Vorschlag für EU-Aufsichtsregeln zu IT-Risikomanagement

Die europäischen Aufsichtsbehörden ESMA, EBA und EIOPA (ESAs) haben im April Vorschläge zur Änderung der EU-Rahmenwerke für alle Bereiche (= Banken, Versicherer, MiFID-Firmen, Asset Manager, Ratingagenturen, CCPs) veröffentlicht (Joint Advice on information and communication technology risk management and cyber seciruty).

Diese Vorschläge sind die Antwort auf die Aufforderung der EU-Kommission in ihrem FinTech-Aktionsplan vom März 2018, wonach die aktuelle Aufsichtspraxis für Informations- und Kommunikationstechnik (ICT) branchenübergreifend zu vergleichen war und (soweit erforderlich) Leitlinien oder Vorschläge zur Änderung von EU-Rahmenwerken vorzulegen.

Im Ergebnis fordern die ESAs eine Straffung des Rahmens für die Berichterstattung über Vorfälle im gesamten Finanzsektor. Darüber hinaus schlagen die ESA vor, dass eine legislative Lösung für einen geeigneten Aufsichtsrahmen zur Überwachung der Tätigkeiten kritischer Drittdienstleister in Betracht gezogen werden sollte.

Was die Kosten und den Nutzen eines kohärenten Cyber-Resilienztests betrifft, so sehen die ESAs klare Vorteile eines solchen Rahmens. Derzeit gibt es jedoch erhebliche Unterschiede zwischen und innerhalb der Finanzsektoren in Bezug auf den Reifegrad der Cybersicherheit. Kurzfristig empfehlen die ESA, sich darauf zu konzentrieren, ein Mindestmaß an Cyberresistenz in den einzelnen Sektoren zu erreichen, das in einem angemessenen Verhältnis zu den Bedürfnissen und Merkmalen der jeweiligen Unternehmen steht.

Darüber hinaus schlagen die ESA vor, auf freiwilliger Basis einen EU-weiten kohärenten Testrahmen zusammen mit anderen zuständigen Behörden unter Berücksichtigung bestehender Initiativen und mit Schwerpunkt auf Threat Lead Penetration Testing (TLPT) zu schaffen. Langfristig zielen die ESA darauf ab, einen ausreichenden Cyber-Reifegrad der identifizierten branchenübergreifenden Einheiten zu gewährleisten.

Es bleibt abzuwarten, wie die EU-Kommission mit dieser Empfehlung umgeht. Auf nationaler Ebene ist die BaFin teils einen Schritt voraus, indem die Rundschreiben für die Bereiche Banken (BAIT), Versicherungen (VAIT) und auch einen Entwurf für KVGs (KAIT) veröffentlicht hat.

Kontakt