Die Regulierungsflut in Financial Services
Regulatorische Anforderungen und Mehrwert für die Informationssicherheit
Wie wird durch die zunehmenden regulatorischen Anforderungen ein Mehrwert für die Sicherheit eines Unternehmens erreicht?
Bereits in den vergangenen Jahren reagierten Institute und Regulierer auf die veränderte Gefahrenlage von Banken- und Finanzinstituten, insbesondere im Bereich der IT. Die Folge waren gestiegene regulatorische Anforderungen auf nationaler, europäischer und internationaler Ebene (s. Grafik 1). Beispielsweise hat die Europäische Bankenaufsicht ihre EBA ICT & Risk Management Guidelines, in denen unter anderem Anforderungen an die Cyber-Sicherheit gestellt werden, Ende 2019 veröffentlicht. Zusätzlich wurde mit dem TIBER-Framework ein einheitliches Vorgehen im Finanzmarkt geschaffen mit dem Sicherheitsspezialisten versuchen, wie Hacker:innen und mit deren Vorgehensweisen, in vorher bestimmte Systeme einzudringen (Red-Teaming-Angriffe).
Im Jahr 2021 hat sich dieser Trend verstärkt. So hat die BaFin, nicht zuletzt aufgrund der Covid-19-Pandemie und der damit verbundenen zunehmenden Digitalisierung in den Finanzinstituten, ihren Prüfungsfokus unter anderem auf IT- und Cyberrisiken gelegt. In Reaktion auf die aufsichtsrechtliche Praxis sowie die oben genannten EBA-Guidelines wurden die aktualisierten BAIT im August 2021 veröffentlicht. Gleichzeitig wurde im Versicherungsumfeld die Aktualisierung der VAIT zur Reflektion der EIOPA gestartet.
Finanzinstitute und Versicherungen stehen vor der Herausforderung neue Anforderungen umzusetzen, insbesondere in der operativen Informationssicherheit. Hierbei ist eine Richtungsänderung von konzeptionellen Vorgaben zu Anforderungen an die technische Implementierung von Sicherheitsmaßnahmen zu beobachten.
Zurückliegend wurde viel investiert – Verbindung der Regulatorik mit der Praxis steht im Vordergrund
Fakt ist, dass die Notwendigkeit eines angemessenen Schutzes vor Cyber-Angriffen im Management auf der Top-Prioritäten-Liste ist. Zurückliegend wurden umfangreiche Projekte zur Erhöhung der Informationssicherheit durchgeführt, auch aufgrund von internen und externen Feststellungen.
Zusätzliche Anforderungen in dieser Cyber-Regulierungsflut können Organisationen überlasten. Daher ist es besonders wichtig, die Umsetzung der regulatorischen Anforderungen mit der spezifischen Cyber-Bedrohungslage der Unternehmen zu verknüpfen, um einen Mehrwert in der Informationssicherheit zu schaffen.
Security by Design reflektiert den regulatorischen End-to-End-Ansatz
Aus unserer Erfahrung empfiehlt es sich die Informationssicherheits-Governance nach einem Markt-Standard (bspw. ISO27001) auszurichten, um ein aktives Management der regulatorischen Anforderungen zu ermöglichen und ein feststellungsorientiertes Abarbeiten zu vermeiden.
Im Idealbild wird diese Struktur dann End-to-End abgebildet (s. Grafik 2), das heißt von dem Vorgabenwesen, über die Prozesse und Kontrollen hinweg, bis hin zum Reporting über die Risiko-Lage zur Informationssicherheit. Ziel ist es diesen End-to-End-Ansatz im Prinzip „Security by Design“ konsequent zu berücksichtigen, um die regulatorischen Anforderungen von Anfang an compliant umzusetzen.
Generierung von Freiräumen für die Entscheidungsträger zur strategischen Fokussierung
Dieser Ansatz verhilft Banken und Versicherungen vor die Bugwelle der abzuarbeitenden regulatorischen Feststellungen zu kommen und von Anfang an eine nahtlose Verzahnung mit der Bedrohungslage und dem Schutz der individuellen Unternehmenswerte zu etablieren.
Weiterhin verschafft dieser Ansatz den Entscheidungsträgern Zeit und ermöglicht eine Fokussierung auf die strategische Zielsetzung im Cyber-Security-Umfeld, um neue Bedrohungsszenarien frühzeitig erkennen und abwehren zu können.
KPMG unterstützt Sie bei der End-to-End-Ausgestaltung
Der von KPMG etablierte Regulatory Security Hub dient als Inkubator für die praktische, technologische und risikomindernde Umsetzung von regulatorischen Vorgaben in der Security.
Mit dieser fundierten Basis begleiten wir Sie in der Implementierung einer effektiven, proportional der Art und der Größe des Unternehmens angepassten Informationssicherheit. Zielsetzung ist es, die regulatorischen Entwicklungen schon vor deren Einführung hinsichtlich deren Auswirkung auf die Praxis zu analysieren und nachfolgend compliant umzusetzen.
Immer mit dem Fokus, das Geschäftsmodell zu unterstützen und bei neuen Technologien auszubauen, indem die individuellen und faktischen Cyber-Bedrohungen in der Praxis effektiv minimiert und gleichzeitig die Regularien erfüllt werden.
