Arbeitsschwerpunkte 2018 der Gruppe IT-Aufsicht. IT-Aufsicht bei Banken

Ähnliche Dokumente
Arbeitsschwerpunkte zur IT-Aufsicht 2016/ 2017

Konferenz IT-Aufsicht bei Banken. Ira Steinbrecher, Referatsleiterin Referat GIT 3 Grundsatz IT-Aufsicht und Prüfungswesen

Arbeitsschwerpunkte des Referats BA 57 zur IT-Aufsicht der BaFin 2014/2015. Dr. Josef Kokert, BaFin

Positionspapier Outsourcing Banken und FinTechs beziehen Stellung. Pressegespräch

27. September 2018 Kap Europa, Frankfurt am Main. IT-Aufsicht bei Banken

Aufsicht über die Sicherheit im Zahlungsverkehr nach dem neuen ZAG. Tobias Schmidt Felix Strassmair-Reinshagen Referat GIT 1

GSK PSD 2 Konferenz. Banken & FinTechs. (Neue) Regulatorische Besonderheiten bei der Einbindung technischer Dienstleister (FinTech)

Prüfungspraxis der Deutschen Bundesbank Informationsveranstaltung: IT-Aufsicht bei Banken Bonn,

Ausgelagert und sorgenfrei?

Arbeitsschwerpunkte des Referats zur. Dr. Josef Kokert, BaFin Referat IT-Infrastrukturen bei Banken

Umsetzung der PSD II

Alternative Zahlungsdienste im Lichte der PSD2. Barbara Buchalik (BaFin, Referat BA 51) Nadim Ayyad (BaFin, Referat GW 3)

Cyber-Sicherheit in der Digitalisierung

Vorlesung Gesamtbanksteuerung

PSD2 und die Aufsicht der BaFin über die Sicherheit im Zahlungsverkehr

Die europäische NIS-Richtlinie und ihre Auswirkungen auf Österreich. E-Day 2016

SREP bei weniger bedeutenden Instituten

Ausblick auf die neue Cyber- Risiko-Regulation der FINMA

Einheitlicher Aufsichtsmechanismus (SSM) Wesentliche Bestandteile und Ziele. Jukka Vesala Director General, Micro-Prudential Supervision III

Vorwort... V Abbildungsverzeichnis... XIII Die Autoren... XV

Security of Internet Payments

Vorwort zur vierten Auflage Abbildungsverzeichnis! XVII Die Autoren

Cybersicherheit in der Smart Factory

DKE Innovation Campus 2017

Zahlungsdiensterichtlinie 2 (PSD2)

Das CERT-Brandenburg und die Kommunen 4. Kommunaler IT-Sicherheitskongress Berlin,

Maritime Cyber Risk Management Seeschifffahrtssicherheitskonferenz 2017

Status Quo und News zur VdS Cyber-Security Dr. Robert Reinermann März 2016

Fit & Proper für Banken und Wertpapierfirmen

DS-GVO und IT-Grundschutz

Informationsrisikomanagement

Risk Governance Empirische Ergebnisse einer Studie deutscher Regionalbanken

Cybersicherheitsstrategie des Landes Niedersachsen

BRAINLOOP STUDIE 2017 IT SECURITY UND DIGITALE KOMPETENZ

Analyse der Geschäftsmodelle

Öffentliche Konsultation

. An alle Verbände der Kreditwirtschaft GZ: BA 54-FR /0008 (Bitte stets angeben) 2016/

Janotta und Partner. Digitalisierung

Konkretisierung der MaRisk durch ein Rundschreiben zu Bankaufsichtlichen Anforderungen an die IT (BAIT)

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

SerNet. Governance-Mapping für den KRITIS- Sektor: Finanz- und Versicherungswesen. 22. März Tatjana Anisow. SerNet GmbH, Göttingen - Berlin

Prüfungsansatz der Deutschen Bundesbank im europäischen Umfeld inkl. Cyber-Risiken

BAIT-Anforderungen bezüglich des IDV-Einsatzes in Banken Beobachtungen aus der Prüfungspraxis

IT-Aufsicht im Bankensektor

Checkliste zur Prüfung/Kontrolle der Einhaltung der Regelungen der BAIT

Digital aber sicher. Unternehmen wirksam schützen. Allianz für Cyber-Sicherheit

Compass Security [The ICT-Security Experts]

Solvabilität II - Bericht über Solvabilität und Finanzlage (SFCR)

Praktisches Cyber Risk Management

IT-Sicherheit im Spannungsfeld

Cyber-Sicherheit in der Wirtschaft

Swisscom Dialog Arena 2018 Cyber Security was beschäftigt die Schweiz?

