Inhalt. 2. IT-Compliance für Banken und Sparkassen (Überblick) 1. Kurze Vorstellung der Haspa

Ähnliche Dokumente
DAS IT-SICHERHEITSGESETZ

Das IT-Sicherheitsgesetz Pflichten und aktueller Stand Rechtsanwalt Dr. Michael Neupert

NATIONALES IT-SICHERHEITSGESETZ? UNS ALS KOMMUNE BETRIFFT DAS DOCH NICHT!

VKU-PRAXISLEITFADEN IT-SICHERHEITSKATALOG

IT-Sicherheit im Energie-Sektor

IT-Sicherheitsgesetz: Wen betrifft es,

Die Umsetzung des IT-Sicherheitsgesetzes durch das BSI-Gesetz Auswirkungen auf den Bankenbereich

Aktueller Stand der Umsetzung des IT- Sicherheitsgesetz aus Sicht des BSI

Das neue it-sicherheitsgesetz - segen oder fluch? Jens Marschall Deutsche Telekom AG, Group Security Governance

NIS-RL und die Umsetzung im NISG

ERFAHRUNGSBERICHT: PRÜFUNG NACH 8A (3) BSIG AUS PRÜFER- UND KRANKENHAUSSICHT

KRITISCHE INFRASTRUKTUREN

Schutz Kritischer Infrastrukturen. PITS - Public-IT-Security Kongress für IT-Sicherheit bei Behörden Berlin, 13. September 2016

Der UP KRITIS und die Umsetzung des IT-Sicherheitsgesetzes

Netzsicherheit. Netzsicherheit im Recht Was taugt es für die Praxis. Ing. Mag. Sylvia Mayer, MA

Rüdiger Gruetz Klinikum Braunschweig Geschäftsbereich IT und Medizintechnik. GMDS-Satellitenveranstaltung

Die Umsetzung des ITSicherheitsgesetzes aus Sicht des BSI

Wie beeinflusst das IT-Sicherheitsgesetz perspektivisch die Zertifizierung von Medizinprodukten?

2013-nurG.txt nurG.txt [Entwurf von 2014] [Entwurf von 2013] Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Cybersicherheit im Sektor Wasser. Silke Bildhäuser, B.Sc. Bundesamt für Sicherheit in der Informationstechnik

Häufige Fragen und Antworten (FAQ) zu 8a BSIG im Rahmen der Orientierungshilfe B3S V0.9 BSI-Entwurf Version 0.5.2, Stand:

Schutz Kritischer Infrastrukturen im Energiesektor: Umsetzung und Zertifizierung des IT-Sicherheitskatalogs für Strom- und Gasnetzbetreiber

ISMS-Einführung in Kliniken

Arbeitsschwerpunkte zur IT-Aufsicht 2016/ 2017

IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen?

Umsetzung IT-SiG in den Ländern

Neue Pflicht zu technischorganisatorischen. Vorkehrungen durch 13 Abs. 7 TMG

A. Regulatorische Rahmenbedingungen und Tendenzen 5. B. Praxisfragen des Informationssicherheitsmanagements 87

Einblick ins IT-Sicherheitsgesetz. Monika Sekara Rechtsanwältin in Hamburg Fachanwältin für IT-Recht

Vorwort zur vierten Auflage Abbildungsverzeichnis! XVII Die Autoren

Auswirkungen des IT-Sicherheitsgesetzes auf den IKT-Sektor

ConformityZert GmbH. Zertifizierungsprozess ISO 27001

Integration von Forensik und Meldepflichten in ein effizientes Security Incident Management 2. IT-Grundschutztag

Sicherer Datenaustausch für Unternehmen und Organisationen

KRITIS: Auswirkungen der BSI Verordnung auf die Patientensicherheit in Krankenhäusern

Energiewirtschaft und Digitalisierung

Start-up Session IT-Sicherheitsgesetz: Risikomanagement, Compliance und Governance in einer cloudbasierten Wissensdatenbank umsetzen

