Arbeitsschwerpunkte zur IT-Aufsicht 2016/ 2017

Ähnliche Dokumente
Arbeitsschwerpunkte des Referats BA 57 zur IT-Aufsicht der BaFin 2014/2015. Dr. Josef Kokert, BaFin

Arbeitsschwerpunkte des Referats zur. Dr. Josef Kokert, BaFin Referat IT-Infrastrukturen bei Banken

Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Bankenaufsicht (Referat BA 54) Graurheindorfer Straße Bonn

IT-Aufsicht im Bankensektor

Das IT-Sicherheitsgesetz Pflichten und aktueller Stand Rechtsanwalt Dr. Michael Neupert

Security of Internet Payments

Vorwort... V Abbildungsverzeichnis... XIII Die Autoren... XV

. An alle Verbände der Kreditwirtschaft GZ: BA 54-FR /0008 (Bitte stets angeben) 2016/

Analyse der Geschäftsmodelle

Das neue it-sicherheitsgesetz - segen oder fluch? Jens Marschall Deutsche Telekom AG, Group Security Governance

TÜV Rheinland. Security Intelligence: Die Schlagkraft eines GRC nutzen. It-sa 2016, 18. Oktober 2016

Die Umsetzung des IT-Sicherheitsgesetzes bei den privaten Banken in Deutschland. Jana Ehlers SRC Security Research & Consulting GmbH

Fit & Proper für Banken und Wertpapierfirmen

6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten?

Leitlinie für die Informationssicherheit

Mindestanforderungen an das Risikomanagement

Aufsichtsrechtliche Anforderungen an Auslagerungen im Banken- und Finanzsektor

Umsetzung IT-SiG in den Ländern

Janotta und Partner. Digitalisierung

Magna Steyr Industrial Services Innovations- & Technologie Consulting

Security 2.0: Tipps und Trends rund um das Security Information und Event Management (SIEM)

Validierungsprozess BCBS 239 Framework

IT Sicherheit in Kritischen Infrastrukturen

Was ist CIIP. Fachtagung Schutz strategischer Informationsinfrastrukturen. 7. Oktober 2010

EMIR Meldung von Collaterals und Valuations

GZ: BA 17-K /0001 Modernisierung der Outsourcing-Regelungen und Integration in die MaRisk

Regelungsvorhaben zur IT- Dr. Markus Held, BaFin Referat IT-Infrastrukturen bei Banken

Legal Risk als Folge fehlender Compliance

Konsultation 1/ erster Entwurf der überarbeiteten Outsourcing-Regelungen

Prüfungsansatz der Deutschen Bundesbank im europäischen Umfeld inkl. Cyber-Risiken

Inhaltsverzeichnis. Abbildungsverzeichnis. Tabellenverzeichnis. Abkürzungsverzeichnis

Risikomanagement als Führungsaufgabe

Stellungnahme. des Gesamtverbandes der Deutschen Versicherungswirtschaft

LEITLINIEN ZU DEN TESTS, BEWERTUNGEN ODER PRÜFUNGEN, DIE EINE UNTERSTÜTZUNGSMAßNAHME AUSLÖSEN KÖNNEN EBA/GL/2014/

GSW-Initiative IT-Sicherheit für KMU

Aktuelle Arbeiten des Basler Ausschusses

IT-Sicherheitsgesetz & IT-Sicherheitskatalog Status Quo und neue Herausforderungen. Referent: Christian Bruns

Inhaltsverzeichnis. Teil I Einleitung und Grundlegendes zur IT-Strategie

Bedeutung der IT-Sicherheit vor dem. Dr. Josef Kokert, BaFin Referat IT-Infrastrukturen bei Banken

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

Cybersicherheit als Wettbewerbsvorteil und Voraussetzung wirtschaftlichen Erfolgs

BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s!

Implementierung eines Business Continuity Management Systems ISACA Trend Talk Bernhard Zacherl

Aktuelles zu Kritischen Infrastrukturen

NIS-Richtlinie. und ihre Umsetzung in Österreich. Bundeskanzleramt/Präsidium Abt. I/11 Digitales und E-Government Recht, Strategie und Internationales

Netzwerke I Menschen I Kompetenzen. Erfolgreich gestalten.

Die Digitalisierung des Bankgeschäfts

Eckpunkte IT-Sicherheitsgesetz (Leseprobe / Auszug) Rechtsberatung. Steuerberatung. Luther.

