Höheres Kontrollniveau durch Aufsichtsbehörden Verstärkte Cyberresilienz für Banken durch neue Richtlinien

Anbieter zum Thema

eperi GmbH

Bitdefender GmbH

Fsas Technologies GmbH

ECHO eG

STACKIT GmbH & Co. KG

Bänker der Zukunft müssen nicht nur mit finanziellen, sondern auch mit technologischen Herausforderungen umgehen. Der neue EZB-Leitfaden und der DORA Oversight Guide helfen, die Resilienz gegen Cyberbedrohungen im europäischen Finanzsektor sicherzustellen.

Die Europäische Zentralbank (EZB) hat nach Rücksprache mit Banken einen abschließenden Leitfaden zur Auslagerung von Cloud-Diensten an externe Dienstleister herausgegeben. In diesem Dokument legt die EZB ihre behördlichen Erwartungen an den Umgang der Banken mit Cloud-Anbietern fest. Laut der Bankenaufseherin Anneli Tuominen vertrauen Banken bei der Auslagerung von Cloud-Diensten auf eine geringe Anzahl von Drittanbietern, was verschiedene Risiken, insbesondere im Bereich IT-Sicherheit und Cybersecurity, mit sich bringt – ein zentrales Anliegen der EZB angesichts der aktuellen geopolitischen Lage. Der Leitfaden bietet bewährte Praktiken an und basiert auf den Erfahrungen der EZB aus ihrer kontinuierlichen Aufsicht.

Ähnlich wie andere Leitlinien der EZB, stellt auch dieser kein rechtlich verbindliches Regelwerk dar. Er soll vielmehr verdeutlichen, wie die EZB von den Banken erwartet, die Vorgaben des Digital Operational Resilience Act (DORA) zu erfüllen. Die EZB hat diesen Leitfaden erstellt, um Schwachstellen in IT-Outsourcing-Strategien zu adressieren und einheitliche Wettbewerbsbedingungen für alle Banken zu fördern.

Besondere Aufmerksamkeit liegt auf IT-Sicherheits- und Cyberrisiken. Der Leitfaden ist nicht rechtsverbindlich, sondern er zielt darauf ab, bestehende Vorgaben, insbesondere aus dem europäischen Digital Operational Resilience Act (DORA), klarzustellen und Best Practices aufzuzeigen.

DORA: Chance zur Stärkung von Cyberresilienz und operativer Stabilität im Finanzsektor

Der Digital Operational Resilience Act (DORA), seit Januar 2025 in Kraft getreten, betrifft sowohl Finanz- als auch deren IT-Dienstleister. DORA soll dazu beitragen, die Resilienz der IT-Infrastruktur gegen Cyberangriffe zu verbessern. Die Verordnung zielt darauf ab, die operative Resilienz im Finanzsektor zu standardisieren, indem sie Best Practices definiert. Bei Verstößen gegen die Richtlinien drohen Geldstrafen.

Fünf zentrale Punkte, um DORA-Compliance zu erreichen, sind:

• Risikomanagement für IT und Kommunikation: Verständnis der eigenen IT-Infrastruktur, Identifikation und Bewertung von Risiken sowie Durchführung von Penetrationstests.

• Fokus auf Drittanbieter: Analyse der Effekte von IT- und Telekommunikationsdienstleistern auf das Geschäftsrisiko und Dokumentation dieser Einflüsse in einem Informationsregister.

• Incident Management: Einführung strukturierter Prozesse für das Erkennen, Bearbeiten und Melden von IT-Sicherheitsvorfällen.

• Change Management: Überwachung und Beurteilung von IT-Modifikationen sowie Implementierung von strengen Genehmigungsprozessen.

• Compliance dokumentieren: Fortlaufende Schwachstellentests und Berichterstattungen zur Rechenschaftspflicht.

Finanzunternehmen müssen gemäß der DORA-Verordnung ihre digitale operationale Resilienz erhöhen und ein umfassendes Risikomanagementsystem für IKT-Risiken implementieren. Dies beinhaltet die Gewährleistung eines angemessenen Schutzes der Daten, die Aufrechterhaltung der Betriebsfähigkeit bei IT-Störungen und das Management von Drittparteien bei Auslagerungen. Die Umsetzung der Verordnung ist bis zum 17. Januar 2025 erforderlich.

DORA: Compliance als Erfolgsfaktor im Finanzsektor

Monitoring und Incident Management in der Cloud

Jegliche Technologieanbieter bieten Whitepaper an, um sich näher über DORA zu informieren. So zum Beispiel T-Systems, Netgo oder PwC.

Wichtige Vorgabe bei DSGVO, NIS2, HIPAA, DORA und ISO 27001

Datensicherung – Definition, bewährte Verfahren und zukünftige Trends

DORA Oversight Guide: Ein weiterer Schritt für mehr Sicherheitskompetenz im Finanzsektor

Die Europäische Zentralbank hat mit einem neuen Leitfaden für das Cloud-Outsourcing einen wichtigen Schritt in Richtung erhöhter IT-Sicherheit unternommen. Der Leitfaden zielt darauf ab, Risiken durch die Konzentration auf wenige Drittanbieter zu minimieren. Ergänzend dazu haben die europäischen Aufsichtsbehörden (ESA) den DORA Oversight Guide veröffentlicht, der strengere Kriterien für die Überwachung von IT-Dienstleistern im Finanzsektor festlegt.

Der Guide hebt besonders hervor, dass Aufsichtsbehörden künftig Empfehlungen zu Subcontracting und Verschlüsselungstechnologien aussprechen dürfen. Das könnte gravierende Folen für alle Finanzunternehmen haben, die Hyperscaler wie Microsoft, AWS oder Google nutzen. Sie müssen nämlich jederzeit die Hoheit über die verwendeten Verschlüsselungsschlüssel nachweisen können – auch bei redundanten oder ausgelagerten Systemen. Deshalb, warnt Andreas Steffen, CEO von Eperi, dass die klassische Speicherung der Schlüssel in der Cloud oder deren Verwaltung durch den Anbieter nicht mehr ausreicht. Er hebt in diesem Kontext hervor, dass mit der Einführung von Joint Examination Teams (JETs), die grenzüberschreitend Audits, technische Inspektionen und Vor-Ort-Besuche durchführen, und der neuen Regelungen zur Schlüsselhoheit ein erhöhtes Kontrollniveau erreicht wird, das insbesondere den Umgang mit globalen Cloud-Diensten betrifft.

Ergebnisse von safeAML präsentiert

Sicherer Austausch von Finanzdaten ist möglich

(ID:50494609)