IKT-Risiken und Bankenaufsichtsrecht

Management von IKT-Risiken in Banken gemäss neuen regulatorischen Anforderungen

"Die Informations- und Kommunikationstechnologie (IKT) von Banken bildet heutzutage deren Rückgrat und Geschäftsgrundlage. Ein Ausfall der IKT hat gravierende negative Auswirkungen auf die Geschäftstätigkeit einer Bank. Mit der zunehmenden Digitalisierung und Vernetzung der IKT in der Bankenbranche ist das Bedrohungspotenzial für IKT-Ausfälle stetig gestiegen. Jüngere Beispiele von schweren IT-Sicherheitsvorfällen verdeutlichen die Relevanz einer resilienten IKT – auch in der Banken- bzw. Finanzbranche. Dies hat der europäische Gesetzgeber erkannt und mit dem Digital Operational Resilience Act (DORA) einen Großteil der Unternehmen in der Finanzbranche verpflichtet, bis 2025 ein umfassendes IKT-Risikomanagement-Rahmenwerk, ein Meldewesen für schwerwiegende IKT-bezogene Vorfälle sowie ein Rahmenwerk zur Überwachung von IKT-Drittdienstleistern einzurichten. Ziel des DORA ist es, ein harmonisiertes Single Rulebook zur Stärkung der digitalen operationalen Resilienz des gesamten europäischen Finanzsektors zu schaffen."

Ausgehend von dieser Feststellung im Vorwort geht es dem Autorentrio Gerd Waschbusch, Inhaber des Lehrstuhls für Betriebswirtschaftslehre, insb. Bankbetriebslehre der Uni des Saarlandes und seinen Wissenschaftlichen Mitarbeitern, Ben Schlenker und Sabrina Kiszka, im vorliegenden Buch vor allem darum, die neuen EU-weiten Anforderungen an das Management von IKT-Risiken in Banken gemäß DORA zu analysieren. Hierzu gliedert sich das Werk in fünf Kapitel. Im Anschluss an Kapitel 1, das in die Problemstellung, Zielsetzung und Aufbau der Arbeit einführt und vor dem Kapitel 5, das die wesentlichen Ergebnisse zusammenfasst und perspektivisch beurteilt, werden die folgenden Themenbereiche behandelt:

  • Kapitel 2 legt zuerst die Grundlagen der bankbetrieblichen Risiken dar. Dabei werden der Begriff "Risiko" geklärt, die bankbetrieblichen Risiken kategorisiert und vor allem die operationellen Risiken von Kreditinstituten, einschließlich des IT-Risikos, systematisiert. Abschließend werden die unterschiedlichen Schutzziele in Bezug auf (die Sicherheit von) IT(-Systeme(n)), Daten und Informationen vorgestellt.
  • Kapitel 3, der erste Schwerpunkt, widmet sich den bestehenden regulatorischen Anforderungen an das IT-Risikomanagement. Zu den bereits geltenden Regelungen, die hier beleuchtet werden, zählen das Aktiengesetz (AktG), die Datenschutzgrundverordnung (DSGVO), verschiedene Rechtsvorschriften und Guidelines auf europäischer Ebene, das Kreditwesengesetz (KWG), die Mindestanforderungen an das Risikomanagement (MaRisk) von Banken und die Bankaufsichtlichen Anforderungen an die IT (BAIT). Auf die Letzteren wird näher eingegangen, da es sich bei diesen um die zurzeit zentrale nationale (Rechts-)Grundlage für die Anforderungen an die IT und das IT-Risikomanagement handelt. Es werden die folgenden Aspekte bzw. Module des BAIT thematisiert: IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, operative Informationssicherheit, Identitäts- und Rechtemanagement, IT-Projekte und Anwendungsentwicklung, IT-Betrieb, Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen, IT-Notfallmanagement, Management der Beziehungen mit Zahlungsdienstnutzern sowie kritische Infrastrukturen.
  • Kapitel 4 setzt sich zuerst mit dem Verhältnis zwischen dem DORA und der gleichzeitig verabschiedeten überarbeiteten Richtlinie zur Netz- und Informationssicherheit (NIS-2-RL) auseinander. Danach folgt eine ausführliche Erläuterung der ab dem Jahr 2025 gelten Anforderungen an das IKT-Risikomanagement gemäß dem DORA. Im Einzelnen geht es u.a. um das IKT-Risikomanagement (Governance und Organisation, IKT-Risikomanagementrahmen, technische Regulierungsstandards und vereinfachter IKT-Risikomanagementrahmen), die Behandlung, Klassifizierung, und Berichterstattung IKT-bezogener Vorfälle, das Testen der digitalen operationellen Resilienz sowie das Management des IKT-Drittparteienrisikos. Mit einem Überblick über die Anforderungen an den Einsatz von KI gemäß der geplanten europäischen KI-Verordnung (KI-VO) wird der zweite Schwerpunkt abgerundet.