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

FORUM. Gesellschaft für Informationssicherheit. ForumISM. Informations- Sicherheits- Management. effizient risikoorientiert ganzheitlich

2 0,5% - 5,0% 3 5,0% - 12% 4 12% - 20% 5 20% - 30% 6 30% - 80% 7 >80%

Auswirkungen des IT- Sicherheitsgesetzes auf die Betreiber von kritischen Infrastrukturen

IT-Sicherheitsgesetz:

als Steuerungsinstrument Björn Schneider Berlin, 29. November 2016

Verordnung über das Risikomanagement

Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

Fachveranstaltung IHK: Kennen Sie Ihr Rating? Katrin Hummel Deutsche Bundesbank Hauptverwaltung HMS

Pragmatischer Umgang mit den wandelnden Anforderungen in KMU

Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken

Bundesministerium des Innern Referat O 5 Qualitätsmanagement in der Bundesverwaltung

Zuordnung der Anforderungen der DIN EN ISO 9001:2015 im QMS-Reha

ITIL V3 zwischen Anspruch und Realität

BearingPoint RCS Capability Statement

Das BSI im Kontext der nationalen und europäischen IT-Sicherheitsforschung

Die Zukunft der IT-Sicherheit

Vorlesung Gesamtbanksteuerung bei Hr. Dr. Lukas, Vortrag am von Andreas Polzer Universität Kassel, WS 2008/2009

Stephanie Caspar Lisa Eggerstorff Alexander Wagner Robert Hagedorn

Weiterentwicklung IT-Sicherheitskonzeption: Entwicklung neuer BSI-Grundschutz in den Kommunen

Prüfungen des Wertpapierdienstleistungsgeschäfts nach 36 WpHG. Praxishandbuch zur Qualitätssicherung

Compliance-Management-Systeme. Dr. Hady Fink, Greenlight Consulting Compliance Circle München,

Operationelle Risiken im aufsichtlichen Fokus

Arbeitsprogramm der Abschlussprüferaufsichtsstelle beim Bundesamt für Wirtschaft und Ausfuhrkontrolle (APAS)

Johannes Christian Panitz

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH

Integrierte und digitale Managementsysteme

Seite 1 von 26. MaRisk mit Leascom

zum Stand der Diskussion

Grundlagen des Datenschutzes und der IT-Sicherheit

Die Zusammenarbeit in europäischen Gremien des gesetzlichen Messwesens

Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel. Caroline Neufert Nürnberg, 18. Oktober 2012

Engagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Business Assessment Service für SAP Extended Warehouse Management. SAP Deutschland AG & Co. KG Oktober 2009

Aktuelle Abschlussarbeiten

Datenschutz und Datensicherheit im EPDG

Ein Praxisbericht: Fünf Jahre evergabe bei der Bundesagentur für Arbeit

Zertifizierung gemäß ISO/IEC 27001

Was sieht das Gesetz vor?

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager

(ISMS) Informationssicherheits-Managementsystem. - das ABC der Umsetzung

Security Assessments und Security-by-Design

Aktualisierte technische Leitlinien der ENISA

ITIL. Incident- und Problem- Management in der Anwendung. Uli Manschke Technical Consultant HP OpenView

Das Krankenhaus als Kritische Infrastruktur

SKI- und Cyber-Risiko-Strategie: Risikobetrachtungen und Massnahmen zur Steigerung der Resilienz

Information Security Management Systeme-ISMS Beispiele erfolgreicher Umsetzung

Less significant institutions: Wie direkt wird die indirekte Aufsicht der EZB?

ÄNDERUNGEN UND SCHWERPUNKTE

Transkript:

Bundesanstalt für Finanzdienstleistungsaufsicht Arbeitsschwerpunkte zur IT-Aufsicht 2016/ 2017 4. IT-Informationsveranstaltung der BaFin 16. März 2017

