Schlagwortarchiv für: Audit

Die Network-and-Information-Security-Richtlinie 2.0-Richtlinie (NIS-2), in Kraft seit dem 16. Januar 2023, legt EU-weite Sicherheitsstandards für kritische Infrastrukturen und wesentliche Dienstleister fest, darunter Unternehmen in den Sektoren Energie, Verkehr, Finanzdienstleistungen und digitale Dienste. Sie zielt darauf ab, die Widerstandsfähigkeit gegenüber Cyberangriffen zu stärken und die Reaktionsfähigkeit im Falle von Sicherheitsvorfällen zu verbessern, indem sie klare Anforderungen an das Risikomanagement und das Reporting von Sicherheitsvorfällen stellt.

Was ist DORA?

DORA (Digital Operational Resilience Act) konzentriert sich auf den Finanzsektor und zielt darauf ab, die Widerstandsfähigkeit gegenüber Cyber-Angriffen, wie zum Beispiel Denial-of-Service-Attacken, sicherzustellen. Es fasst die Leitlinien der Europäischen Bankenaufsicht in einem kompakten Rahmenwerk zusammen, um die Cyber-Sicherheit in diesem Sektor zu verbessern.

Was sind die Gemeinsamkeiten von NIS-2 und DORA?

Sowohl NIS-2 als auch DORA zielen darauf ab, die Cybersicherheit in Unternehmen zu verbessern und die Risiken im Zusammenhang mit der Nutzung von Informations- und Kommunikationstechnologie (IKT) zu adressieren.

Sie legen Anforderungen an Finanzdienstleister fest und fordern Maßnahmen wie Risikobewertungen, die auch Lieferketten umfassen, um die Sicherheit zu gewährleisten.

Beide betonen die Bedeutung der Einbeziehung von Software-Zulieferern in das Risikomanagement und die Sicherheitsüberprüfungen. Während DORA auf regelmäßige Penetrationstests und Sicherheitsüberprüfungen alle drei Jahre abzielt, erfordert NIS-2 zumindest in Deutschland alle zwei Jahre ein Sicherheitsaudit.

Darüber hinaus sehen beide Vorschriften Strafen vor, die sowohl für Unternehmen als auch für leitende Personen wie das Top-Management und die Geschäftsführung gelten, falls die Anforderungen nicht erfüllt werden. Diese Strafen richten sich entweder nach dem Jahresumsatz des Unternehmens oder einer festgelegten Summe, ähnlich den Sanktionen in der Datenschutzgrundverordnung.

Worin unterscheiden sich NIS-2 und DORA?

NIS-2 und DORA weisen trotz einiger Gemeinsamkeiten grundlegende Unterschiede auf.

Während NIS-2 darauf abzielt, die Cybersicherheit EU-weit zu harmonisieren und den Informationsaustausch nach Angriffen zu verbessern, konzentriert sich DORA hauptsächlich auf die Aufrechterhaltung der Betriebsstabilität im Finanzsektor.

NIS-2 legt grobe Anforderungen an das Risikomanagement und das Reporting fest, während DORA konkretere Maßnahmen wie Penetrationstests und Sicherheitsaudits vorschreibt, um die Funktionsfähigkeit trotz erfolgreicher Angriffe sicherzustellen.

Die Klärung der Zuständigkeiten bleibt eine Herausforderung, da für NIS-2 die Prüfkompetenz in Deutschland beim BSI bzw. der BaFin liegt, während Artikel 46 von DORA eine Reihe von Behörden vorsieht, die die Einhaltung der Vorschriften sicherstellen sollen, darunter die EZB und möglicherweise auch die BaFin.

Welche Norm ist anzuwenden, wenn Sie sowohl von NIS-2 als auch DORA betroffen sind?

Wenn ein Unternehmen sowohl von NIS-2 als auch von DORA betroffen ist, hat DORA Vorrang. Dies liegt daran, dass DORA speziell auf den Finanzsektor zugeschnitten ist und spezifischere Anforderungen festlegt.

