Der Finanzstabilitätsrat FSB hat am 19. Oktober einen Bericht über den Umgang mit Cybervorfällen veröffentlicht (Effective Practices for Cyber Incident Response and Recovery). Die Corona-Pandemie und damit verbundene Cyberaktivitäten hätten noch einmal betont, wie bedeutsam die Resilienz gegen Cyberrisiken sei. Auch stellen beispielsweise vermehrte Remote-Zugänge zu den Arbeitsplätzen aus FSB-Sicht eine neue Herausforderung für Finanzinstitutionen dar.
Der Bericht versteht sich als Werkzeugkasten (Toolkit) und besteht im Wesentlichen aus 49 Handlungsempfehlungen, wie Betroffene auf Cybervorfälle reagieren sollen, um ihre Handlungsfähigkeit wiederherzustellen. Dies umfasst die Bereiche Governance, Planung und Vorbereitung, Analyse, Begrenzung und Eindämmung (Mitigation), Wiederherstellung (Restoration and Recovery), Koordinierung und Kommunikation sowie Verbesserung. Sie richten sich an Finanzinstitutionen, aber auch an die Aufsichtsbehörden. Finanzinstitutionen sollten laut Punkt 37 beispielsweise eigene Leitlinien entwickeln, um die nationalen Meldeverpflichtungen frist- und formgerecht erfüllen zu können. In Deutschland verlangt § 54 Satz 1 Zahlungsdiensteaufsichtsgesetz (ZAG) von Zahlungsdienstleistern, die BaFin unverzüglich über einen schwerwiegenden Betriebs- oder Sicherheitsvorfall zu unterrichten.
Dieser Bericht fügt sich ein in eine Reihe von bereits mehreren Veröffentlichungen zur Resilienz des Finanzsektors gegenüber Cyberrisiken. Hervorzuheben ist hier insbesondere das 2018 vom FSB entwickelte Cyber-Lexikon.
Die BaFin begrüßt die Aufmerksamkeit für Cybergefahren, die der FSB mit seinem Report schafft. Sie selbst nimmt regelmäßig zum Thema Stellung (siehe BaFinJournal August 2020) und hat bereits in den bankaufsichtlichen, den versicherungsaufsichtlichen und den kapitalverwaltungsaufsichtlichen Anforderungen an die IT ihre Erwartungen an den Finanzsektor geäußert.
Kommentar hinterlassen