EBA Leitlinien zum Management von IKT und Sicherheitsrisiken

eba guidelines ict security risk management

Am 28. November veröffentlichte die europäische Bankaufsichtsbehörde (EBA) ihre endgültigen Leitlinien für das Management von IKT und Sicherheitsrisiken ("EBA Guidelines on ICT and Security Risk Management"). Sie legen Anforderungen an Kreditinstitute, Wertpapierfirmen und Zahlungsdienstleister zur Minderung und zum Management ihrer Informations- und Kommunikationstechnologie (IKT) und Sicherheitsrisiken fest. Das Ziel ist klar: im gesamten Binnenmarkt soll ein einheitlicher und solider Ansatz gewährleistet werden.

Die neuen Leitlinien werden am 30. Juni 2020 in Kraft treten.

Wo finden Sie die finalen Leitlinien?

Hier finden Sie den direkten Link zu den finalen Leitlinien. Sie sind bislang nur auf Englisch verfügbar.

Hintergrund der Leitlinien

Die zunehmende Digitalisierung im Finanzsektor und die zunehmende Vernetzung von Finanzinstituten und Dritten machen die Geschäftstätigkeit von Finanzinstituten anfällig für interne und externe IKT- und Sicherheitsrisiken. Diese können ihre Lebensfähigkeit gefährden. Laut EBA ist ein solides IKT- und Sicherheitsrisikomanagement für Finanzinstitute von entscheidender Bedeutung, um ihre strategischen, unternehmerischen, operativen und Reputationsziele zu erreichen.

Inhalt der Leitlinien

Diese Leitlinien legen Erwartungen der EBA fest, wie alle Finanzinstitute mit internen und externen IKT- und Sicherheitsrisiken umgehen sollen, denen sie ausgesetzt sind. Sie sollen den Finanzinstituten auch ein besseres Verständnis der aufsichtsrechtlichen Erwartungen an das Management dieser Risiken vermitteln, einschließlich solider interner Governance, Informationssicherheitsanforderungen, IKT-Betrieb, Projekt- und Änderungsmanagement sowie Business Continuity Management.

Die Leitlinien beziehen sich auch auf die Verwaltung der Beziehungen zwischen Zahlungsdienstleistern und Nutzern von Zahlungsdiensten. Dadurch soll sichergestellt werden, dass die Nutzer auf die mit den Zahlungsdiensten verbundenen Sicherheitsrisiken aufmerksam gemacht werden, und dass ihnen die Instrumente zur Verfügung stehen, um bestimmte Zahlungsfunktionalitäten zu deaktivieren und den Zahlungsverkehr zu überwachen.

Persönlicher Anwendungsbereich

Der persönliche Anwendungsbereich der Leitlinien umfasst Kreditinstitute und Wertpapierfirmen im Sinne der Eigenkapitalrichtlinie (CRD) für alle ihre Tätigkeiten sowie Zahlungsdienstleister, die der PSD2 bzw. den entsprechenden Umsetzungsgesetzen unterliegen, für ihre Zahlungsdienste.

Rechtsgrundlage und weitere Schritte

Diese Leitlinien bauen auf den Bestimmungen von Art 74 der Richtlinie 2013/36/EG (CRD IV) auf, die die EBA beauftragen, die Governance-Regelungen, -Prozesse und -Verfahren der Finanzinstitute in Bezug auf die interne Governance EU-weit weiter zu harmonisieren. Weiters beruhen sie auf Art 95 Abs 3 der Richtlinie (EU) 2015/2366 (PSD2) im Hinblick auf die Festlegung, Durchführung und Überwachung von Sicherheitsmaßnahmen für operationelle und Sicherheitsrisiken.

Die EBA weist darauf hin, dass diese Leitlinien der Aufforderung der Europäischen Kommission zum FinTech-Aktionsplan an die EBA, Leitlinien für das IKT-Risikomanagement und die Minderungsanforderungen im EU-Finanzsektor zu entwickeln, entsprechen.

Next steps

Die EBA-Leitlinien treten am 30. Juni 2020 in Kraft. Die 2017 herausgegebenen Leitlinien für Sicherheitsmaßnahmen bei Betriebs- und Sicherheitsrisiken nach PSD2 (EBA GL/2017/17) wurden vollständig in diese Leitlinien integriert und werden mit Inkrafttreten dieser Leitlinien aufgehoben.

Ansprechpartner: Dr. Bernd Fletzberger

Adresse

  • 1010 Wien,
    Nibelungengasse 11/4

Kontakt

  • +43 1 877 04 54
  • office(a)pfr.at

Follow us

Suche