Anforderungen an die Bank-IT

Hohe Cyber-Widerstandsfähigkeit und Informationssicherheit sind zentrale aufsichtsrechtliche und gesetzliche Anforderungen an die IKT-Infrastrukturen im Finanzsektor. Im Fokus der EU-Kommission und der europäischen Aufsicht steht weiterhin die Harmonisierung zukunftsfähiger gesetzlicher und aufsichtsrechtlicher Rahmenbedingungen.

Über den bereits im Herbst 2020 vorgelegten Legislativvorschlag „DORA“ zur Verbesserung der digitalen operationellen Widerstandsfähigkeit des Finanzsektors konnte Mitte Mai 2022 eine vorläufige politische Einigung im Trilog erzielt werden.

Das Gesetz soll nach Klärung noch offener Umsetzungsfragen als „Lex specialis“ voraussichtlich vor Jahresende 2022 in Kraft treten und dann nach 24 Monaten Übergangsfrist für nahezu alle Finanzinstitute direkt gelten.

Der Verordnungsvorschlag beinhaltet eine Vielzahl neuer und konkretisierter Regelungen, insbesondere für das IKT-Sicherheitsrisikomanagement, Cybersicherheitstests und das Reporting von Sicherheitsvorfällen.

Darüber hinaus ist auch die Schaffung eines Aufsichtsrahmens für kritische IKT-Dienstleister, wie z. B. große Cloud-Anbieter, vorgesehen. Für einige der Anforderungspunkte sind im Nachgang zur Beschlussfassung der Verordnung technische Regulierungsstandards (RTS) der europäischen Aufsichtsbehörden angekündigt, die zugleich wichtige Voraussetzung für die Umsetzung in Banken und bei Dienstleistern sein werden.

Unsere Positionen

Wir weisen auf die grundlegende Bedeutung einer umfassenden und konsequenten Verankerung des Proportionalitätsprinzips im Verordnungsvorschlag DORA und in allen resultierenden aufsichtsrechtlichen Regulierungen hin. Erfolgt dies nicht, würden geplante Regelungen für alle Banken ohne ausreichende Berücksichtigung der individuellen Gegebenheiten gleichermaßen zur Anwendung kommen und auf diese Weise unverhältnismäßige Mehrbelastungen entstehen.

Wir setzen auf DORA als „Lex specialis“ für den Finanzsektor, damit insbesondere die aktuell noch fortbestehenden Belastungen infolge von Doppel- und Mehrfachregulierung künftig entfallen können. Dies wird dann erreicht, wenn Meldungen, z.B. zu wesentlichen Sicherheitsvorfällen, in Zukunft nur noch an eine Aufsichtsbehörde übermittelt werden müssen.

 

Wir sprechen uns für klare und zugleich vereinfachende Anforderungen im Umgang mit IKT-Sicherheitsrisiken und IT-Auslagerungen unter Einhaltung des Proportionalitätsprinzips aus. In einer optionalen Zertifizierung ausgesuchter IT-Produkte oder -Dienstleistungen, z. B. die von Cloud-Diensten im Auslagerungsfall, sehen wir ein Potential zur unbedingt notwendigen Entlastung der Kreditwirtschaft.

Wir befürworten das Vorhaben der Europäischen Kommission, einen Aufsichtsrahmen für kritische IKT-Dienstleister, insbesondere große international tätige Cloud-Dienstleister, schaffen zu wollen. Dieser sollte unbedingt mit aufsichtsrechtlichen Erleichterungen für Finanzinstitute, z. B. durch die Verpflichtung der Dienstleister zum Nachweis anforderungskonformer Leistungserbringung, einhergehen.