Vorstellung Kompetenzreferat IT-Sicherheit (BA 51) 2012 Gründung des Referats IT-Infrastrukturen bei Banken im Geschäftsbereich BA 2016 Weiterentwicklung zu einem im geschäftsbereichsübergreifenden Kompetenzreferat für die Themen IT-/ Cybersicherheit im Finanzsektor sowie Zahlungsverkehr. Das Kompetenzreferat IT-Sicherheit (BA 51) ist weiterhin im Geschäftsbereich BA angesiedelt und dort in der Grundsatzabteilung BA 5 Bankgeschäftliche Risiken. Zuständiger Abteilungsleiter ist Herr Mattias Güldner. Ziel: Organisatorische Bündelung der vorhandenen Ressourcen und Kompetenzen und bestmögliche Nutzung des vorhandenen Wissens. Hebung von Synergien und Gewährleistung der Einheitlichkeit des Verwaltungshandelns - soweit sachlich angemessen auch bei der aufsichtlichen Beurteilung neuer Technologien (bspw. Cloud Computing). Tagesgeschäft insbesondere Unterstützung der Fachaufsicht bspw. Begleitung von IT-Prüfungen, Auswertung entsprechender Prüfungsberichte, Erlaubnisverfahren, Beurteilung von Auslagerungsvorhaben, MaSi Meldungen, Grundsatzfragen mit IT-Bezug, Verbraucherbeschwerden, Durchführung von Schulungen für die Fachaufsicht, Mitarbeit in nationale und Internationale Arbeitsgruppen. 2

MaRisk-Novelle 2016

MaRisk-Novelle 2016 I) Umsetzung Baseler Papier zur Risikodatenaggregation und Risikoberichterstattung (BCBS 239) II) Konkretisierung von Anforderungen entsprechend der Aufsichts- und Prüfungspraxis u.a.: AT 7.2 => Identifizierung, Überwachung und Steuerung von IT-Risiken AT 7.2 => Einsatz von durch die Fachbereiche selbst entwickelten Anwendungen (Individuelle Datenverarbeitung - IDV ) AT 9 => Abgrenzung von Auslagerung und Fremdbezug (auch mit Blick auf Software) Neu: Klarstellung in AT 9 Tz. 1, dass zivilrechtliche Ausgestaltungen und Vereinbarungen das Vorliegen einer Auslagerung nicht ausschließen, strikte Einzelfallbetrachtung AT 9 => Voraussetzungen für Weiterverlagerungen Veröffentlichung der Endfassung: voraussichtlich Q 1 2017 16.03.2017 Arbeitsschwerpunkte BA 51 4

Bankaufsichtliche Anforderungen an die IT (BAIT)

BAIT - Zielsetzung & Grundprinzipien Die BAIT sollen: einen flexiblen und praxisnahen Rahmen insbesondere für das Management der IT-Ressourcen und das IT- Risikomanagement schaffen das IT-Risikobewusstsein im Institut und gegenüber den Auslagerungsunternehmen erhöhen die Erwartungshaltung der Aufsicht für die Institute transparenter gestalten Die BAIT sind: eine Konkretisierung aber keine Erweiterung der MaRisk im Grundsatz prinzipienorientiert und erhalten das Proportionalitätsprinzip der MaRisk analog den MaRisk aufgebaut und über konkrete Verweise mit den MaRisk verknüpft auch für Nicht-IT Experten verständlich formuliert 6

BAIT - Stand der Arbeiten und weiteres Vorgehen Die BAIT-Themenmodule wurden gemeinsam mit der Bundesbank erarbeitet und im Verlaufe 2016 im Fachgremium IT diskutiert (u.a. mit Vertretern von Industrie, Verbänden). Der Beginn der öffentlichen Konsultation ist kurzfristig im Anschluss an die heutige Veranstaltung geplant. Die Veröffentlichung eines entsprechenden Rundschreibens nach öffentlicher Konsultation für Mitte 2017 geplant. 7

BSIG-Umsetzung im Finanzsektor

BSIG-Umsetzung im Finanzsektor Kritische Infrastrukturen (KRITIS) sind Organisationen/Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen, deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen nach sich ziehen würde. spezieller Fokus auf Versorgungssicherheit Finanzsektor einer von 8 kritischen Sektoren neben u.a. Gesundheitswesen, Energiewirtschaft, Telekommunikation, Handel- und Ernährung. Betreiber kritischer Infrastrukturen unterliegen künftig grundsätzlich den Vorschriften des BSIG. 9

BSIG-Umsetzung im Finanzsektor Verordnung zur Identifizierung der Betreiber Kritischer Infrastrukturen u.a. im Finanzsektor In 2016/2017 Erarbeitung der Rechtsverordnung zur Identifizierung der Betreiber Kritischer Infrastrukturen u.a. im Finanzsektor unter Federführung des BMI. Inkrafttreten der sogenannten Kritis -Verordnung für das 2. Quartal 2017 geplant. Selbstidentifizierungsprozess über kritische Dienstleistungsbereiche, Anlagekategorien, Bemessungsgrundlagen, Schwellenwerte. Die kritische Dienstleistung im Bankensektor ist der Zahlungsverkehrs (umfasst Bargeldversorgung, bargeldlosen Zahlungsverkehr und konventionellen Zahlungsverkehr.) Für Institute, welche zugleich Betreiber Kritischer Infrastrukturen nach dem BSIG und Aufsichtsobjekte der BaFin sind, gelten die Vorschriften des BSIG uneingeschränkt neben denjenigen insbesondere des KWG. 10

Arbeiten der EBA mit IT-Bezug

EBA Task Force on IT Supervision EBA Report Risk Assessment of the European Banking System Status: veröffentlicht => enthält Teilreport Material and emerging IT-risks aus Sicht der Aufseher: IT Governance IT Notfallmanagement Einfluss von FinTechs Hauptrisiken IT 2016 Cyber- /Informationssicherheit Legacy-Systeme Outsourcing von IT 12

EBA Task Force on IT Supervision EBA Guidelines on ICT Assessment under the Supervisory Review and Evaluation process (SREP) (Status: Konsultiert, Veröffentlichung für Q2/2017 geplant) Die geplanten Guidelines ergänzen die bestehenden SREP-Guidelines um ein Vorgehensmodell mit expliziten Basisanforderungen zur Analyse und Bewertung von IT-Risiken. EBA Recommendations on outsourcing to Cloud Service Providers (Status: in Bearbeitung, Konsultation für Q3/2017 geplant) Geplante Themenbereiche u.a.: Beurteilung der Wesentlichkeit Informationspflichten gegenüber der Aufsicht und Prüfungsrechte für Banken und die Aufsicht Physische Zugangsrechte zu den relevanten Geschäftsräumen der Cloud Dienstleister Geographische Lage der Daten und der Datenverarbeitung Weiterverlagerungen Ausstiegsklauseln 13

EBA Arbeiten zur PSD2 EBA Regulatory Technical Standards (RTS) und Guidelines (GL) zur PSD2 mit Fokus auf IT-Sicherheitsthemen bzw. IT-Technologie: EBA Guidelines on Incident Reporting (Ablösung der MaSI-Meldepflichten). Status: Konsultation abgeschlossen EBA Guidelines on Operational Risk and Security Measures. Status: Konsultation geplant 04.2017 EBA RTS on Strong Customer Authentication and Secure Communication. Status: Konsultiert, finaler Entwurf veröffentlicht, Prüfung durch die EU-Kommission 14

G7 Grundelemente zur Cyber-Sicherheit im Finanzsektor

G7 Grundelemente Aufgrund der weltweiten Vernetzung unserer Finanzsysteme ist eine strategische Bündelung von Cyber-Sicherheitsaktivitäten auf internationaler Ebene und die Entwicklung von Mindeststandards für die Cyber-Sicherheit in der Finanzdienstleistungsbranche zum Schutz von Verbrauchern, Instituten, Daten und Infrastrukturen wichtig. Eine zu diesem Thema eingesetzte G7-Expertengruppe, hat Ende 2016 einen Bericht mit acht Grundelementen ausgearbeitet, die in den G7-Staaten als Basisabsicherung dem Finanzsektor zur Umsetzung und als Basis für die Entwicklung und Implementierung einer Cyber-Strategie anempfohlen werden sollen. Regulatorischen Arbeiten können sie als Leitlinie dienen. Veröffentlicht u.a. auf der Homepage des BMF. 16

G7 Grundelemente 8 Grundelemente: Cybersecurity Strategy (Cyber-Sicherheitsstrategie) Governance (Unternehmensführung) Risk and Control Assessment (Risiko- und Maßnahmenbewertung) Monitoring (Überwachung) Response (Reaktion) Recovery (Wiederherstellung) Information Sharing (Informationsaustausch) Continuous Learning (Kontinuierliches Lernen) Zur Umsetzung dieser Elemente in Deutschland tragen unter anderem BSI-G und die geplanten BAIT bei. 17

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback