IT Compliance-Management

Notfallmanagement im Banken- und Versicherungsumfeld

Öffentliche Konsultation - BaFin konkretisiert MaRisk/BAIT-Anforderungen

Klar ist, dass das Notfallmanagement seit der Ausbreitung von COVID-19 im März 2020 auch verstärkt in den Bick von Vorstand und Geschäftsführung gerückt ist. Klar ist auch, dass sich die Regulatoren, dort wo sie es noch nicht getan haben, stärker mit dem Thema Notfallmanagement befassen.

Durch die MaRisk/MaGo sowie die bankenaufsichtlichen bzw. versicherungsaufsichtlichen Anforderungen an die IT (BAIT/VAIT) hatte die BaFin bereits vor dem Ausbruch der Pandemie in Disziplinen wie dem Notfallmanagement, Cybersicherheitsmanagement und Lieferantenmanagement versucht, durch regulatorische Vorgaben, die Widerstandsfähigkeit von Finanzdienstleistern zu stärken.

Diese Vorgaben werden nun für das (IT-)Notfallmanagement innerhalb der Überarbeitung der 6. MaRisk-Novelle sowie der BAIT spezifiziert. Die entsprechenden Konsultationsentwürfe sind seit dem 26.10.2020 veröffentlicht.

Welche Herausforderungen ergeben sich aus den überarbeiteten BaFin-Anforderungen?

Aus dem überarbeiteten MaRisk-Kapitel AT 7.3 Notfallmanagement sowie dem vollständig neuen BAIT-Kapitel 10. IT-Notfallmanagement können zusammenfassend nachfolgende Handlungsbedarfe abgeleitet werden:

  • Übergeordnet wird die Zusammenführung des Notfall- und IT-Notfallmanagements durch eine aufeinander abgestimmte Ausgestaltung der Ziele und Rahmenbedingungen hervorgehoben.
  • Weiterhin wird für den Fall einer Auslagerung sowohl im Notfall- als auch IT-Notfallmanagement auf die Bedeutung aufeinander abgestimmter Notfallkonzepte eingegangen.
  • Speziell im IT-Notfallmanagement werden generell weitere relevante Schnittstellen wie das Informationssicherheitsmanagement oder das Risikomanagement aufgeführt.

Das Thema Risikomanagement rückt dabei auch im Notfallmanagement unter mehreren Gesichtspunkten in den Fokus:

  • Neben der Betrachtung der Auswirkungen von Prozessausfällen rückt die Analyse potenzieller Gefährdungen, die zu Prozessausfällen führen können, in den Fokus der Aufsicht. Risikoanalysen, wie beispielsweise im BSI 100-4 aufgeführt, stellen zukünftig einen Pflichtbestandteil eines Notfallmanagementsystems dar.
  • Relevant wird dieser Aspekt auch vor dem Hintergrund, dass alle für das Finanzinstitut relevanten (Risiko-) Szenarien im Rahmen der Notfallvorsorge zu berücksichtigen sind. Im Hinblick auf die Häufigkeit und den Umfang der mindestens jährlichen Überprüfung der Notfallkonzepte hat sich das Finanzinstitut wiederum an seiner konkreten Gefährdungslage zu orientieren.

Zusammenfassend bedeutet dies, dass ein Institut nachweisen muss, dass die Notfallvorsorge einen Bezug zu realen Bedrohungen hat und die Bank diese auch institutsspezifisch berücksichtigt. So reicht ein pauschaler Notfallplan für das Szenario Mitarbeiterausfall voraussichtlich nicht aus, um alle Bedrohungen wie zum Beispiel Pandemien, Streik oder politische Unruhen gleichermaßen angemessen zu adressieren.

  • Im IT-Notfallmanagement wird dieser Blick auf die für die Notfallvorsorge und die damit verbundenen relevanten Szenarien bzw. Risiken durch die Forderungen nach einem verpflichtenden Test eines Rechenzentrumsausfalls deutlich.
  • Für das IT-Notfallmanagement wird zukünftig zudem ein belastbares IT-Testkonzept, das sowohl den Test einzelner IT-Systeme als auch entsprechender Systemverbünde umfasst, gefordert. Auch bei diesem Testkonzept wird die Fragestellung nach Art und Umfang primär durch eine institutsspezifische Betrachtung der Gefährdungslage zu lösen sein.

Daneben wird im IT-Notfallmanagement auf die aus der prüferischen Praxis bekannte Anforderung nach Notfallkonzepten für alle IT-Systeme, die zeitkritische Prozesse unterstützen, explizit eingegangen. Hierbei wird eine Transparenz bezüglich Geschäfts-, IT-Anwendungs- und IT-Infrastrukturkomponenten her- bzw. darzustellen sein.

Worin bestehen die nächsten Schritte?

Finanzinstitute werden nach der Veröffentlichung der 6. MaRisk-Novelle sowie der überarbeiteten BAIT vor der Herausforderung stehen, die ganzheitliche Perspektive auf das Thema Notfallmanagement und der damit verbundenen IT-Notfallmanagement-Disziplin umzusetzen. Neben der Berücksichtigung relevanter Schnittstellen rückt das Thema Risikomanagement in den Vordergrund. Weiterhin werden für das Thema IT-Notfallmanagement eine Herstellung der Abhängigkeiten von eingesetzten IT-Systemen, deren Wiederherstellungspriorisierung sowie die Ausarbeitung einer angemessene Testkonzeption entscheidend.

Gerne treten wir bezüglich der genannten Herausforderungen mit Ihnen in die Diskussion und klären die für Sie relevanten Fragestellungen. Wir verfügen über langjährige Projekterfahrungen im Hinblick auf die Ausgestaltung, Implementierung, Verbesserung und Prüfung von Krisen und (IT-) Notfallmanagementsystemen. Zur ersten Orientierung führen wir gerne Notfallmanagement-Assessments bzw. GAP-Analysen durch und zeigen erste Quick-Wins auf.

 

Weiterlesen

IT Compliance-Management

Thema vertiefen

IT Compliance-Management

Die Digitalisierung, der zunehmende Einsatz von Cloud-basierten Geschäftslösungen und die Vernetzung von Daten, Objekten und Systemen durch komplexe IT-Infrastrukturen und Geschäftsprozesse, eröffnen für die Finanzbranche enorme Chancen. Informationswerte werden immer stärker zur Grundlage der Wertschöpfung. Sie sind ein wesentlicher Bestandteil zur Erreichung der Unternehmensziele.

Zugleich birgt dieser technische Wandel aber auch unvorhersehbare Risiken und bietet Cyberkriminellen neue Angriffsflächen. Denn mit dem wachsenden Potenzial für die Finanzbranche nehmen auch die Möglichkeiten für Hacker zu: Sie professionalisieren ihre Angriffe, indem sie Werkzeuge und eine zunehmende Zahl potenzieller Angriffsvektoren weiterentwickeln. Deswegen führen gezielte Attacken mit Phishing zu höheren Erfolgsquoten für Angreifer und größeren Schadenssummen bei den Opfern.

Thema vertiefen

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.

Schließen