Zum Inhalt Zum Hauptmenü

Suchformular

AutorAutorAutor

IT-SICHERHEIT BEI BANKEN - VORBEREITUNG FÜR DAS NEUE JAHR

Datum: 
20. Dezember 2018

IT-SICHERHEIT BEI BANKEN
VORBEREITUNG FÜR DAS NEUE JAHR

In Zeiten der Digitalisierung und weltweiten Vernetzung wird IT-Sicherheit zunehmend wichtiger. Ab 2019 werden weitere strenge Regeln durch das Netz- und Informationssystemsicherheitsgesetz ("NISG"), insbesondere beim Betrieb von Barein- und -auszahlungssystemen, zu berücksichtigen sein. Dies auch im Hinblick auf den Prüfungsschwerpunkt der FMA auf IT-Sicherheit.

  1. Prüfungsschwerpunkt "Digitalisierung": Die FMA als Hacker?

Auch das kommende Jahr wird bei Banken weiterhin im Zeichen der zunehmenden Digitalisierung und Technologisierung stehen. Ein sich laufend veränderndes Marktumfeld macht es sowohl für neue Akteure als auch für etablierte Kreditinstitute erforderlich, ihr Geschäftsmodell noch stärker in eine vernetzte Welt zu überführen. Notwendigerweise stellt sich dabei auch immer die Frage nach der Sicherheit: Wie sicher sind meine Systeme, Prozesse und Daten? Wie sicher müssen sie sein?

Antworten auf diese Fragen sind derzeit dezentral an verschiedenen Stellen der Rechtsordnung zu finden. Neben den allgemeinen Sorgfaltsanforderungen, die nach dem BWG immer – also auch hinsichtlich der IT-Sicherheit – anzuwenden sind, veröffentlichte die FMA Mitte 2018 zusätzlich einen speziellen Leitfaden zur IKT-Sicherheit in Kreditinstituten. Außerdem gibt es in einzelnen Materiengesetzen (zB im ZaDiG 2018) Sonderregeln. Banken finden also bereits jetzt ein engmaschiges Netz an Bestimmungen vor, die allerdings wenig kohärent sind.

Auch die FMA berücksichtigt nun den Technologiewandel. So baut sie bereits seit einiger Zeit ihre interne Expertise im IT-Bereich aus. Es erstaunt deshalb auch nicht, dass "Digitalisierung am Finanzmarkt" gemäß Verlautbarung einer der großen Prüfungsschwerpunkte der FMA im neuen Jahr sein wird (siehe das Strategiepapier der FMA "Fakten, Trends & Strategien 2019"). So soll beispielsweise FinTech-Unternehmen wie bereits bisher ein unbürokratischer Ansprechpartner für regulatorische und aufsichtsrechtliche Anforderungen zur Verfügung stehen. Damit wird der österreichische Finanzmarkt für innovationsaffine Unternehmen zunehmend interessanter. Zusätzlich möchte die FMA aber auch die Infrastruktur und Organisation der IT- und Cyber-Sicherheit bei beaufsichtigten Unternehmen im Rahmen einer sogenannten Cyber Incident Simulation testen, um Schwachstellen zu erkennen. Dabei soll ein Schwerpunkt auf die Überprüfung der praktischen Umsetzung der Anforderungen aus den FMA-Leitfäden gelegt werden. Außerdem stehen Auslagerungen und Cloud Computing besonders im Fokus.

Was man sich unter den IT-Security-Prüfungen im Einzelfall vorstellen darf, lässt die Behörde offen. Fest steht aber bereits jetzt: Egal ob sich die FMA im neuen Jahr zur "simulierten Cyberattacke" anmeldet oder nicht, IT-Sicherheit wird für beaufsichtigte Unternehmen eines der ganz zentralen Themen sein. Neben einer verstärkten Prüfung durch die FMA warten nämlich aufgrund des anstehenden NISG und der nicht mehr ganz neuen, aber noch immer brisanten, DSGVO zwei weitere IT-Herausforderungen.

  1. NISG und DSGVO

So soll auch das, am 11.12.2018 im Nationalrat und am 19.12.2018 im Bundesrat beschlossene, Netz- und Informationssystemsicherheitsgesetz (NISG) die IT Sicherheit bei Betreibern wesentlicher Dienste erhöhen, um Sicherheitsvorfällen vorzubeugen, diese zu erkennen, abzuwehren und zu beseitigen. Auch Unternehmen aus dem Sektor "Finanzmarktinfrastrukturen", darunter auch bestimmte große Banken (als Grenze wäre eine Bilanzsumme von EUR 30 Mrd vorstellbar; diese muss aber erst im Verordnungsweg festgelegt werden), zählen zu Betreibern wesentlicher Dienste und müssen daher das NISG berücksichtigen.

Insbesondere müssen sie "geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen" ergreifen. Diese Maßnahmen können auch sektorspezifisch abgestimmt werden und müssen gegenüber dem Bundesminister für Inneres zumindest alle drei Jahre nachgewiesen werden. Auch hier ist zur Überprüfung eine Vor-Ort-Untersuchung beim jeweiligen Betreiber wesentlicher Dienste möglich.

Außerdem werden durch das NISG zur Gewährleistung der Sicherheit von Netz- und Informationssystemen Computer-Notfallteams eingerichtet. Diese sollen Betreiber wesentlicher Dienste bei der Umsetzung des NISG unterstützen und insbesondere bei der Bewältigung von Risiken und Sicherheitsvorfällen begleiten. In diesem Zusammenhang führt das NISG auch eine neue Meldepflicht ein: Demnach haben Betreiber wesentlicher Dienste alle Störungen, die zu einer Einschränkung der Verfügbarkeit oder zu einem Ausfall mit erheblichen Auswirkungen führen ("Sicherheitsvorfälle"), "unverzüglich" an das für sie zuständige Computer-Notfallteam zu melden.

Sehr ähnliche Verpflichtungen sieht die seit 25.5.2018 anwendbare Datenschutz-Grundverordnung (DSGVO) vor: So müssen Banken als datenschutzrechtliche Verantwortliche ebenfalls "angemessene" Datensicherheitsmaßnahmen ergreifen und sind zur Meldung von Datenschutzverstößen an die Datenschutzbehörde innerhalb von 72 Stunden verpflichtet.

  1. Fazit

2019 wird IT-Sicherheit für Banken ein entscheidendes Thema sein. Die FMA wird die IT-Sicherheit genauer prüfen. Der Gesetzgeber legt parallel dazu den Banken noch strengere Regeln auf. IT-Sicherheit ist deshalb weiterhin nicht nur eine technische, sondern auch eine rechtliche Frage.

 

Disclaimer

Alle Angaben auf dieser Website dienen nur der Erstinformation und können keine rechtliche oder sonstige Beratung sein oder ersetzen. Daher übernehmen wir keine Haftung für allfälligen Schadenersatz.

The material contained in this website is provided for general information purposes only and does not constitute legal or other professional advice. We accept no responsibility for loss which may arise from reliance on information contained on this site.