17 Sep Neue EBA Vorgaben für IKT-Sicherheit und Risikomanagement
Seit 30. Juni 2020 sind die EBA Leitlinien für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04) anwendbar. Diese IKT-Leitlinien richten sich erstmals direkt an die Kreditinstitute und Zahlungsinstitute. Die Unternehmensführung muss sicherstellen, dass ein angemessenes Rahmenwerk für die IT-Governance etabliert wird und Rollen und Verantwortlichkeiten eindeutig zugwiesen werden.
Was müssen Kreditinstitute konkret tun?
Es werden viele Prozesse und Richtlinien angepasst werden müssen, so etwa auch die Abläufe bei Betriebs- und Sicherheitsvorfällen. Dem Thema BCM wird generell große Aufmerksamkeit geschenkt: detaillierte Geschäftsfortführungs- und Krisenreaktionspläne müssen vorhanden sein und regelmäßig getestet werden. Die auf die Unternehmensziele abgestimmte IT-Strategie muss Security-Ziele enthalten und konkrete Aktionspläne, die die Umsetzung dieser sicherstellen.
Eine angemessene organisatorische Trennung des IT-Risikomanagements vom operativen IT-Betrieb wird viele kleinere Institute vor personelle Herausforderungen stellen, so wie auch die Vorgabe, dass in der Revision genügend Fachwissen für regelmäßige IT-Prüfungen vorhanden sein muss.
Auch die Vorgaben für die Cybersicherheit sind sehr konkret: verpflichtend sind unzählige Sicherheitsvorgaben einer GAP-Analyse zu unterziehen und entsprechende Maßnahmen zu setzen.
Warten Sie nicht auf die IT-Prüfung durch die Aufsichtsbehörden!
Die FMA hat einen kommunizierten Fokus auf die Prüfung der IT-Governance gelegt. Arbeiten Sie vorsorglich an diesen Themen, wir unterstützen Sie gerne!