Das neue NIS-Gesetz: Schutz der IT hinter den kritischen Infrastrukturen

Versicherungsforen-Themendossier

Checkliste zur Prüfung/Kontrolle der Einhaltung der Regelungen der BAIT

Die Datenschutzgrundverordnung verändert alles

Vorwort zur dritten Auflage... V Abbildungsverzeichnis... XIII Die Autoren... XIV

IT-Sicherheitsgesetz

Arbeitsschwerpunkte 2018 der Gruppe IT-Aufsicht. IT-Aufsicht bei Banken

UP KRITIS. Gründungssitzung des BAK Ernährungsindustrie BVE Berlin, Benjamin Lambrecht

IT-Sicherheitsgesetz:

GSK PSD 2 Konferenz. Banken & FinTechs. (Neue) Regulatorische Besonderheiten bei der Einbindung technischer Dienstleister (FinTech)

SerNet. Governance-Mapping für den KRITIS- Sektor: Finanz- und Versicherungswesen. 22. März Tatjana Anisow. SerNet GmbH, Göttingen - Berlin

Grundlagen des Datenschutzes und der IT-Sicherheit

Projekt Risikoanalyse Krankenhaus IT (RiKrIT)

DAS MODELL DER DREI VERTEIDIGUNGSLINIEN ZUR STEUERUNG DES RISIKOMANAGEMENTS IM UNTERNEHMEN

IT-Sicherheitsaudits bei KRITIS-Betreibern: Zusätzliche Prüfverfahrens-Kompetenz für 8a (3) BSIG

IT-Sicherheitsgesetz: Welche neuen Pflichten gelten für Unternehmen?

Checkliste ISO/IEC 27001:2013 Dokumente und Aufzeichnungen

IT-Sicherheitsgesetz: Haben Sie was zu melden?

Anforderungen an das Risikomanagement einer Pensionskasse. 18. November 2015

Inhaltsverzeichnis. Informationssicherheits-Management nach ISACA

Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

Working Paper - Diskussionsstand Diskussionspapier BAIT: "Bankaufsichtliche Anforderungen an die IT"

Blick über den Tellerand Erfahrungen der EVU

Datenschutz und Informationssicherheit

Eine (traditionelle) Komödie zur Informationssicherheit

IT-Sicherheit für KMUs

Konkretisierung der MaRisk durch ein Rundschreiben zu Bankaufsichtlichen Anforderungen an die IT (BAIT)

Die Bankaufsichtlichen Anforderungen an die IT

Beschreibung des Prüfungsverfahrens

BAIT-Anforderungen bezüglich des IDV-Einsatzes in Banken Beobachtungen aus der Prüfungspraxis

Workshop 8 Informationssicherheit kritischer Infrastrukturen: Wie schützen wir unsere moderne Gesellschaft?

Das IT-Sicherheitsgesetz

DATENSCHUTZ in der Praxis

zu Beschwerdeverfahren bei mutmaßlichen Verstößen gegen die Richtlinie (EU) 2015/2366 (PSD 2)

Zertifizierung von Netzbetreibern nach IT-Sicherheitskatalog gemäß 11 Abs. 1a EnWG

SC124 Kritische Infrastrukturen gem. ISO u. ISO 27019

Kritische Infrastruktur in der Wasserwirtschaft Was bedeuten branchenspezifische IT-Sicherheitsstandards für die Wasserversorgungsunternehmen?

ISO 14001:2015 die Änderungen aus der Sicht der Unternehmen

Aufgaben und erste Ergebnisse des Cyber-Abwehrzentrums

2 Genehmigungsinhabern nach dem Atomgesetz entsteht Erfüllungsaufwand für die Einrichtung von Verfahren für die Meldung von IT-Sicherheitsvorfällen an

LEITLINIEN HINSICHTLICH DER MINDESTLISTE DER DIENSTE UND EINRICHTUNGEN EBA/GL/2015/ Leitlinien

Strukturierte Verbesserung der IT-Sicherheit durch den Aufbau eines ISMS nach ISO 27001

So gestalten Sie Ihr Rechenzentrum KRITIS-konform

Bundesministerium des Innern. Per an: Berlin, Dortmund, Bayreuth, Stuttgart,

Thomas W. Harich. IT-Sicherheit im Unternehmen

25 c KWG Geschäftsleiter Überprüfung vom:

Fragebogen. zur Beurteilung der Zertifizierungsfähigkeit des Betrieblichen Gesundheitsmanagements nach DIN SPEC

Mindeststandard des BSI zur Verwendung von Transport Layer Security (TLS)

informationsdienste ITGOV SUITE Strategische und operative IT-Steuerung

Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen nach IDW PS 951/ISAE 3402

Internet, Datennetze und Smartphone

Pragmatischer Umgang mit den wandelnden Anforderungen in KMU

Lokale Aspekte von Cyberkrisen. Kommunalkongress

Synopse Entwürfe IT-Sicherheitsgesetz Stand

Compliance mit der DSGVO Stand der Technik - Wie gehen wir mit Artikel 32 der DSGVO um?

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationsrisikomanagement

Transkript:

Inhalt 1. Kurze Vorstellung der Haspa 2. IT-Compliance für Banken und Sparkassen (Überblick) 3. Wer reguliert die Banken und Sparkassen? 4. Regulatorische Anforderungen aus a. MaRisk und BAIT b. PSD 2 c. IT-Sicherheitsgesetz (KRITIS) 5. Schlusswort und Fazit Seite 2

Die Haspa auf einen Blick. 1827 gegründet Über 40 Mrd. Euro Bilanzsumme Rund 5.000 Mitarbeiter und 350 Ausbildungsplätze 1,5 Millionen Kunden Breit gefächertes Angebot von Finanzdienstleistungen für alle Kundengruppen in 28 Regionen Haspa Zentrale am Adolphsplatz Flächendeckendes Standortnetz Rund 150 Filialen Rund 50 SB-Standorte Rund 40 Firmenkunden-Standorte 2 Private-Banking-Standorte Vielfältiges gesellschaftliches Engagement: Rund 5 Mio. Euro jährlich für Bildung, Soziales, Kunst, Musik und Sport Haspa Filiale Seite 3

Zu meiner Person Studium der Physik an der Universität Hamburg mit Abschluss Diplom-Physiker 18 Jahre Tätigkeiten in Unternehmen des Rüstungsbereiches (Marineprojekte) Seit Mai 1999 als IT-Sicherheitsmanager in der Haspa tätig Tätigkeitsschwerpunkte: Notfall- und Wiederanlaufplanung Erarbeitung von Konzepten und Risikoanalysen zu diversen Themen und Projekten Begleitung und Steuerung von Audits zu technischen Fragestellungen Steuerung von IT-Dienstleistern Cyber-Kriminalität (Online-Betrug / Phishing) und Cyber-Angriffe 03.08.2018 Seite 4

Gesetzliche und aufsichtsrechtliche Anforderungen Seite 5

Gesetzliche u. aufsichtsrechtliche Anforderungen (Auszug) ISM = Informationssicherheitsmanagement Seite 6

Wer reguliert die Banken in Deutschland? Auf nationaler Ebene Bundesbank Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Auf europäischer Ebene in Abstimmung mit den nationalen Behörden Europäische Zentralbank (EZB) European Banking Authority (EBA) Regelungen für Kritische Infrastrukturen durch das IT-Sicherheitsgesetz Bundesamt für Sicherheit in der Informationstechnik (BSI) Seite 7

Regulatorik durch die BaFin: MaRisk Mindestanforderungen an das Risikomanagement Rundschreiben der BaFin mit Pflicht zur Einhaltung Regelt u.a. die Anforderungen an das Risikomanagement Anforderungen an die technisch-organisatorische Ausstattung Berechtigungsmanagement Trennung von Test und Produktion Angemessene Überwachungs- und Steuerungsprozesse für IT-Risiken Notfallkonzept Vorsorge für Notfälle zeitkritischer Aktivitäten und Prozesse Im Falle von Auslagerungen müssen die Notfallpläne des auslagernden Instituts und des Auslagerungsunternehmens aufeinander abgestimmt sein Auslagerung von Dienstleistungen: umfassendes Kapitel mit Anforderungen Seite 8

Regulatorik durch die BaFin: BAIT Bankaufsichtliche Anforderungen an die IT Rundschreiben der BaFin mit Pflicht zur Einhaltung Konkretisierung der Anforderungen aus der MaRisk Formulierung von Anforderungen in 9 Abschnitten zu IT-Strategie IT-Governance Informationsrisikomanagement Informationssicherheitsmanagement Benutzerberechtigungsmanagement IT-Projekte, Anwendungsentwicklung IT-Betrieb (inkl. Datensicherung) Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen Kritische Infrastrukturen Seite 9

Inhalte der BAIT (auszugsweise) Die Anforderungen haben regelmäßige Umsetzungsaufwände zur Folge (Prozessgedanke, PDCA-Zyklus) IT-Strategie IT-Governance Vorgabe von Mindestinhalten Forderung nach angemessener Personalausstattung von IT-Risiko- und Informationsrisikomanagement Überblick über Bestandteile des Informationsverbundes Forderung eines Sollmaßnahmenkatalogs zur Umsetzung der Schutzziele Regelmäßige Berichterstattung an die Geschäftsleitung (mindestens vierteljährlich) Informationssicherheitsmanagement Informationssicherheitsbeauftragter Seite 10

Inhalte der BAIT (auszugsweise) Benutzerberechtigungsmanagement Vorgaben zu nicht personalisierten Berechtigungen Vorgaben zu Berechtigungsprozessen IT-Projekte, Anwendungsentwicklung Berücksichtigung von Projektrisiken im Risikomanagement Vorgaben zur Anwendungsentwicklung (prozessural) Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen Risikobewertungen und Vertragsgestaltung Kritische Infrastrukturen Nachweiserbringung gem. 8a, Abs. 3, BSIG Seite 11

PSD 2 (EZB / EBA) Payment Service Directive 2 (2. Zahlungsdiensterichtlinie) Regulierung neuer Zahlungsdienste (Zugriff autorisierter Drittdienstleister auf online geführte Zahlungskonten) Meldepflichten der Kreditinstitute über Zahlungsverkehrsausfälle Meldeportal der BaFin Schaffung neuer Prozesse innerhalb der Institute (wer ist fachlich verantwortlich, wer bewertet, wer meldet? ) Durchführung von Meldungen Dokumentation der gemeldeten Ausfälle Seite 12

Meldekriterien für PSD 2: Ausfall Zahlungsverkehr Seite 13

IT-Sicherheitsgesetz Zielsetzung des Gesetzes: Signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland Schutz der IT-Systeme Kritischer Infrastrukturen und der für Infrastrukturen nötigen Netze Einhaltung von Mindeststandards an IT-Sicherheit durch die Betreiber Kritischer Infrastrukturen Verpflichtung der Betreiber Kritischer Infrastrukturen zum Melden von IT- Sicherheitsvorfällen an das BSI Es handelt sich um eine Sammlung von Änderungen, die andere Gesetze betreffen, z.b. das BSI-, Atom-, Energiewirtschafts-, Telemedien- und Telekommunikationsgesetz usw. Das Gesetz trat zum 24. Juli 2015 in Kraft Seite 14

IT-Sicherheitsgesetz Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen zukünftig die zur Erbringung ihrer wichtigen Dienste erforderliche IT nach dem Stand der Technik angemessen absichern, die Einhaltung der Absicherung regelmäßig nachweisen und erhebliche IT-Sicherheitsvorfälle melden. Eine Rechtsverordnung definiert, welche Unternehmen als Kritische Infrastrukturen im Sinne dieses Gesetzes gelten und regelt Näheres Seite 15