In Fällen, in denen NIS-2 Bereiche reguliert, die nicht von DORA abgedeckt sind, muss jedoch auch NIS-2 berücksichtigt werden.

Sollte auch DORA betrachtet werden, wenn unser Unternehmen nur NIS-2 unterliegt?

Auch wenn Ihr Unternehmen nur NIS-2 unterliegt, kann es sinnvoll sein, sich mit den spezifischeren Anforderungen von DORA vertraut zu machen. Diese können als Referenz dienen, um einen umfassenderen Überblick darüber zu erhalten, wie Ihr Unternehmen im Vergleich zu den strengeren Anforderungen von DORA aufgestellt ist. Auf diese Weise können potenzielle Lücken oder Bereiche identifiziert werden, in denen zusätzliche Maßnahmen erforderlich sind, um die Anforderungen von NIS-2 zu erfüllen.

Bis wann haben die Unternehmen Zeit, die Vorgaben umzusetzen?

Die Umsetzungsfrist für die NIS-2-Richtlinie endet im Oktober 2024, nachdem es im Januar 2023 in Kraft getreten ist.

Der Digital Operational Resiliance Act (DORA) ist eine Verordnung, d.h. ein direkt gültiges, europäisches Gesetz, und tritt 2025 in den Mitgliedsstaaten unmittelbar und unverändert in Kraft.

Fazit: Die Kritik an NIS-2 und DORA?

Die Cyber-Sicherheit ist in der heutigen digitalen Welt von entscheidender Bedeutung, insbesondere für Unternehmen im Finanzsektor. Um dieser wachsenden Bedrohung gerecht zu werden, hat die EU Regularien wie den Digital Operational Resilience Act (DORA) und die Network and Information Security 2 (NIS-2) eingeführt. Diese sollen die Resilienz stärken und die Betriebsstabilität im Finanzsektor sicherstellen. Doch das Nebeneinander dieser beiden Regularien wirft einige Herausforderungen auf.

Das gleichzeitige Bestehen von DORA und NIS-2 könnte zu einem erhöhten bürokratischen Aufwand führen. Unternehmen sehen sich möglicherweise mit unterschiedlichen Anforderungen und Prüfverfahren konfrontiert, was die Umsetzung erschweren könnte. Diese Situation birgt die Gefahr eines Audit-Chaos, da Unternehmen Schwierigkeiten haben könnten, die Anforderungen beider Regularien effizient zu erfüllen.

Es ist wichtig, dass die Regulierungsbehörden und betroffene Parteien, die die verschiedenen Gesetze und Richtlinien ausarbeiten, enger zusammenarbeiten, um Redundanzen zu vermeiden, die Zusammenarbeit zu verbessern und klare Leitlinien für die Umsetzung der Regularien bereitzustellen. Durch eine effiziente Koordination, mehr Abstimmung und klare Kommunikation zwischen den einzelnen Mitgliedsstaaten der europäischen Union kann das Risiko eines Audit-Chaos minimiert werden und die Effektivität der Cybersicherheitsmaßnahmen im Finanzsektor gestärkt werden.

Insgesamt ist es entscheidend, dass alle Beteiligten sich der Herausforderungen bewusst sind und gemeinsam daran arbeiten, Wege zu finden, um das Nebeneinander von DORA und NIS-2 im Finanzsektor der EU erfolgreich zu bewältigen.

Wie kann iAP dabei unterstützen?

Mit rechtzeitigen Änderungen bei der physischen Sicherheit in Ihrer Organisation können Sie sich schon früh für NIS-2 bzw. DORA wappnen. Wir bieten langjährige Erfahrung im KRITIS-Bereich und im Finanzsektor, um Sie bei der Vorbereitung und Einhaltung dieser Vorschriften zu unterstützen.

DORA steht für “Digital Operational Resilience Act” und ist eine EU-Verordnung, die darauf abzielt, die digitale Betriebsfähigkeit und Widerstandsfähigkeit von Unternehmen im Finanzsektor zu stärken. Diese Verordnung wurde erstmals im September 2020 von der Europäischen Kommission vorgeschlagen und hat das Ziel, den Umgang mit Informations- und Kommunikationstechnologierisiken (IKT-Risiken) im Finanzdienstleistungssektor zu verbessern.

Die Verordnung wurde im November 2022 offiziell vom Rat der Europäischen Union und dem Europäischen Parlament angenommen. DORA gilt für eine Vielzahl von Finanzinstituten, darunter Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und weitere. Auch Unternehmen, die kritische IKT-Dienstleistungen für den Finanzsektor erbringen, fallen unter den Anwendungsbereich von DORA.

Die Umsetzung von DORA erfolgt schrittweise. Obwohl die Verordnung bereits in Kraft ist, wird ihre Anwendung erst ab dem 17. Januar 2025 wirksam. Dies gibt den betroffenen Unternehmen Zeit, die notwendigen Anpassungen vorzunehmen.

Die Hauptziele von DORA

  1. Umfassende Behandlung des IKT-Risikomanagements: DORA legt großen Wert auf die Einführung eines umfassenden IKT-Risikomanagements im Finanzsektor. Das beinhaltet die Identifizierung von Risiken, die Bewertung ihrer Auswirkungen auf den Geschäftsbetrieb und die Umsetzung von Maßnahmen zur Reduzierung dieser Risiken.
  2. Harmonisierung der IKT-Risikomanagementvorschriften: Vor DORA gab es in den verschiedenen EU-Mitgliedstaaten unterschiedliche Vorschriften zum IKT-Risikomanagement. DORA strebt eine Harmonisierung dieser Vorschriften an, um ein einheitliches Regelwerk zu schaffen und die Compliance für Finanzinstitute zu erleichtern.
  3. Stärkung der Resilienz des Finanzsystems: Durch die Einführung von strengen Anforderungen an die digitale Betriebsfähigkeit und Cybersicherheit zielt DORA darauf ab, die Widerstandsfähigkeit des gesamten EU-Finanzsystems gegenüber digitalen Störungen und Sicherheitsvorfällen zu stärken.
  4. Schaffung eines europaweiten Regelwerks: DORA schafft ein europaweites Regelwerk für die digitale Betriebsfähigkeit und Cybersicherheit im Finanzsektor. Dies soll dazu beitragen, regulatorische Fragmentierung zu reduzieren und gleichzeitig die Sicherheit des Finanzsektors zu gewährleisten.

Um diese Ziele zu erreichen, setzt DORA strenge Anforderungen an die betroffenen Finanzinstitute. Diese müssen sicherstellen, dass ihre IKT-Systeme robust sind, gut durchdachte Prozesse implementiert sind und klare Vereinbarungen mit IKT-Dienstleistern getroffen werden. Die Verordnung legt außerdem besonderen Wert auf das Risikomanagement von Drittanbietern und die Notwendigkeit eines effektiven Informationsaustauschs über Cyberbedrohungen zwischen den Finanzunternehmen und den Aufsichtsbehörden.

Für wen gilt DORA?

DORA (Digital Operational Resilience Act) gilt für eine breite Palette von Akteuren im Finanzsektor innerhalb der Europäischen Union. Zu den Hauptgruppen, die von DORA erfasst werden, gehören:

  1. Finanzinstitute: Dazu gehören Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Zentralverwahrer, Handelsplätze, Transaktionsregister, Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften, Datenbereitstellungsdienste, Versicherungs- und Rückversicherungsunternehmen, (Rück-)Versicherungsvermittler, Einrichtungen der betrieblichen Altersversorgung, Ratingagenturen, Schwarmfinanzierungsdienstleister und andere.
  2. IKT-Drittdienstleister: Unternehmen, die IKT-Dienstleistungen für den Finanzsektor erbringen, sind ebenfalls von DORA betroffen. Dazu gehören Cloud-Service-Anbieter, Rechenzentren und andere Unternehmen, die kritische IKT-Dienstleistungen für Finanzinstitute bereitstellen.
  3. Aufsichtsbehörden: Die Regulierung und Aufsicht über die Einhaltung von DORA obliegt den zuständigen nationalen Aufsichtsbehörden in den EU-Mitgliedstaaten. Dazu gehören beispielsweise die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) sowie die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA).
  4. Kritische IKT-Drittanbieter: Unternehmen, die als kritische IKT-Drittanbieter eingestuft werden, unterliegen ebenfalls den Bestimmungen von DORA. Die genauen Kriterien zur Bestimmung dieser kritischen Anbieter werden noch ausgearbeitet, aber sie spielen eine entscheidende Rolle im Kontext der digitalen operationellen Resilienz und werden direkt von den führenden Aufsichtsstellen der ESAs (Europäische Aufsichtsbehörden) überwacht.

Die Verordnung betrifft somit nicht nur traditionelle Finanzinstitute, sondern auch diejenigen, die entscheidende IKT-Dienstleistungen für den Finanzsektor erbringen. Dieser breite Anwendungsbereich zeigt die Absicht von DORA, sicherzustellen, dass alle relevanten Akteure im Finanzsektor die notwendigen Maßnahmen ergreifen, um die digitale Betriebsfähigkeit und Sicherheit zu gewährleisten.

Der zeitliche Ablauf von DORA

  • September 2020: Die Europäische Kommission schlägt DORA erstmals vor.
  • November 2022: Der Rat der Europäischen Union und das Europäische Parlament nehmen DORA offiziell an.
  • 2024: Die Europäische Bankenaufsichtsbehörde (EBA) stellt technische Regulierungsstandards (RTS) bereit, die verschiedene Aspekte von DORA abdecken. Dazu gehören Netzwerksicherheit, Schutzvorrichtungen gegen Eindringen und Missbrauch von Daten, Kontrollen von Zugangs- und Zugriffsrechten, Erkennung anomaler Aktivitäten, Überwachung anomalen Verhaltens, Reaktionsprozesse, IKT-Geschäftsfortführungsplanung, Überprüfung des IKT-Risikomanagementrahmens, Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, Meldungen über schwerwiegende IKT-bezogene Vorfälle und erweiterte Tests von IKT-Tools, -Systemen und -Prozessen.
    Die Europäische Kommission entwickelt einen Aufsichtsrahmen für entscheidende IKT-Anbieter.
  • Januar 2025: Die rechtliche Durchsetzung von DORA beginnt. Ab diesem Zeitpunkt können die zuständigen Behörden in den EU-Mitgliedstaaten Sicherheitsmaßnahmen verlangen, Sicherheitslücken beheben und Sanktionen gegen Finanzunternehmen verhängen, die gegen die DORA-Vorgaben verstoßen.

Wie erfolgt die Durchsetzung von DORA?

DORA sieht vor, dass die EU-Mitgliedstaaten sicherstellen, dass ihre zuständigen nationalen Behörden die Einhaltung der DORA-Anforderungen wirksam überwachen. Die Geldbußen sollen dabei “wirksam, verhältnismäßig und abschreckend” sein, wie es in Artikel 50 Absatz 3 der DORA-Verordnung festgelegt ist.

Die zuständigen Behörden können demnach Geldbußen gegen Finanzunternehmen verhängen, die gegen die DORA-Vorschriften verstoßen. Die Höhe der Geldbuße wird unter Berücksichtigung der Umstände des Einzelfalls festgelegt. Es wird betont, dass die Sanktionen angemessen und darauf ausgerichtet sein sollten, Verstöße zu beheben und zukünftige Verstöße zu verhindern.

Zusätzlich zu Geldbußen können Behörden Maßnahmen wie die Aussetzung oder Kündigung von Verträgen ergreifen.

Es ist wichtig zu beachten, dass die Durchsetzung von DORA nicht nur auf nationaler Ebene erfolgt. Kritische IKT-Drittanbieter, die als entscheidend eingestuft werden, unterliegen der direkten Aufsicht der Europäischen Aufsichtsbehörden (ESAs). Die führenden Aufsichtsstellen der ESAs können Sicherheits- und Abhilfemaßnahmen verlangen und Bußgelder gegen IKT-Anbieter verhängen, die die Vorschriften nicht einhalten. Bußgelder können bis zu 1 Prozent des durchschnittlichen weltweiten Tagesumsatzes des Anbieters im vorangegangenen Geschäftsjahr betragen. Bei anhaltenden Verstößen können Geldbußen täglich für bis zu sechs Monate verhängt werden.

Was können wir für Sie tun?

IAP verfügt als Dienstleister für Wirtschaftsprüfer im Finanzsektor über eine breite Erfahrung in der Entwicklung und Testierung von IT-bezogenen Internen Kontrollsystemen (IKS). Die immer weiterwachsende Landschaft an Anforderungen erfordert einen pragmatischen und flexiblen Ansatz, die Konformität zu diesen Anforderungen nachzuweisen.

Der zentrale Ansatz von iAP ist es für Unternehmen, ein zentrales IKS aufzubauen, aus dem alle Anforderungen heraus nachgewiesen werden können.

Folgende Pakete bieten wir Ihnen an:

  1. SOC2 IKS nach BAIT/DORA
  2. SOC2 IKS nach BSI C5/BAIT/DORA
  3. Cybersecurity Testing (Basis, Standard, Extened)
  4. IKS Aufbau – Basis, Standard, Extended
  5. Notfallmanagement- Konzept und –Testierung (BCM nach ISO22301)

Rufen Sie uns an!

 

Foto: istockphoto/Dmytro Yarmolin

 

In diesem Beitrag soll es um die Bedeutung und Auswirkungen des Digital Services Act (DSA) und des Digital Markets Act (DMA) der Europäischen Union (EU) gehen. Die beiden Gesetze wurden eingeführt, um die Aktivitäten von Anbietern digitaler Dienste zu regulieren und den Verbraucherinnen und Verbrauchern Schutz und Rechtssicherheit zu bieten. Der Beitrag wird die Hauptziele und Bestimmungen dieser Gesetze erläutern und auf ihre Bedeutung für die digitale Wirtschaft in Europa eingehen.

Digital Services Act (DSA)

Der Digital Service Act (DSA) ist eines der bedeutendsten digitalpolitischen Regelwerke in Europa. Er hat das Ziel, grundlegende Regeln für das Marktverhalten von digitalen Dienstanbietern festzulegen und den Verbrauchern Rechtsschutzmöglichkeiten zu geben.
Als EU-Verordnung wird der DSA ab dem 17. Februar 2024 unmittelbar für alle Unternehmen gelten, die ihre Vermittlungsdienste innerhalb der EU anbieten.

Was regelt der DSA?

Regulierung der Aktivitäten von Anbietern digitaler Dienste: Der DSA soll grundlegende Regeln für das Marktverhalten von Anbietern digitaler Dienste innerhalb der EU festlegen.

Rechtsschutz für Verbraucher: Der DSA zielt darauf ab, Verbraucher Rechtsschutzmöglichkeiten zur Verfügung zu stellen, insbesondere in Bezug auf den Schutz vor illegalen Inhalten und die Förderung von Transparenz.

Verantwortung der Unternehmen: Unternehmen werden stärker in die Verantwortung genommen, um gegen illegale Inhalte vorzugehen und für mehr Transparenz zu sorgen, um die Sicherheit der Verbraucher zu gewährleisten.

Schaffung eines sicheren Online-Umfelds: Digitale Dienstanbieter sollen für ein Online-Umfeld sorgen, in dem Verbraucher sicher online einkaufen können und ihre Meinungen, im Rahmen der Meinungsfreiheit, frei äußern zu können.

Evaluierung und nationale Umsetzung: Der Erfolg des DSA wird bis Anfang 2027 evaluiert. Nationale Umsetzungen, wie das Digitale-Dienste-Gesetz (DDG) in Deutschland, haben die EU-Verordnung (DSA) in nationales Recht überführt und spezifische Durchführungsmechanismen festgelegt.

Für wen ist der DSA relevant?

  • Online-Diensteanbieter: Der DSA betrifft direkt Online-Diensteanbieter, einschließlich sozialer Medien, Online-Marktplätze, Suchmaschinen und anderer Plattformen, die Dienste in der EU anbieten.
  • Verbraucher: Verbraucher profitieren von den Bestimmungen des DSA, die darauf abzielen, die Transparenz, Sicherheit und Verantwortlichkeit digitaler Dienstleistungen zu erhöhen und den Schutz vor schädlichen Inhalten zu verbessern.
  • Kleine und mittlere Unternehmen (KMU): KMU, die Online-Dienste anbieten oder von diesen abhängig sind, sind ebenfalls betroffen, da der DSA auch Regeln für die Interaktion zwischen Plattformen und Unternehmen einführt und fairere Bedingungen für KMU sicherstellen soll.
  • Regulierungsbehörden: Regulierungsbehörden in der EU, einschließlich nationaler Aufsichtsbehörden, spielen eine wichtige Rolle bei der Umsetzung und Durchsetzung des DSA.
  • Datenschutz- und Verbraucherschutzorganisationen: Organisationen, die sich für Datenschutz und Verbraucherrechte einsetzen, verfolgen den DSA aufmerksam und können sich aktiv an der Gestaltung und Überwachung seiner Umsetzung beteiligen.

Digitale-Dienste-Gesetz (DDG)

Der Digital Service Act ist am 16. November 2022 in Kraft getreten und ist seit dem 17. Februar 2024 vollumfassend anwendbar. Die Bundesregierung hat das Digitale-Dienste-Gesetz (DDG) auf den Weg gebracht, um die nationalen Vorschriften auf Bundes- und Länderebene an die neuen europarechtlichen Vorgaben anzupassen. Der Gesetzgebungsprozess zum DDG dauert noch an. Mit dem neuen Gesetz kann aber im Verlauf des Frühjahrs gerechnet werden.

Es konkretisiert die Zuständigkeiten der Behörden in Deutschland zur Durchsetzung des DSA. Gemäß dem Gesetzentwurf soll die Bundesnetzagentur die Aufsicht über die Anbieter übernehmen und eng mit Aufsichtsbehörden in Brüssel und anderen EU-Mitgliedsstaaten zusammenarbeiten. Das Gesetz sieht Buß- und Zwangsgelder vor, die bis zu sechs Prozent des Jahresumsatzes der Plattformbetreiber betragen können.

Mit Inkrafttreten des DDG wird das Telemediengesetz (TMG) aufgehoben. Soweit die Bestimmungen des TMG nunmehr nicht bereits vom DSA umfasst sind, werden sie in das DDG überführt. Ein Bespiel: Die Impressumspflicht wird sich zukünftig aus § 5 DDG ergeben.

Digital Markets Act (DMA)

Parallel dazu konzentriert sich der Digital Markets Act (DMA) auf das Verhalten großer zentraler Plattformdienste, die als “Gatekeeper” agieren. Diese von der EU-Kommission benannten Plattformdienste (bisher u. a. Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Samsung) gelten für gewerbliche Nutzer als wichtiges Zugangstor zu Endnutzern.

Der Digital Markets Act (DMA) legt eine Reihe von Verhaltenspflichten fest, die von den als Gatekeeper identifizierten großen Digitalkonzernen befolgt werden müssen. Diese Pflichten beziehen sich insbesondere auf den Zugang und die Verwendung von Daten, die Interoperabilität und die Vermeidung von Bevorzugung eigener Dienste.