Netzwerke I Menschen I Kompetenzen. Erfolgreich gestalten.

SECURE YOUR DATA KASPERSKY ONLINE TRAINING PLATTFORM

Analyse und Benchmarking der Solvency and Financial Condition Reports

IT SECURITY UND DIGITALE KOMPETENZ. Business Breakfast 28. Juni 2017

Leitlinien Zugang von Zentralverwahrern zu den Transaktionsdaten zentraler Gegenparteien und Handelsplätze

Die Vollendung von Basel III oder schon Basel IV?

IT-Sicherheit für Stadtwerke Sind Sie READY für ein zertifiziertes ISMS? Thomas Steinbach Leipzig, 10. Mai 2017

Krankenhaus Revitalisierung Detecon Service Offering

Welche regulatorischen Vorgaben müssen Betreiber und Anwender berücksichtigen?

Inhaltsverzeichnis. Informationssicherheits-Management nach ISACA

Cybersecurity 4.0 Schutz vor den Bedrohungen von heute und morgen. Markus Grathwohl Senior Corporate Account Manager

Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Bankenaufsicht (Referat BA 54) Graurheindorfer Straße Bonn

IKT-Schlüsselprojektprüfungen der EFK und HERMES. Martin Schwaar Prüfungsexperte für IKT-Schlüsselprojekte des Bundes

Reform der Cybersicherheit in Europa

Ausblick und Diskussion. 8. März IT-Grundschutz-Tag 2018 Holger Schildt Referatsleiter IT-Grundschutz

Aktuelles aus dem ESMA- Corporate Reporting Standing Committee (CRSC) Dr. Hannelore Lausch, Abteilungspräsidentin BaFin (WA 1)

ANHANG 17-G FRAGENKATALOG ZU NACHWEISEN INTERNATIONALER NORMEN UND ZERTIFIZIERUNGEN

Die Allianz für Cyber-Sicherheit

Technische Informationen zum Meldeverfahren für schwerwiegende Betriebs- und Sicherheitsvorfälle bei Zahlungsdienstleistern

Fintech Aktuelle Entwicklungen und die Sicht der FINMA

Allianz für Cyber-Sicherheit

als Steuerungsinstrument Björn Schneider Berlin, 29. November 2016

Faktor Mensch in IT-Managementsystemen oder Security-Awareness nachhaltig und wirksam. Nadin Ebel, Materna

CRR II und CRD V: Umsetzung von Basel IV auf europäischer Ebene

Anforderungen an das Risikomanagement einer Pensionskasse. 18. November 2015

Bankenwelt mehr IT und Outsourcing. von Dennis Stenzel Frankfurt, den 7. November 2014

Aktuelle Entwicklungen in der IFRS- Rechnungslegung in der EU

Ein Kommunikationslagebild für mehr IT-Sicherheit

Leitlinie für die Informationssicherheit

Compliance ist ganz allgemein die Einhaltung von Vorgaben mit entsprechenden Mitteln

Gegenüberstellung der ISA und IDW PS

Deutsches Rechnungslegungss Standards Committee e.v. Accounting Standards Committee of Germany DRSC. Prof. Dr. Andreas Barckow Präsident des

Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

An die Verbände der Kreditwirtschaft

IT-Security Portfolio

Security und Privacy im Smart Home aus Sicht des Nutzers. Dr. Siegfried Pongratz ITG Workshop, 23. Oktober 2015, Offenbach

Wenn Sie ein Datenproblem haben, ist es schon zu spät

DAS MODELL DER DREI VERTEIDIGUNGSLINIEN ZUR STEUERUNG DES RISIKOMANAGEMENTS IM UNTERNEHMEN

1 Über WM Datenservice Hintergrund Erstellung eines Benutzerkontos... 4

Dirk Brechfeld Max Weber. MaSan. Leitfaden zur Erstellung von Sanierungsplänen

Mindestanforderungen an das Risikomanagement (MaRisk)

IT-Security Portfolio

SAQ-Veranstaltung: Management Review. Elvira Bieri 25. September 2008, Uhr In Zofingen

EBA Leitlinien. zu Zahlungsrückständen und Zwangsvollstreckung EBA/GL/2015/

Einheitlicher Aufsichtsmechanismus

NSA-Affäre Kapitulation für den Datenschutz?

