IKT-Risiken und Bankenaufsichtsrecht

"Die Informations- und Kommunikationstechnologie (IKT) von Banken bildet heutzutage deren Rückgrat und Geschäftsgrundlage. Ein Ausfall der IKT hat gravierende negative Auswirkungen auf die Geschäftstätigkeit einer Bank. Mit der zunehmenden Digitalisierung und Vernetzung der IKT in der Bankenbranche ist das Bedrohungspotenzial für IKT-Ausfälle stetig gestiegen. Jüngere Beispiele von schweren IT-Sicherheitsvorfällen verdeutlichen die Relevanz einer resilienten IKT – auch in der Banken- bzw. Finanzbranche. Dies hat der europäische Gesetzgeber erkannt und mit dem Digital Operational Resilience Act (DORA) einen Großteil der Unternehmen in der Finanzbranche verpflichtet, bis 2025 ein umfassendes IKT-Risikomanagement-Rahmenwerk, ein Meldewesen für schwerwiegende IKT-bezogene Vorfälle sowie ein Rahmenwerk zur Überwachung von IKT-Drittdienstleistern einzurichten. Ziel des DORA ist es, ein harmonisiertes Single Rulebook zur Stärkung der digitalen operationalen Resilienz des gesamten europäischen Finanzsektors zu schaffen."

Ausgehend von dieser Feststellung im Vorwort geht es dem Autorentrio Gerd Waschbusch, Inhaber des Lehrstuhls für Betriebswirtschaftslehre, insb. Bankbetriebslehre der Uni des Saarlandes und seinen Wissenschaftlichen Mitarbeitern, Ben Schlenker und Sabrina Kiszka, im vorliegenden Buch vor allem darum, die neuen EU-weiten Anforderungen an das Management von IKT-Risiken in Banken gemäß DORA zu analysieren. Hierzu gliedert sich das Werk in fünf Kapitel. Im Anschluss an Kapitel 1, das in die Problemstellung, Zielsetzung und Aufbau der Arbeit einführt und vor dem Kapitel 5, das die wesentlichen Ergebnisse zusammenfasst und perspektivisch beurteilt, werden die folgenden Themenbereiche behandelt:

• Kapitel 2 legt zuerst die Grundlagen der bankbetrieblichen Risiken dar. Dabei werden der Begriff "Risiko" geklärt, die bankbetrieblichen Risiken kategorisiert und vor allem die operationellen Risiken von Kreditinstituten, einschließlich des IT-Risikos, systematisiert. Abschließend werden die unterschiedlichen Schutzziele in Bezug auf (die Sicherheit von) IT(-Systeme(n)), Daten und Informationen vorgestellt.
• Kapitel 3, der erste Schwerpunkt, widmet sich den bestehenden regulatorischen Anforderungen an das IT-Risikomanagement. Zu den bereits geltenden Regelungen, die hier beleuchtet werden, zählen das Aktiengesetz (AktG), die Datenschutzgrundverordnung (DSGVO), verschiedene Rechtsvorschriften und Guidelines auf europäischer Ebene, das Kreditwesengesetz (KWG), die Mindestanforderungen an das Risikomanagement (MaRisk) von Banken und die Bankaufsichtlichen Anforderungen an die IT (BAIT). Auf die Letzteren wird näher eingegangen, da es sich bei diesen um die zurzeit zentrale nationale (Rechts-)Grundlage für die Anforderungen an die IT und das IT-Risikomanagement handelt. Es werden die folgenden Aspekte bzw. Module des BAIT thematisiert: IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, operative Informationssicherheit, Identitäts- und Rechtemanagement, IT-Projekte und Anwendungsentwicklung, IT-Betrieb, Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen, IT-Notfallmanagement, Management der Beziehungen mit Zahlungsdienstnutzern sowie kritische Infrastrukturen.
• Kapitel 4 setzt sich zuerst mit dem Verhältnis zwischen dem DORA und der gleichzeitig verabschiedeten überarbeiteten Richtlinie zur Netz- und Informationssicherheit (NIS-2-RL) auseinander. Danach folgt eine ausführliche Erläuterung der ab dem Jahr 2025 gelten Anforderungen an das IKT-Risikomanagement gemäß dem DORA. Im Einzelnen geht es u.a. um das IKT-Risikomanagement (Governance und Organisation, IKT-Risikomanagementrahmen, technische Regulierungsstandards und vereinfachter IKT-Risikomanagementrahmen), die Behandlung, Klassifizierung, und Berichterstattung IKT-bezogener Vorfälle, das Testen der digitalen operationellen Resilienz sowie das Management des IKT-Drittparteienrisikos. Mit einem Überblick über die Anforderungen an den Einsatz von KI gemäß der geplanten europäischen KI-Verordnung (KI-VO) wird der zweite Schwerpunkt abgerundet.

"Um die IT-Compliance mit den … zahlreichen gesetzlichen Vorschriften und ein angemessenes Maß an Informationssicherheit zu gewährleisten, sollten die Banken die einzurichtenden Risikomanagementsysteme in einem umfassenden Managementsystem zusammenführen. Dabei müssen die (teilweise systemischen) IT-Risiken mindestens mit der gleichen Sorgfalt gesteuert werden, wie die "traditionellen" Risiken der bankbetrieblichen Tätigkeit." Mit diesem Postulat der drei Experten wird das Werk, welches als Band 60 der Reihe "Wettbewerb und Regulierung von Märkten und Unternehmen" erschienen ist, abgeschlossen.

Das Buch richtet sich in erster Linie an Leser, die sich umfassend und grundlegend mit dem Thema der Regulierung der Informationssicherheit bzw. digitalen Resilienz in der Finanzbranche auseinandersetzen wollen. Zudem kann es auch Lehrenden und Studierenden an Hochschulen und Akademien, die sich mit dem Finanzaufsichtsrecht in Verbindung mit Informationssicherheitsaspekten befassen, zur Lektüre empfohlen werden.