EBA-Leitlinien “ICT and security risk management” vs. EBA GL 2017/17

Die EBA-Leitlinien zu den „Sicherheitsmaßnahmen bezüglich der operationellen und sicherheitsrelevanten Risiken von Zahlungsdiensten gemäß der Richtlinie (EU) 2015/2366 (PSD2)“ werden in die „Guidelines on ICT and security risk management“ integriert (ICT = information and communication technology; zu deutsch: IKT).

Ziel der Leitlinien ist es, dass Finanzinstitute sich mit den immer relevanter werdenden IKT-Risiken inklusive der Sicherheitsrisiken auseinandersetzen und diese ordnungsgemäß managen. Darüber hinaus dienen sie einem Verständnis darüber, welche Erwartung an die Überwachung dieser Risiken gestellt wird.

Während die ursprüngliche Version EBA GL 2017/17 den Fokus auf Zahlungsdienste gelegt hatte, adressieren die neuen Leitlinien weitere Aktivitäten von Instituten. Auch wenn sich derzeit die neuen Leitlinien noch in der Konsultationsphase befinden, so zeichnet sich im Vergleich folgendes Bild ab:

Einige Anforderungen sind genau übernommen worden und einige wurden u. E. nach ergänzt bzw. umformuliert. Themen, die u. E. in der EBA GL 2017/17 in der Form bisher nicht aufgeführt waren und jetzt aufgegriffen werden, sind die folgenden:

  • Zur Umsetzung der Anforderungen sind entsprechend geschulte MitarbeiterInnen und dafür benötigtes Budget zur Verfügung zu stellen.
  • Erweiterte Anforderungen zur Umsetzung der IT-Strategie
  • Berücksichtigung der Anforderungen im Rahmen der Revision
  • Anforderungen an eine Security-Funktion, die keine Revisionstätigkeiten wahrnehmen sollte
  • Business Impact Analysis (BIA) und weitere Anforderungen an BCM
  • so weit wie möglich: Automatisierung von IKT-Prozessen zur Fehlerminimierung im Rahmen von manuellen Tätigkeiten. Grundsätzliche weitere Anforderungen an IT-Operations, die in der bisherigen Fassung so nicht im Scope standen.
  • Aufnahme diverser Anforderungen an IKT-Projekte / Projektmanagement, inkl. der Entwicklung, Beschaffung und Wartung von IKT-Systemen und -Services

Bei der Umsetzung gilt das Proportionalitätsprinzip. Ausführliche Informationen zur Thematik und zu Entwicklungen können der Webseite der EBA entnommen werden. Zum jetzigen Zeitpunkt ist die Überführung in nationales Recht nicht eindeutig festgelegt (neues BaFin-Rundschreiben z.B.).

In der Praxis ist die Umsetzung der Leitlinien nicht zu unterschätzen, auch wenn beim Lesen der Leitlinien der Eindruck entstehen kann, dass viele Themen bereits ausreichend im Unternehmen berücksichtigt sind. Die Fragen, die zu stellen sind:

  • Berücksichtigen bestehende Funktionen, Prozesse und Systeme die den Leitlinien zugrundeliegende Thematik der Sicherheit des Zahlungsverkehrs und der damit verbundenen Risiken? Sind die bisher identifizierten Risiken und Kontrollen ausreichend, um Sicherheit im Zahlungsverkehr zu gewährleisten, oder ist diese Sicht nur aggregiert berücksichtigt?
  • Ist die Security-Funktion, die IT und IT-Governance vielleicht nicht doch „übergreifender“ bzw. „allgemeiner“ operativ unterwegs?
  • Widmet das Unternehmen sensiblen Zahlungsdaten die erforderliche Aufmerksamkeit wie z.B. personenbezogenen Daten?
  • Sind Dienstleister unter Bezugnahme des Kriteriums „Sicherheit im Zahlungsverkehr“ vielleicht nicht doch anders zu bewerten? Reichen die bestehenden Verträge mit den Dienstleistern aus?
  • Sind Schulungskonzepte ausreichend konzipiert, um Sicherheit im Zahlungsverkehr zu gewährleisten oder sind vielleicht noch ergänzende Module erforderlich?
  • Berücksichtigen die Dokumentationen die erweiterte Sicht auf den Zahlungsverkehr (Dokumentenprüfung)?
  • Ist das Überwachungssystem darauf ausgelegt, die Anforderungen der Leitlinien ordnungsgemäß zu überwachen?
  • Finden die Anforderungen ausreichend Berücksichtigung in der Planung der Internen Revision?  

 

Eine Bemerkung zum Abschluss: Die Einhaltung der MaRisk ist heute Standard und wird vorausgesetzt. Die letzten EBA/BaFin-Veröffentlichungen (z.B. MaSI) konkretisieren und verschärfen bisherige eher "allgemein gehaltene" Anforderungen. Das hat Einfluss auf die bisherige Einstellung und Awareness der Unternehmen und vor allem auch auf die Ressourcen.

Bei weiteren Fragen, z.B. zur Umsetzung der Anforderungen, wenden Sie sich gerne an den Autor dieses Artikels: ioannis.karamitros@compliance-net.com. Hier erhalten Sie auch Informationen zu Produkten der compliance-net akademie, welche derzeit erstellt werden.