Hacking und die rechtlichen Folgen für die Geschäftsleitung

Transkript:

Arbeitsschwerpunkte 2018 der Gruppe IT-Aufsicht IT-Aufsicht bei Banken

Gruppe IT-Aufsicht/ Zahlungsverkehr/ Cybersicherheit Gruppe IT- Aufsicht / Zahlungsverkehr/Cybersicherheit GL: N.N. i.v. Jens Obermöller GIT 1 GIT 2 GIT 3 GIT 4 Grundsatz Cybersicherheit in der Digitalisierung und Regulierung Zahlungsverkehr RL: Jens Obermöller Operative Aufsicht über Zahlungsinstitute und E-Geld-Institute RL in: Monika Herpers Grundsatz IT-Aufsicht und Prüfungswesen RL in: Ira Steinbrecher IT-Prüfungen und Prüfungs-/ Aufsichtsunterstützung RL: N.N. i.v. Renate Essler 2

Auswirkung auf Einzelinstitut hoch Einschätzung der Bedeutung von IT-/Cyberrisiken-auf Einzelinstitutsebene Untermauert durch die deutsch-französischen IT-Sicherheitslagebilder von BSI und ANNSI sowie verfügbare Sicherheitsstudien. Grundsätzlich wird von weiter zunehmenden Bedrohungslage insbesondere durch destruktiver Angriffe ausgegangen (bspw. durch Ransomware). Häufigkeit bei Einzelinstituten hoch 3

Ursachen für Sicherheitsvorfälle - Erkenntnisse aus dem Meldewesen 30,00% 25,00% 20,00% 15,00% 10,00% 5,00% 0,00% Ursachen der mittelschweren und schwerwiegenden Vorfälle seit 2017 rund 420 Sicherheitsvorfallsmeldungen (MaSi bzw. PSD 2), davon rund ein Drittel mittelschwere und schwere Vorfälle Mängel im Bereich der Cyberhygiene als eine wesentliche Ursache nur wenige Vorfälle durch Cyberangriffe verursacht mittelschwer schwerwiegend 4

Informations-/Cybersicherheit sektorweite Schwachstellen Häufig beobachtbare Schwachstellen eine europäische Sicht: unzureichende Cyber-Hygiene unzureichende Überwachung von dritten Dienstleistern bzw. der Lieferkette unzureichendes Testen von Prozessen, Technologien, aber auch Personen unzureichende Investitionen in die Fähigkeiten, Cyber-Angriffe zu entdecken und Bedrohungen zu identifizieren unzureichende strategische Planung und strategische Steuerung im Bereich Cyber Gegenwart von End-of-Life Systemen technikzentrierter Fokus, Faktor Mensch wird vernachlässigt 5

Aufsichtliche Anforderungen als eine Antwort Operativ Steuerung Governance Beispiel : BAIT IT-Risikobewusstsein Aufsichtliche Anforderungen wie die BAIT adressieren wesentliche Problembereiche bereits heute. 5. Benutzerberechtigungsmanagement 4. Informationssicherheitsmanagement 2. IT- Governance 1. IT- Strategie 3. Informationsrisikomanagement 6. IT-Projekte und Anwendungsentwicklung 8. Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen 7. IT-Betrieb (inkl. Datensicherung) 9. KRITIS Vor dem Hintergrund der Risikolage und der stabilen Befunde im Bereich der beobachteten Schwachstellen rücken aber Fragen der Kontinuität und Resilienz der IT weiter in den Vordergrund. 6

Überblick EBA Arbeiten mit IT - Bezug Guidelines on ICT Assessment under the Supervisory Review and Evaluation process (SREP) (Status: Veröffentlicht; Integration in die Verwaltungspraxis zur Erstellung von Risikoprofilen) Die Leitlinien ergänzen die bestehenden SREP-Leitlinien um ein Vorgehensmodell mit expliziten Basisanforderungen zur Analyse und Bewertung von IT-Risiken. Recommendations on outsourcing to Cloud Service Providers (Status: Veröffentlicht; Integration in die Überarbeitung der EBA GL on Outsourcing) Themenbereiche der seit Juni 2018 geltenden Recommendations sind u.a. Beurteilung der Wesentlichkeit, Informationspflichten gegenüber der Aufsicht und Prüfungsrechte für Banken und die Aufsicht, Geographische Lage der Daten/ -verarbeitung, Weiterverlagerungen sowie Ausstiegsklauseln 7

Überblick EBA Arbeiten mit IT - Bezug Überarbeitung CEBS - Guidelines on Outsourcing (Status: Entwurf der Leitlinien konsultiert Konsultationsfrist endete am 24.09.2018) Fortschritt in der Informationstechnologie und europarechtlichen Vorgaben aus CRD IV, MiFiD, AMLD und PSD 2 machen eine Aktualisierung notwendig. Der Entwurf sieht vor, dass Institute ein Auslagerungsregister über wesentliche und unwesentliche Auslagerungen führen. Diese sollen der Aufsicht auf Anfrage zur Verfügung gestellt (bspw. zur Identifikation von Konzentrationsrisiken) bzw. in den SREP-Prozess implementiert werden. Eine solche Übersicht ist in der Praxis nicht neu (auch die PrüfbV enthält hierzu eine Erfordernis). Allerdings variiert die Qualität und Format solcher Repositorien in der Praxis signifikant. Die bereits letztes Jahr verabschiedeten EBA Recommendations on outsourcing to cloud service providers wurden in die neuen Leitlinien integriert. 8

Überblick EBA Arbeiten mit IT - Bezug Guidelines on ICT Risk Management (Status: in Bearbeitung) Die Leitlinien sollen die Erwartungshaltung an das Management der IT-Risiken in den Instituten wiedergeben. Die Einbeziehung der EBA Leitlinien zu Sicherheitsmaßnahmen bezüglich der operationellen und sicherheitsrelevanten Risiken von Zahlungsdiensten gemäß der Richtlinie (EU) 2015/2366 (PSD2) wird geprüft. Veröffentlichung eines Konsultationsentwurfs ist für Ende 2018 vorgesehen 9

Überblick EBA Arbeiten mit IT - Bezug PSD 2-Maßnahmen mit Bezug zur Informationssicherheit (soweit noch nicht behandelt) Leitlinien für die Meldung schwerwiegender Vorfälle in Deutschland durch BaFin Rundschreiben 08/2018 (BA) zur Meldung schwerwiegender Zahlungs-sicherheitsvorfälle vom 07.06.2018 umgesetzt hat die Meldungen nach MaSI ersetzt; bitte nicht mehr das MaSI-Formular benutzen RTS on Strong Customer Authentication and common and secure communication als Delegierte Verordnung (EU) 2018/389 unmittelbar anwendbares Recht ab dem 14.09.2019 Guidelines on Fraud Reporting englische Fassung am 18.07.2018 veröffentlicht Übernahme in Deutschland wird geprüft 10

Cybersicherheit ausgewählte internationale Initiativen G7 Cyber Expert Group In 2015 gegründet mit dem Ziel, Kooperation & Austausch zwischen den Mitgliedstaaten zu verstärken und die Cybersicherheit im Finanzsektor zu erhöhen. Fundamental Elements of Cybersecurity (FEC): ein generisches Rahmenwerk acht grundlegender Elemente für die Erhöhung der Cybersicherheit im gesamten Finanzsektor, Ende 2016 veröffentlicht. Fundamental Elements for Effective Assessment: ergänzen die FEC um grundlegende Elemente und eine Methodologie zur Abschätzung der Effektivität von Cybersicherheitsmaßnahmen, Ende 2017 veröffentlicht. Laufende Arbeiten der G7-Expertengruppe: Risiken durch Drittparteien; Threat Led Penetration Testing (Red Teaming) ; Cross Border Exercising sowie Koordination mit anderen Sektoren 11

Cybersicherheit ausgewählte internationale Initiativen Financial Stability Board Cyber Lexicon Working Group (CLWG) Die CLWG wurde auf Initiative der G20 Finanzminister 2017 gegründet. Ziel ist, im Rahmen eines Lexikonprojektes ein gemeinsames Verständnis und eine gemeinsame Terminologie für relevante Begriffe aus den Themenbereichen Cyber-Sicherheit und Cyber-Resilienz zu erarbeiten. Das Cyber-Lexikon soll die Arbeiten und den Informationsaustausch im Bereich Cybersicherheit unterstützen. Es richtet sich an alle Akteure im Finanzsektor aber auch internationale Standardsetzer Ein Entwurf, bestehend aus 50 Kernbegriffen, wurde bis August 2018 öffentlich konsultiert. Eine Veröffentlichung des FSB Cyber-Lexikons ist für Ende 2018 geplant. 12

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback