FRANK FUKALA

Diplom-Betriebswirt (FH)
Diplom-Wirtschaftsinformatiker (FH)
CISA • Certified ISO/IEC 27001 Auditor
CCNA Security • CCDA

Tel. +49 511 3539360
This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

Neue Regulierung zu IT-Risiken

Finale Version der EBA zu ICT Risk Assessment under SREP:

Nach Abschluss der Konsultationsphase Anfang 2017 hat die EBA den finalen Stand der Guidelines on ICT Risk Assessment under the Supervisory Review and Evaluation Process (SREP) veröffentlicht.

»SREP«

Die EBA-Leitlinien zum SREP, dem einheitlichen europäischen aufsichtsrechtlichen Überprüfungs- und Bewertungsprozess der bankenindividuellen Risiken sind seit dem 01. Januar 2016 von den Aufsichtsbehörden umzusetzen. Gegenstand ist u.a. die Überwachung von Schlüsselindikatoren, Analyse des Geschäftsmodells sowie Bewertung von Kapital- und Liquiditätsrisiken sowie der Eigenmittel- und Liquiditätsausstattung. Dabei werden signifikante Institute direkt durch die EZB und weniger signifikante Institute durch die nationalen Aufsichtsbehörden beaufsichtigt.

Erweiterung SREP um »ICT Risk Assessment«

Das Konsultationspapier der EBA* sieht nun vor, die bisherigen Regelungen des SREP um den Bereich ICT Risiken (= Information, Communication, Technology) zu erweitern. Damit soll zukünftig auch das Thema IT-Governance und IT-Strategie sowie der Umgang mit IT-Risiken erhoben und beurteilt werden. IT-Risiken werden daher in Anlehnung an die bereits im SREP berücksichtigten operationellen Risiken als »risk to capital« (Kapitalrisiken) klassifizert. 

IT-Risikoprofil und kritische Systeme und Dienste

Bei der Beurteilung des IT-Risikoprofils sowie bei der Identifikation kritischer Systeme und Dienste sieht das Konsultationspapier vor, dass neben den als Grundlage für das Notfallmanagement (Business Continuity / Disaster Recovery) dienenden Einschätzungen des Instituts z.B. auch die Ausrichtung des Geschäftsmodells ("high adoption of innovative ICT solutions or distribution channels more likely target for cyber-attacks) sowie erhöhte Risiken bzgl. Verfügbarkeit und Datenintegrität aufgrund Komplexität der IT-Systemlandschaft oder aufgrund "veralteter" IT-Systeme Berücksichtgung finden.

IT-Risikokategorien

Identifizierte IT-Risiken sind den folgenden IT-Risikokategorien zuzuordnen:

  • IT Verfügbarkeits- und Fortführungsrisiken (availabilty and continuity risk)
  • IT Sicherheitsrisiken (security risk)
  • IT Veränderungsrisiken (change risk i.S. Anpassungsprozess)
  • IT Datenintegritätsrisiken (data integrity risk)
  • IT Auslagerungsrisiken (outsourcing risk)

 

Anforderungen an das IT-Risikomanagement

Zur Beurteilung des IT-Risikomanagements sowie der Bewertung des verbleibenden Restrisikos sind die Prozesse zur Identifikation, Überwachung, Messung und Minderung für wesentliche Risiken heranzuziehen. Hierbei sind neben den Leit- und Richtlinien bspw. auch die Abdeckung durch die Interne Revision sowie die implementierten Risikovorsorgemaßnahmen zu überprüfen.

Hilfestellung – ICT Risk Taxonomy

Im Anhang zum Konsultationspapier sind zu den definierten Risikokategorien IT-Risiken mit Beschreibung und Beispielen aufgeführt, die – auch unabhängig vom Kontext SREP – als Grundlage für Institute für das IT-Risikomanagement dienen können.

Conclusio

Das Thema IT und damit auch das Thema IT-Risikomanagement wird eine immer wichtigere Stellung im Rahmen der Regulatorik und Aufsicht einnehmen – ist dies doch auch nur konsequent, wenn man die Bedeutung der IT in der Finanzbranche und den hohen Veränderungsdruck sowohl durch verfügbare Technologien als auch wirtschaftlich durch das Niedrigzinsumfeld berücksichtigt.

Handeln Sie vorausschauend und richten Sie Ihre IT-Governance, IT-Stratgie und das IT-Risikomanagement auf Basis der von der EBA formulierten Erwartungen aus. Es wird nur eine Frage der Zeit sein, bis Sie nicht mehr agieren können, sondern reagieren müssen!

Im Dialog entsteht Klarheit. Gerne sprechen wir ganz unverbindlich mit Ihnen über dieses und andere Themen.

 

*Link zu den finalen Guidelines der EBA: https://www.eba.europa.eu/Final+Guidelines+on+ICT+Risk+Assessment+under+SREP.pdf