IT-Sicherheitsgesetz: BSI-Kritisverordnung vom 21.06.2017 Wegen ihrer besonderen Bedeutung für das Funktionieren des Gemeinwesens sind im Sektor Finanz- und Versicherungswesen kritische Dienstleistungen im Sinne des 10 Absatz 1 Satz 1 des BSI-Gesetzes gemäß der Ersten Verordnung der BSI-Kritisverordnung ( 7) die Bargeldversorgung, der kartengestützte Zahlungsverkehr der konventionelle Zahlungsverkehr die Verrechnung und die Abwicklung von Wertpapier- und Derivatgeschäften Versicherungsdienstleistungen Seite 16

IT-Sicherheitsgesetz Meldepflichten aus 8a Betreiber Kritischer Infrastrukturen haben dem BSI alle 2 Jahre eine Aufstellung durchgeführter Sicherheitsaudits, Prüfungen oder Zertifizierungen einschließlich dabei aufgedeckter Mängel zu übermitteln. Bei Sicherheitsmängeln kann das BSI deren unverzügliche Beseitigung verlangen Konsequenz: Schaffung entsprechender interner Prozesse, die diese Meldepflicht unterstützen, einschließlich der Dokumentation der internen Prozesse der durchgeführten Sicherheitsaudits, Prüfungen oder Zertifizierungen abgegebenen Meldungen an das BSI Terminverfolgung Prognose: Diese Prozesse sind in das Interne Kontrollsystem zu integrieren, d.h. die interne Revision, die Verbandsrevision usw. werden auch diese Prozesse prüfen! Seite 17

IT-Sicherheitsgesetz Meldepflichten aus 8b Verpflichtung zur Benennung einer Kontaktstelle, die jederzeit erreichbar ist Meldung von erheblichen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastrukturen führen oder führen können Zusätzlich zu dieser Kontaktstelle kann eine gemeinsame, übergeordnete Ansprechstelle benannt werden (z.b. S-CERT für Sparkassenfinanzgruppe) Auch hierzu gilt: Zusätzlicher interner Aufwand durch Beschreibung und Dokumentation von entsprechenden Prozessen, Dokumentation der Bewertung von internen Vorfällen, die nicht als meldungsrelevant bewertet wurden (für Revision etc.) Seite 18

Einbeziehung der Meldepflichten in bestehende Notfallbearbeitung Für IT-Notfälle existiert in der Haspa eine festgelegte Vorgehensweise, die in einem IT-Notfallleitfaden dokumentiert ist Definition von Begriffen (z.b. Störung, IT-Notfall) Festlegung von Rollen, z.b. IT-Notfallmanager, IT-Notfallteam Beschreibung der Kompetenzen des IT-Notfallmanagers Bereitstellung von Formularen (z.b. Lagebild, Logbuch, Protokolle usw.) Diese Dokumentation wurde ergänzt und erweitert um Meldepflichten und -prozesse aus IT-Sicherheitsgesetz und PSD 2 Entscheidungshilfen für den IT-Notfallmanager, ab wann die externen Meldepflichten zu beachten sind (z.b. Schwellwerte) Meldeformulare für die jeweiligen Empfänger (BSI / S-CERT oder BaFin) Festlegung zusätzlicher Abstimm- und Entscheidungsprozesse mit der Unternehmensleitung Seite 19

Fazit (aus Sicht eines Instituts) Es gibt immer mehr Meldepflichten an unterschiedliche Empfänger Inhalte und Zielsetzungen der Meldungen sind unterschiedlich Meldungen von Sicherheitsaudits, Prüfungen oder Zertifizierungen sind aufwendig und erfordern wiederkehrende Prozesse einschließlich Terminüberwachung Institutsintern sind zusätzliche Prozesse (abgestimmt mit den beteiligten Organisationseinheiten) erforderlich Die internen Prozesse werden Teil des Internen Kontrollsystems Es entstehen zusätzliche interne Aufwände für die Dokumentation der Prozesse und der abgegebenen Meldungen Prüfungen (interne und externe) werden in Zukunft auch die Prozesse zu Meldepflichten an BSI und BaFin zum Gegenstand haben Seite 20

Vielen Dank für Ihre Aufmerksamkeit! Seite 21

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback