IKT-SicherheitMindeststandards der FMASeit Mai 2018 veröffentlicht die FMA Leitfäden zur Informations- und Kommunikationstechnologie-Sicherheit – teilweise basierend auf den EBA-Leitlinien für die IKT-Risikobewertung im Rahmen des SREP und konkretisiert grundlegende Anforderungen für Kredit-, Zahlungs- und E-Geldinstitute, Wertpapierfirmen und Verwaltungsgesellschaften Die FMA bietet mit den vorliegenden Leitfäden eine Orientierungshilfe zu Ausgestaltung, Anforderungen und Vorkehrungen an die IKT-Sicherheit. Es werden die folgenden Themen behandelt:

• IKT-Strategie

• IKT-Governance

• Sicherheitsrichtlinien

• Informationsrisiko- und sicherheitsmanagement/Cyber-Sicherheit

• Benutzerberechtigungen

• IKT-Projekte, Anwendungsentwicklung und zugekaufte Software

• IKT-Betrieb und Datenintegrität

• IKT-Auslagerungen

• Verfügbarkeit und Kontinuität/Notfallmanagement

Festgestellte Mängel in der IKT-Sicherheit können sich bei Kreditinstituten auf den SREP-Score auswirken. Anforderungen an das IKT-Management

• Einrichtung detaillierter Prozess- und Führungsstrukturen der IKT-Landschaft

• Festlegung der strategischen Entwicklung, des IKT-Aufbaus und der IKT-Ablauforganisation inkl. der IKT-Zielarchitektur

• Implementierung eines zyklischen Prozesses zur Identifikation und Beseitigung von Schwachstellen

• Festlegung und Dokumentation von regelmäßigen Penetrationstests & Virenscans

• Erstellung einer zentralen Informationssicherheitsrichtlinie sowie genauer themenspezifischer Richtlinien

Ihre Ansprechpartner

Alexander Ruzicka+43 1 537 00-7950aruzicka@deloitte.at

Erika Singer+43 1 537 00-5465esinger@deloitte.at

www.deloitte.at/risk

Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited, eine "UK private company limited by guarantee" („DTTL“), deren Netzwerk von Mitgliedsunternehmen und deren verbundenen Unternehmen. DTTL und jedes ihrer Mitgliedsunternehmen sind rechtlich selbstständige und unabhängige Unternehmen. DTTL (auch "Deloitte Global" genannt) erbringt keine Dienstleistungen für Kunden. Unter www.deloitte.com/about finden Sie eine detaillierte Beschreibung von DTTL und ihrer Mitgliedsunternehmen.

© 2018. Für weitere Informationen kontaktieren Sie Deloitte Financial Advisory GmbH.Gesellschaftssitz Wien | Handelsgericht Wien | FN 199744 t

2018 2019

• Entwurf eines schriftlichen Rahmenwerkes für die Minderung des Datenintegritätsrisikos

• Erstellung eines Rahmenwerkes zur Identifikation, Messung und Begrenzung des Verfügbarkeits- und Kontinuitätsrisikos

• Implementierung von Strategien und Maßnahmen zur Notfallvorsorge, -bewältigung und -nachsorge.

• Festlegung von Kriterien, was eine wesentliche IKT-Auslagerung iSd § 25 Abs 2 BWG darstellt

• Durchführung von Risikoanalysen und -bewertungen (nach jeder Änderung der Rahmenbedingungen)

Details zu den Inhalten

IKT-StrategieDie Geschäftsführung definiert und überwacht IKT-Richtlinien mit folgendem Mindestinhalt: • IKT-Zielarchitektur

• Zuständigkeiten, Rollen und Aufgaben

• Auslagerungsaspekte

• Notfallmanagement und

• Aussagen zu Eigenentwicklungen

IKT-GovernanceDie Verpflichteten implementieren Prozesse zur Identifikation, Bewertung, Steuerung und Überwachung der wesentlichen IKT-Risiken und evaluieren diese laufend. Es sind klare Abgrenzungen der Rollen und Verantwortlichkeiten für Identifikation, Beurteilung, Monitoring, Minimierung, Reporting und Beaufsichtigung der Risiken sowie eine angemessene Ressourcenausstattung vorhanden.

IKT- SicherheitsmanagementInstitute definieren die reale Betroffenheit, den Schutzbedarf und das anzustrebende Sicherheitsniveau von jenen Daten, die IKT Risiken ausgesetzt sind. Der organisatorisch unabhängige Informationssicherheitsbeauftragte überwacht die Einhaltung der Vorgaben und dient als Ansprechperson für intern und externe Dritte.

Schwachstellenmanagement/Cyber RisikoInstitute identifizieren die Schwachstellen in ihren Systemen, ergreifen Maßnahmen zur Schwachstellenbeseitigung und überprüfen regelmäßig deren Wirksamkeit (Überprüfungen des Netzwerks und des Firewall-Logging durch Penetrationstests oder Virenscanner) um den effektiven Schutz vor Schadprogrammen („Malware“), Datendiebstahl und speziell auch Cyber-Risiken zu gewährleisten.

IKT-Betrieb & DatenintegritätDer Ansatz der Ermittlung, Messung und Minderung des Datenintegrationsrisikos ist schriftlich festgehalten. Das Inventar der IKT-Komponenten wird einem Lebenszyklusmanagement unterzogen. Störungsfälle werden erfasst, bewertet und priorisiert behandelt.

NotfallmanagementEin Koordinierungsgremium, dem Personen aus verschiedenen Bereichen angehören, hilft bei der Umsetzung des Notfallmanagements. Regelmäßige Notfallübungen überprüfen, ob eine rechtzeitige Wiederherstellung nach Betriebsstörungen gewährleistet werden kann.

Implementierung & Dokumentation einer IKT-Strategie, IKT-Governance und eines institutsspezifischen IKT-Standards

Schulungen und Trainings zu ausgewählten Themen des Leitfadens, bspw. Strategie, Governance, Penetrationstesting

IKT-Gap Analyse anhand des Scoring-Systems der EBA-GL zum IKT-Risiko unter Berücksichtigung des FMA-Leitfadens

Optimierung des IKT-Risiko-Scorings durch Aufarbeitung der aufgezeigten Defizite im Rahmen der IKT – Gap Analyse

Durchführung von Security Assessments, Penetrationstests und Phishing-Prävention

Institutsspezifische Vorbereitung auf mögliche Prüfungen durch die Aufsichtsbehörde

01.01.: Inkraftreten der EBA Leitlinien für die IKT-Risikobe-wertung im Rahmen des aufsichtlichen Überprüfungs- und Bewertungsprozesses (SREP)08.05.: Veröffentlichung FMA-Leitfaden IKT-Sicherheit in Kreditinstituten

30.06.: Inkrafttreten der EBA Leitlinien zu Auslagerungsvereinbarungen

Weitere IKT-StandardsEmpfehlungen der Aufsicht:

• SO 27001: Aufbau eines Informationssicherheitssystems

• ITIL & CoBIT: IT-Service-organisation und Schnittstelle zum Risikomanagement

• BSI-Grundschutz bzw. Österr. IT-Sicherheitshandbuch: Kontrollausgestaltung zur Abwehr von Bedrohungen

Wir unterstützen Sie gerne bei