"Um die IT-Compliance mit den … zahlreichen gesetzlichen Vorschriften und ein angemessenes Maß an Informationssicherheit zu gewährleisten, sollten die Banken die einzurichtenden Risikomanagementsysteme in einem umfassenden Managementsystem zusammenführen. Dabei müssen die (teilweise systemischen) IT-Risiken mindestens mit der gleichen Sorgfalt gesteuert werden, wie die "traditionellen" Risiken der bankbetrieblichen Tätigkeit." Mit diesem Postulat der drei Experten wird das Werk, welches als Band 60 der Reihe "Wettbewerb und Regulierung von Märkten und Unternehmen" erschienen ist, abgeschlossen.

Das Buch richtet sich in erster Linie an Leser, die sich umfassend und grundlegend mit dem Thema der Regulierung der Informationssicherheit bzw. digitalen Resilienz in der Finanzbranche auseinandersetzen wollen. Zudem kann es auch Lehrenden und Studierenden an Hochschulen und Akademien, die sich mit dem Finanzaufsichtsrecht in Verbindung mit Informationssicherheitsaspekten befassen, zur Lektüre empfohlen werden.

IKT-Risiken und Bankenaufsichtsrecht
IKT-Risiken und Bankenaufsichtsrecht
Eine Analyse der regulatorischen Anforderungen an das IKT-Risikomanagement in Banken unter besonderer Berücksichtigung der BAIT und des DORA
193 Seiten, broschiert
Nomos 2023
EAN 978-3756013678

Schuldig bei Verdacht?

Mathias Brodkorb ermutigt zu einer kritischen Reflexion über die Verfassung und ihre möglichen Feinde, mehr noch aber über die "politische Behörde", die dem Verfassungsschutz dienen soll.

Gesinnungspolizei im Rechtsstaat?

Finanzierungsprobleme lösen

Die Aufgaben spiegeln eine Fülle praxisnaher Anwen­dungen wider und bieten Studierenden und Praktikern zahl­reiche Anhaltspunkte zur Lösung von Finanzierungsproblemen.

Finanzierung in Übungen

IT-gestütztes Controlling in KMU etablieren

Empfehlenswertes Buch über IT-gestütztes Controlling für KMU, das zahlreiche innovative Lösungen aufzeigt.

IT-gestütztes Controlling für Klein- und Mittelbetriebe

Bankenaufsicht und -regulierung geht uns alle an

Dieses Werk setzt sich fundiert und kritisch mit der Bankenaufsicht auseinander, besticht durch hohe Aktualität und Praxisbezug und zeichnet sich durch eine gut verständliche Sprache aus.

Basiswissen Bankenaufsicht

Best Practice in E-Commerce

Gerrit Heinemann, ausgewiesener Experte im Digital Commerce, zeigt auf, welche Strategien und Faktoren über Erfolg im E-Commerce entscheiden.

Der neue Online-Handel

Praxisratgeber Wirtschaftsausschuss

Das Buch begleitet den Leser durch wichtige Etappen der Beratung mit dem Wirtschaftsausschuss und stellt eine verlässliche Stütze für maßgebliche Praxisentscheidungen dar.

Beratungen im Wirtschaftsausschuss