Kategorie: Regulatorik

Bleiben Sie auf dem Laufenden - der Regulatorik RSS-Feed

IT-Regulatorik Update – Konsultation der Neufassungen der BAIT und MaRisk

Am 26. Oktober 2020 hat die Bundesanstalt f├╝r Finanzdienstleistungsaufsicht (BaFin) die Entw├╝rfe der Novellen der Bankaufsichtlichen Anforderungen an die IT (BAIT) sowie der Mindestanforderungen an das Risikomanagement (MaRisk) in ein ├Âffentliches Konsultationsverfahren ├╝berf├╝hrt. Stellungnahmen zu den Entw├╝rfen, die der Deutschen Bundesbank sowie der BaFin bis zum 23. November 2020 (BAIT) bzw. 4.Dezember 2020 (MaRisk) schriftlich mitgeteilt werden konnten, werden auf den jeweiligen Websites ver├Âffentlicht. Eine Ver├Âffentlichung der Novellen in der finalen Fassung im 1. Quartal 2021 nach Abschluss des Konsultationsverfahrens ist wahrscheinlich.

Aufbau und Nutzen eines Datenschutzmanagementsystems

Mit der Datenschutzgrundverordnung (DSGVO) sind umfassende Anforderungen rund um die Verarbeitung personenbezogener Daten definiert worden. Verantwortlich f├╝r die Umsetzung eines angemessenen Datenschutzniveaus ist die Unternehmensleitung und nicht ÔÇô wie mancherorts auch heute noch erwartet – der Datenschutzbeauftragte. Letzter hat im Sinne der DSGVO neben der Beratung der Unternehmensleitung u.a. die ├ťberwachung der eingerichteten Ma├čnahmen zur Einhaltung der DSGVO als Aufgabe.

Obwohl die Datenschutzgrundverordnung den Aufbau eines strukturierten Datenschutzmanagementsystems (DSMS) u.a. zur Erf├╝llung der Rechenschaftspflicht nahelegt, sind die konkreten Anforderungen an die Ausgestaltung eines solchen DSMS vom Gesetzgeber und den Aufsichtsbeh├Ârden bisher nicht weiter spezifiziert. Trotzdem ist der Aufbau eines DSMS ein lohnendes Investment, da gem. DSGVO die vom Unternehmen ergriffenen Ma├čnahmen bei der Sanktionierung angerechnet werden und somit ein wirksames Datenschutzmanagement neben Reputationsrisiken auch Bu├čgeldrisiken sowie die Eintrittswahrscheinlichkeit f├╝r Datenschutzverletzungen reduzieren kann.

Balance zwischen Flexibilit├Ąt und Ordnungsm├Ą├čigkeit im Umgang mit IDV

Umgang mit individueller Datenverarbeitung (IDV) – Der Hintergrund

Die klassische IT-Landschaft der Kredit- und Finanzdienstleistungsinstitute ist durch standardisierte Kernanwendungen bestimmt. Zur Unterst├╝tzung der Prozessabl├Ąufe in den Fachbereichen werden dar├╝ber hinaus unterschiedliche IDV-Anwendungen (z.B. auf der Basis von MS-Office-Anwendungen) eingesetzt. Diese Anwendungen beinhalten teilweise umfangreiche Funktionalit├Ąten und werden von den Fachbereichen selbstst├Ąndig entwickelt und betrieben.

Der Einsatz von IDV wird reguliert und muss die regulatorischen Mindestanforderungen zur Integrit├Ąt, Verf├╝gbarkeit, Authentizit├Ąt sowie Vertraulichkeit erf├╝llen.

IDW ver├Âffentlicht neue Pr├╝fungshinweise

In der Mai und Juni Ausgabe seiner Mitgliederzeitschrift hat das Institut der Wirtschaftspr├╝fer (IDW) je einen Pr├╝fungshinweis ver├Âffentlicht, welche den Pr├╝fungsstandard IDW PS 860 konkretisieren. Der Pr├╝fungsstandard regelt die Grunds├Ątze und Vorgehensweisen nach denen IT-Pr├╝fungen au├čerhalb der Abschlusspr├╝fung durchzuf├╝hren sind. Er korrespondiert dabei mit dem internationalen ÔÇ×International Standard on Assurance Engagements (ISAE) 3000 (Revised)ÔÇť.

Covid-19-Update: Anforderungen des SWIFT Customer Security Programme (CSP) in 2020

Covid-19-Update

Aufgrund der Covid-19 Pandemie hat SWIFT die Zeitpl├Ąne f├╝r die Attestierung des Customer Security Controls Framework (CSCF) ├╝berarbeitet. F├╝r 2020 ist eine Selbstzertifizierung in Bezug auf das SWIFT CSCF in der Version v2019 f├╝r alle SWIFT-Nutzer ausreichend, SWIFT empfiehlt jedoch aufgrund der Klarstellungen zu den Kontrollen die Version v2020 zu nutzen.

Das von SWIFT gem├Ą├č ÔÇťIndependent Assessment FrameworkÔÇŁ vorgeschriebene unabh├Ąngige interne oder externe Assessment (ÔÇťCommunity Standard AssessmentÔÇŁ) verschiebt sich in das Jahr 2021 und wird auf Basis der Kontrollen des SWIFT CSCF in der Version v2021 durchzuf├╝hren sein. Insofern empfiehlt sich dennoch eine fr├╝hzeitige Auseinandersetzung mit den zugeh├Ârigen Kontrollen (bspw. mittels Health Check/ Gap Analyse), um f├╝r das unabh├Ąngige Assessment gewappnet zu sein.

Dar├╝ber hinaus regt SWIFT seine Nutzer nach M├Âglichkeit dazu an, bereits im aktuellen Jahr 2020 ein unabh├Ąngiges Assessment durchzuf├╝hren.

Gerne unterst├╝tzen wir mit einem Health Check zur Vorbereitung auf entsprechende Assessments, oder nat├╝rlich auch bei der Attestierung der SWIFT CSCF Kontrollen mit unserem etablierten Verfahren auf Basis von ISAE-Standards.

Die PSD 2 Richtlinie und ihre Anforderungen

Mit der Verabschiedung der zweiten Zahlungsdiensterichtlinie (PSD 2) ist eine Art ÔÇ×GrundgesetzÔÇť f├╝r den EU-Zahlungsverkehrsmarkt in Kraft getreten. Erg├Ąnzt um diverse delegierte Rechtsverordnungen durch 2nd-Level (RTS/ITS) und 3rd-Level Dokumente (Guidelines) sind vielf├Ąltige Anforderungen definiert worden. Die neuen Anforderungen erweitern u.a. den Zahlungsdienstebegriff sowie den Anwendungsbereich und haben Auswirkungen auf bestehende Prozesse, wie die Vorfall├╝berwachung, -meldung oder operative Sicherheitsma├čnahmen. Die Anforderungen bedingen ebenso die Gestaltung neuer Prozesse, wie die Nutzung starker Kundenauthentifizierung bei bestimmten Transaktionen oder die Bereitstellung des Kontozugangs f├╝r Dritte nach Kundeneinwilligung.