Finance & Insurance

Sektorlösungen für die Finanz-, Versicherungs- und Bankenwirtschaft

Kontakt aufnehmen
BaFin BAIT
BaFin VAIT
CSSF 20/750

Bleiben Sie compliant: Trotz steigender regulatorischer Anforderungen

  • Auf europäischer Ebene werden die relevanten Anforderungen an den operationellen IT-Betrieb und das IT-Risikomanagement von der Europäischen Bankenaufsicht (EBA) bzw. der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA)  vorgegeben.

  • Auf nationaler Ebene werden die europäischen Regularien in Deutschland von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), in Luxemburg von der Commission de Surveillance du Secteur Financier (CSSF) umgesetzt.

  • Die europäischen und nationalen Finanzaufsichtsbehörden reagieren auf die wachsende Digitalisierung und erhöhen die Anforderungen an die Sicherheit der IT-Systeme und das IT-Risikomanagement im Finanz- und Versicherungssektor drastisch. Auch zuvor gehörten Finanzinstitute bereits zu einer der am stärksten regulierten Branchen der Welt.

  • Sowohl in Deutschland als auch in Luxemburg gründen sich immer öfter kleine Finanzinstitute wie Investmentfonds oder Fintechs, die schon von Beginn an zahlreiche komplexe Anforderungen sowohl an ihre IT als auch an ihre Geschäftsprozesse erfüllen müssen.

Schon gewusst?

In Luxemburg sind zahlreiche Investmentsfonds ansässig, die UCITS über aktuell circa 5,4 Billionen Euro unter Management führen. Dieser Umstand veranlasst die CSSF, die regulatorischen Voraussetzungen für eine sichere Verwaltung stetig weiterzuentwickeln.

Erhalten Sie eine Lösung genau für Ihre Anforderungen

BAIT Themenwelt

VAIT Themenwelt

CSSF Circular 20/750

Im Fokus: EBA Guidelines on ICT and security risk management

Die zunehmende Digitalisierung des Finanzsektors – sowohl intern als auch nach außen im Kunden- und Mandantenkontakt – führt dazu, dass die Anforderungen, die europäische Finanzregulatoren an Finanz-, Fonds,- Banken- und Versicherungswirtschaft stellen, seit Jahren nur eine Richtung kennen. Operative IT-Sicherheit und das dazugehörige Risikomanagement werden regulatorisch immer stärker gewichtet.

Maßgeblich sind aktuell auf europäischer Ebene die „Guidelines on ICT and security risk management“ der EBA in der Version EBA/GL/2019/04 sowie verwandte Regularien wie die „Guidelines on outsourcing arrangements“ (EBA/GL/2019/02).

Regulatorische Entwicklung in Deutschland und Luxemburg

Sowohl die zuständige Behörde in Deutschland – die BaFin – als auch die luxemburgische CSSF haben auf die aktualisierten EBA Guidelines reagiert und die jeweils gültigen nationalen Richtlinien entsprechend angepasst.

  • In Deutschland erfolgte dies 2021 durch die Aktualisierung der BAIT (und VAIT) durch Novellen, in denen BAIT und VAIT außerdem näher zusammengeführt wurden.

  • In Luxemburg veröffentlichte die CSSF 2020 das CSSF Circular 20/750, das die überarbeiteten EBA Guidelines implementiert.

Für die Betrachtung und Steuerung der Informationssicherheitsrisiken ist ein vollständiger Überblick nicht nur auf die IT-Ressourcen, sondern den gesamten Informationsverbund der Organisation erforderlich. Das Schaffen dieser Perspektive setzt die Zusammenführung von Informationen und Abhängigkeiten über Infrastruktur, Daten, Systeme und IT-Komponenten und deren Auswirkungen auf relevante Geschäftsprozessen voraus. Dieser Vorgang steht damit besonders im Fokus von Aufsicht und Prüfern.

Fordern Sie unsere Whitepaper an

In unseren Whitepapern rund um die Themen ISMS Einführung, ICT Risk, IT-Sicherheitsgesetz und alle hier relevanten Neuerungen erhalten Sie nicht nur einen Überblick über die Thematik und die Anforderungen an Ihre Organisation, sondern bleiben auch auf dem neusten Stand bezüglich aller Änderungen und Entwicklungen.

Im Fokus: Notfallmanagement

Diverse, immer dramatischere Sicherheitsvorfälle sowie zuletzt die COVID-19 Pandemie haben die Bedeutung des Business Continuity Managements (BCM) und insbesondere des IT-Notfallmanagement verdeutlicht. Schon 2019 hat die EBA auf europäischer Ebene daher die Anforderungen an das Notfallmanagement deutlich verschärft.

In Deutschland wurden zuvor entsprechende Anforderungen eher wenig konkret durch die Mindestanforderungen an das Risikomanagement (MaRisk) beschrieben. Die BAIT in der Novelle 2021 hat die erweiterten europäischen Richtlinien umgesetzt und die in Deutschland geltenden Anforderungen so deutlich konkretisiert.

Auch in Luxemburg enthält das aktualisierte CSSF Circular 20/750 die erweiterten Anforderungen an das Notfallmanagement.

Relevante Standards

Der am 1. IT-Grundschutz Tag 2021 des Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgestellte Community Draft des neuen BSI-Standards 200-4 sowie die ISO 22301 sind gängige und geeignete nationale und internationale Standards für BCM und Notfallmanagement.

Unter anderem diese Standards sind daher mit der Athereon GRC Business Continuity Management (BCM) Lösung abbildbar, um den aktuellen regulatorischen Anforderungen gerecht zu werden. Mit Athereon BCM kann Ihre Organisation notfallrelevante Prozesse und Ressourcen identifizieren, Vorkehrungen zur Sicherstellung des Geschäftsbetriebes beim Eintritt eines Notfalls treffen sowie Verfahren zur regelmäßigen Übung der definierten Vorkehrungen festlegen.

Erfüllen Sie nationale und europäische Anforderungen mit Athereon GRC

Unsere Geamtlösungspakete BAIT-as-a-Service, VAIT-as-a-Service sowie unserer Lösungspaket zum CSSF Circular 20/750 begleiten Sie vom Projektstart bis zur Auditierung und Abschlüssprüfung mit unserer einzigartigen Kombination aus Expertise, Software & Support aus einer Hand.

Unsere spezialisierten Werkzeuge dienen nicht lediglich zur Dokumentation Ihres Managementsystems, sondern bilden einen integralen Bestandteil Ihres ISMS und BCM:

Die institutsweite Einführung der Plattform für die abteilungsübergreifende Kollaboration, die einfache und regularienkonforme Verteilung von Informationen, das automatisierte MaRisk-konforme Berichtwesen und viele weitere Funktionalitäten ermöglichen Ihnen, durch eine signifikante Komplexitätsreduktion den Beratungsaufwand signifikant zu senken und so die regulatorischen Anforderungen effizient und ressourcenschonend zu erfüllen.