Arbeitsschwerpunkte des Referats zur. Dr. Josef Kokert, BaFin Referat IT-Infrastrukturen bei Banken

Transkript

1 Arbeitsschwerpunkte des Referats zur IT-Aufsicht der BaFin 2013/2014 Dr. Josef Kokert, BaFin Referat IT-Infrastrukturen bei Banken

2 Inhalte I. Regulierung II. Aktivitäten III. Einzelfragen IV. Ausblick SSM Arbeitsschwerpunkte des Referats 2013/2014 2

3 I. Regulierung - EU Welche europäischen Regelungen mit IT-Bezug zeichnen sich ab? NIS-Richtlinie (Datenschutzrichtlinie) Zahlungsdiensterichtlinie II EBA Guidelines on the Security of Internet Payments Arbeitsschwerpunkte des Referats 2013/2014 3

4 I. Regulierung EU Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (NIS) Art. 14 NIS Marktteilnehmer Maßnahmen Stand der Technik Risiko Maßnahmen Reaktion auf Sicherheitsvorfälle Meldung von Sicherheitsvorfällen Arbeitsschwerpunkte des Referats 2013/2014 4

5 I. Regulierung - EU Zahlungsdiensterichtlinie II Art. 85 manage security risks Art. 85 yearly updated assessment Art. 85 EBA guidelines Art. 86 incident reporting Art. 86 provides details to EBA Art. 86 EBA guidelines Arbeitsschwerpunkte des Referats 2013/2014 5

6 I. Regulierung - EU Zahlungsdiensterichtlinie II Art. 87 strong customer authentication Art. 87a EBA regulatory technical standards appropriate level of security fair competition technological and business-model neutrality submit draft to the Commission Arbeitsschwerpunkte des Referats 2013/2014 6

7 I. Regulierung - EU EBA - Draft Guidelines on the Security of Internet Payments Umsetzung der Empfehlungen des SecuRe Pay Forums vom Konsultation voraussichtlich Ende Oktober 2014 Konsultation Anpassung an Zahlungsdiensterichtlinie II Arbeitsschwerpunkte des Referats 2013/2014 7

8 I. Regulierung - National Entwurf IT-Sicherheitsgesetz des BMI Umsetzung der NIS Ergänzung des BSI-Gesetzes Betreiber kritischer Infrastrukturen 8a Einführung einer IT-Aufsicht 8b Meldepflicht für Beeinträchtigungen der IT-Systeme Öffnungsklausel Arbeitsschwerpunkte des Referats 2013/2014 8

9 I. Regulierung - National Entwurf IT-Sicherheitsgesetz des BMI Vermeidung von Doppelstrukturen 3 Abs. 3 Beraten und Unterstützen 7a Untersuchungsrecht zur IT-Sicherheit Arbeitsschwerpunkte des Referats 2013/2014 9

10 I. Regulierung - National BaFin - Entwurf eines Rundschreiben Mindestanforderungen an die Sicherheit von Internetzahlungen Eins-zu-eins-Umsetzung der Empfehlungen des SecuRePay Forums vom Konsultation steht bevor Arbeitsschwerpunkte des Referats 2013/

11 I. Regulierung - National BaFin Erarbeitung von BankaufsichtlichenAnforderungen an die IT (BAIT) Umsetzung des Baseler Papiers Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung (BCBS 239 von 2013) Arbeitsschwerpunkte des Referats 2013/

12 II. Aktivitäten IT-Grunderhebung Module zur IT-Prüfung Umfrage Notstromversorgung Gespräche zu Cloudcomputing Beobachtung einer Notfallübung Arbeitsschwerpunkte des Referats 2013/

13 II. Aktivitäten Heartbleed Bug Sichere Software unabdingbar Funktionierendes Patchmanagement stetige Gewährleistung der IT-Sicherheit Arbeitsschwerpunkte des Referats 2013/

14 III. Einzelfragen - Rezertifizierung AT Tz. 2 Satz 2 MaRisk Überprüfung von IT-Berechtigungen Alle Rechte Mind. jährlich Kritische Berechtigungen: Halbjährlich Keine eigene Schutzbedarfskategorie Arbeitsschwerpunkte des Referats 2013/

15 III. Einzelfragen Altfallregelung Die sogenannte Altfallregelung im Schreiben vom , BA 17-K /0010 (Begleitschreiben zur Modernisierung der Outsourcing- Regelungen und Integration in die MaRisk) gilt nicht mehr! Arbeitsschwerpunkte des Referats 2013/

16 III. Einzelfragen IT-SiB Die Funktion des IT- Sicherheitsbeauftragten ist nicht auslagerbar Unterstützung durch Externe ist zulässig Arbeitsschwerpunkte des Referats 2013/

17 IV. Ausblick SSM Start Aufsicht über 120 Significant Institution (1200) und 3700 Less Significant Institution EZB BaFin BBk Arbeitsschwerpunkte des Referats 2013/

18 IV. Ausblick SSM - Organisation Aufsichtsbereiche des SSM in der EZB Direkte Aufsicht Indirekte Aufsicht Horizontale Aufsicht - Fachwissen DG 1 DG 2 DG 3 DG 4 D (7) 30 SI D (8) 90 SI D (3) 3700 LSI D (10) DG=Directorate General D=Directorate Arbeitsschwerpunkte des Referats 2013/

19 IV. Ausblick SSM - Entscheidungsprozesse DG 4 Zulassungsverfahren Aufsichtsplanung Vor-Ort-Prüfungen Krisenmanagement Durchsetzung und Sanktionen Methodik u. Entwicklung von Standards Aufsichtliche Grundsatzfragen Aufsichtliche Qualitätssicherung Risikoanalyse Interne Modelle Arbeitsschwerpunkte des Referats 2013/

20 IV. Ausblick SSM - Entscheidungsprozesse JST SB GC JST=Joint Supervisory Team SB=Supervisory Board GC= Governing Council MP= Mediation Panel MP Arbeitsschwerpunkte des Referats 2013/

21 IV. Ausblick SSM Rechtsbehelfe Nationales Verfahren EZB-Verfahren Europäischer Gerichtshof Arbeitsschwerpunkte des Referats 2013/

22 IV. Ausblick SSM SSM-Manual IT risk is thecurrentor prospectiverisk to earningsand capital arising from inadequate information technology and processing Arbeitsschwerpunkte des Referats 2013/

23 IV. Ausblick SSM SSM-Manual Verweis auf Cobit, ISO 2700X, ITIL Cyberkriminalität, Komplexität, Abhängigkeit Warten auf EBA Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität, Nutzerberechtigungen, Flexibilität der IT Arbeitsschwerpunkte des Referats 2013/

24 IV. Ausblick SSM SSM-Manual Informations- und Datenqualitätsmanagement Accuracy Effectiveness Efficiency Quality Arbeitsschwerpunkte des Referats 2013/

25 IV. Ausblick SSM SSM-Manual IT-Risiken im Fokus der EZB Erfahrungen durch Sonderprüfungen Efficiency Arbeitsschwerpunkte des Referats 2013/

26 Kontaktdaten Dr. Josef Kokert Bundesanstalt für Finanzdienstleistungsaufsicht Tel. +49 (0)228 / josef.kokert@bafin.de Arbeitsschwerpunkte des Referats 2013/