sind bestimmte Themen wie Threat Intelligence und Threat-led Penetration Tests neuartig und bedürfen daher erhöhter Aufmerksamkeit. Eine weitere Herausforderung sehen wir in der Fähigkeit, eine übergreifende Kontrolle und ein Verständnis für alle wichtigen Abhängigkeiten zwischen Ihrem Unternehmen und Ihren Dienstleistern zu entwickeln. Angesichts des starken Fokus auf dem Third Party Risk Management wird von den Unternehmen erwartet, dass sie sich von der Widerstandsfähigkeit ihrer Dienstleister überzeugen. Dies erfordert eine enge Interaktion und gemeinsame Anstrengungen mit den jeweiligen IKT-Drittanbietern – insbesondere wenn diese die Erbringung kritischer oder wichtiger Geschäftsdienstleistungen unterstützen.

Unsere Empfehlung für alle betroffenen Unternehmen lautet daher: Unabhängig davon, wo Sie sich in Bezug auf den Reifegrad ihrer digitalen und betrieblichen Widerstandsfähigkeit befinden, sollte DORA der Auslöser für den Beginn oder die Verbesserung Ihrer Widerstandsfähigkeit sein. Eine erste Gap-Analyse und Reifegradbewertung dienen als guter Ausgangspunkt. Im Allgemeinen sind Unternehmen, die die aktuellen regulatorischen Anforderungen im Einklang mit den aktuellen Prüfungspraktiken anwenden, möglicherweise besser in der Lage, die meisten DORA-Anforderungen umzusetzen. Gleichwohl zeigt unsere Erfahrung aus der Unterstützung zahlreicher Kunden bei ihren Cyber Security- und Resilience-Bemühungen deutlich: „zu widerstandsfähig“ oder „zu sicher“ gibt es nicht. Denken Sie daran: Je widerstandsfähiger Sie im Vergleich zu Ihren Wettbewerbern sind, desto größer werden Ihre Wettbewerbsvorteile.

 

 

VAIT

Anpassungen im International Financial Reporting Standard (IFRS 17)

Die Änderung an IFRS 17 („narrow scope amendment“) führt die Möglichkeit ein, bei Erfüllung bestimmter Voraussetzungen einen sog. „classification overlay approach“ anzuwenden. Damit können die Vergleichsinformationen zu den Finanzinstrumenten im Jahr vor der erstmaligen Anwendung des IFRS 17 aussagekräftiger gemacht werden.

„Eine der zentralen Änderungen des IFRS 17 ist die Einführung eines neuen Bewertungsmodells. Um einen einzelnen Vertrag zu bewerten, benötigt man zunächst einen sog. Erfüllungswert (Fulfilment Value). Dieser wird mit dem sog. Bausteinansatz (Building Block Approach) auf Basis der einzelvertraglichen Cashflows ermittelt. Neben der Bestimmung der Zahlungsströme (Cashflows) und des Zeitwerts des Geldes (Diskontierung) muss eine risikobedingte Anpassung (Risk Adjustment) für das nicht-finanzielle Risiko vorgenommen werden.

Hinzu kommt als viertes Element die sog. vertragliche Servicemarge (Contractual Service Margin – kurz CSM). Die CSM wird nicht einzelvertraglich, sondern für Vertragsgruppen bestimmt. Dazu ist eine zweistufige Kollektivbildung, das heißt Klassifikation, vorzunehmen. Hierfür sind die einzelnen Verträge in der Bestandsführung entsprechend zu kennzeichnen. Diese Portfolio-/Gruppenbildung der Verträge darf nach dem Erstansatz nicht mehr geändert werden. Die Vertragsgruppen sollten frühzeitig eingeführt werden, da nachträgliche Bestandsanreicherungen mit zunehmender Historie komplexer werden.

Mit dem Variable Fee Approach (VFA) wurden zudem spezielle Regelungen für Verträge mit direkter Überschussbeteiligung eingeführt, die den für das deutsche Lebensversicherungsgeschäft typischen Besonderheiten Rechnung tragen. Damit soll sichergestellt werden, dass bei diesen Verträgen keine unangemessenen Ergebnisschwankungen auftreten.

Über all das hinaus sieht der neue Standard die Trennung von Versicherungs- und Investmentkomponente eines Versicherungsvertrages vor. Als Investmentkomponente werden dabei diejenigen Beträge verstanden, die das Versicherungsunternehmen dem Kunden “unter allen Umständen” zurückzuzahlen hat, unabhängig davon, ob ein versichertes Ereignis eingetreten ist oder nicht. Gemäß IFRS 17 ist diese Investmentkomponente von der Versicherungskomponente in der Gewinn- und Verlustrechnung sowie im Anhang zu trennen und daher aus Leistungszahlen herauszurechnen.“ (Quelle: msg-life)

Die neuen Abrechnungsmodi machen Anpassungen im SCM und die Absicherung weiterer interner IT Abläufe nötig, die die jeweiligen Finanzprodukte darstellen.

BAIT 

BaFin-Sonderprüfungen gemäß §44 KWG

Online-Banking ist längst Daily Business, Quantenrechner, Blockchain, Bitcoin sind es morgen – der Zahlungsverkehr entwickelt sich rasant und so verlangt jede Neuentwicklung, das Thema IT Security neu zu überdenken. Daher ist es kaum verwunderlich, dass mit BAIT-Assessment die BaFin-Sonderprüfungen gemäß §44 KWG überproportional zunehmen.

Die Sonderprüfungen sind ein sinnvolles Tool, heraus zu finden, wo man in Sachen IT Sec steht. Die Inhalte des § 44 KWG umfassen: Auskünfte, Vorlage von Unterlagen, Umfang der Rechte, Prüfungsrecht, Betreten und Besichtigen der Geschäftsräume, Duldungspflicht, Prüfungsverfahren, zu prüfende Unternehmen sowie Zwangsmaßnahmen.

Anlass zu Sonder-Prüfungen können Findings aus den Jahresabschlüssen, besondere Vorkommnisse oder Aufsichtsgespräche geben. Nach § 44 Absatz 1 Satz 2 KWG können Routineprüfungen ohne einen besonderen Grund durchgeführt werden. Um die Auferlegung verschärfter Berichtspflichten zu vermeiden, sind die Institute gehalten, sich gründlich auf die Sonderprüfung vorzubereiten.

Ratsam ist es, anwendbare Öffnungsklauseln und Prozessdokumentation zu prüfen, ob wesentliche Prämissen und Entscheidungen angemessen in der Dokumentation berücksichtigt wurden. Im nächsten Schritt gilt es, einen eigenen Soll-Ist-Abgleich vorzunehmen, indem geprüft wird, ob der IT Security Dokumentenstand in der Praxis gelebt wird. An dieser Stelle sollten Sie nicht zögern, eine unabhängige Meinung oder externes Audit einzuholen, dass Ihnen folgende Mehrwerte bieten sollte:

• Erfahrungsberichte aus verschiedenen Schwerpunktprüfungen vergleichend vorstellen
• die Erwartungshaltung an die Prüfer vermitteln
• Mitarbeiterinterviews gut vorbereiten
• auf häufige Fehler hinweisen und Möglichkeiten der Vermeidung trainieren.

VAIT

Im Rahmen der BaFin Novellierung stehen die Schlagworte: Digital Operational Resilience Act (DORA) und EIOPA-Leitlinien über Governance der Informations- und Kommunikationstechnologien (IKT) im Mittelpunkt der Anpassungen. Zudem umfasst das überarbeitete VAIT-Assessment beinhaltet die beiden neuen Kapitel „Operative Informationssicherheit“ und „IT-Notfallmanagement“.  Die IT-Sicherheit der Versichererungsunternehmen wird somit ganzheitlicher betrachtet, ein ISMS-Ansatz nach BSI-GS oder ISO:IEC 27001 ist erforderlich.

Neuerungen/ Konkretisierungen im Kapitel 5 „OP-IS“ und Kapitel 10 „Incident Management“

» Implementierung operativer Sicherheitsmaßnahmen nach Anforderungen der Gefährdungslage des Informationsverbundes
» Definition eines angemessenen Portfolios von Regeln zur Identifizierung sicherheitsrelevanter Ereignisse
» Sicherstellung einer zeitnahem Analyse von sicherheitsrelevanten Ereignissen + ihre Auswertung mit Reaktion im Maßnahmenkatalog des Risiko Management
» Regelmäßige interne und externe Audits der IT-Systeme (mindestens 1x jährlich) -> Erstellung eines jährlichen Auditplanes durch CISO/ISO

» Erstellung eines IT-Notfallkonzepts und Durchführung von Auswirkungsanalysen und entsprechender Risikoanalyse identifizierter IT-Prozesse, Systeme etc.
» Erstellung von Notfallplänen für alle IT-Systeme (unter Berücksichtigung der IT-Dienstleister)
» Überprüfung der Wirksamkeit der IT-Notfallpläne durch regelmäßige und anlassbezogene Notfalltests

KAIT

Inwieweit die neuen Anforderungen konkreten Handlungsbedarf in Kapitalgesellschaften hervorrufen, hängt maßgeblich vom Reifegrad ihrer implementierten IT-Risiko- und IT Sicherheitsmaßnahmen ab. Die obligatorische Berücksichtigung von IT-Dienstleistern im Informationsverbund des Unternehmens in diesem Umfang dürfte für viele neu sein.

Aktuell werden IS- und IT-Prozesse oft getrennt voneinander betrachtet. Im Rahmen des novellierten Assessments werden nun IT-Dienstleister in Informationsverbund sowie Schutzbedarfsfeststellungen enger eingebunden. Praktisch übersetzt heißt das: alle IT-Outsourcing-Prozesse sollten ab Q4 2021 einer Revision unterzogen werden.

Thema: Human Firewall. Die Mehrzahl aller Hackerangriffe nutzt menschliche Schwächen. Spear Phishing, CEO Fraud, Smishing sind aggressive Muster gegen die es Awareness aufzubauen gilt. Mitarbeiter und Mitarbeiterinnen müssen kontinuierlich für Themen der IT Security sensibilisiert und geschult werden.

Eine Dokumentation über Schulungen in IT Security und Datenschutz auf aktuellem Jahresstand ist daher nachzuweisen. Ziel ist es, das Bewusstsein für den Schutzbedarf der Informationen und für die persönliche Verantwortung für das eigene Handeln zu schärfen. Um dies sicherzustellen, verlangt die BaFin zukünftig, ein kontinuierliches und angemessenes Sensibilisierungs- und Schulungsprogramm für Informationssicherheit zu etablieren.

ZAIT

Mitte August 2021 wurde die finale Version der „Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten“ (ZAIT) veröffentlicht. Die Anforderungen gelten für alle Institute im Sinne von §1 Absatz 3 des Zahlungsdiensteaufsichtsgesetz (ZAG) und ergänzen damit die Familie der Rundschreiben der BaFin. Inhaltlich setzt sich die ZAIT im Detail teilweise signifikant von der ebenfalls in einer geänderten Version veröffentlichten BAIT ab, auch wenn die Anforderungen im Inhaltsverzeichnis nahezu deckungsgleich sind.

Die Operationalisierung der Inhalte der ZAIT werden in Abhängigkeit des Prüfungszeitraums im Rahmen der internen Revision, von Jahresabschluss- und Sonderprüfungen sowie anlassunabhängiger Prüfungen entsprechend auditiert. So werden Zahlungsinstitute und E-Geld-Institute verpflichtet, die Ausgestaltung ihrer IT auf Standards wie den Grundschutz des BSI, die ISO/IEC 27001 oder branchenspezifisch auf den Payment Card Industry Data Security Standard (PCI-DSS) abzustellen.

Sehr konkret nennt die ZAIT Anforderungen an die an eine an der Geschäftsstrategie konsistent ausgerichtete IT-Strategie. Diese gelten auch für selbst betriebene bzw. entwickelte Hard- und Softwarekomponenten, die strategische Einordnung extern bezogener IT-Dienstleistungen (Abhängigkeit von Dritten) sowie das jeweilige Zusammenarbeitsmodell mit IT-Dienstleistern. Letzterem Punkt widmet sich ein separates Kapitel der ZAIT im Detail.

Die gute Nachricht: das ZAIT-Assessment läßt sich dennoch am klarsten von allen BaFin-Anforderungen auf Ihren Business Case abstimmen. Hierzu sind GAP-Analyse des ISMS und das Benennen des Scope oft die ersten Beratungsschritte. Gerne führen wir mit Ihnen dazu ein kostenfreies Informationsgespräch.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.