Einige der festgelegten Verpflichtungen umfassen:

  • Einschränkungen bei der Verwendung von personenbezogenen Daten ohne Einwilligung des Endnutzers.
  • Die Gewährleistung, dass Geschäftskunden ihre Produkte oder Dienstleistungen zu anderen Konditionen und Preisen auf Drittplattformen oder eigenen Online-Vertriebskanälen anbieten können.
  • Das Verbot, bestimmte eigene Dienstleistungen zu bündeln.
  • Die Förderung der Interoperabilität mit Drittanwendungen und die Bereitstellung einfacher Deinstallationsmöglichkeiten von Software-Anwendungen auf ihrem Betriebssystem.
  • Die Vermeidung der Bevorzugung eigener Dienstleistungen und Produkte gegenüber ähnlichen Dienstleistungen oder Produkten Dritter.

Diese Verhaltenspflichten werden durch erweiterte Ermittlungs- und Entscheidungsbefugnisse der EU-Kommission, sowie erweiterte Anzeigepflichten bei bestimmten Zusammenschlüssen unterstützt, die über das bisherige Fusionskontrollregime hinausgehen. Bei Verstößen gegen diese Pflichten können den Gatekeepern Bußgelder von bis zu 10 Prozent ihres weltweiten Jahresumsatzes drohen, im Wiederholungsfall sogar bis zu 20 Prozent.

Für wen ist der DMA relevant?

  • Große Digitalkonzerne (Gatekeeper): Der DMA betrifft insbesondere große Digitalkonzerne wie Google, Facebook, Amazon und andere, die als Gatekeeper fungieren und eine beträchtliche Marktmacht haben.
  • Kleine und mittlere Unternehmen (KMU): KMU, die von den Plattformen der Gatekeeper abhängig sind, profitieren von den Regelungen des DMA, da diese sicherstellen sollen, dass sie faireren Zugang zu den Plattformen erhalten und sich besser entwickeln können.
  • Verbraucher: Verbraucher können ebenfalls von den Bestimmungen des DMA profitieren, da diese darauf abzielen, faire Wettbewerbsbedingungen und einen besseren Schutz für Verbraucher auf digitalen Märkten zu gewährleisten.
  • Verbände und Organisationen: Der DMA erleichtert Verbänden und Organisationen Klagen gegen Gatekeeper, um deren Verhalten zu überprüfen und faire Bedingungen sicherzustellen.
  • EU-Kommission und nationale Kartellbehörden: Die EU-Kommission und nationale Kartellbehörden spielen eine wichtige Rolle bei der Durchsetzung und Überwachung der Bestimmungen des DMA.

Fazit

Die Digitalisierung prägt unsere Arbeitsweise, Kommunikation und Konsumgewohnheiten grundlegend. Die EU-Gesetze Digital Markets Act (DMA), Digital Services Act (DSA) und das deutsche Digitale Dienste Gesetz (DDG) sind essenzielle Instrumente, um einen fairen, transparenten und sicheren digitalen Raum zu schaffen. Sie setzen klare Regeln für digitale Dienstanbieter und bieten Verbrauchern Schutz und Rechtssicherheit. Die effektive Umsetzung und Durchsetzung dieser Gesetze ist entscheidend, um das Vertrauen der Verbraucher in die digitale Wirtschaft zu stärken und eine nachhaltige digitale Zukunft zu gewährleisten.

Die Evaluierung des DSA bis Anfang 2027 wird sicherstellen, dass die Verordnung ihre Ziele erfüllt und bei Bedarf Anpassungen vorgenommen werden können. Insgesamt markieren der DSA und der DMA wichtige Schritte zur Regulierung digitaler Dienste, fördern ein ausgewogenes Verhältnis zwischen Innovation, Wettbewerb und Verbraucherschutz und legen die Grundlagen für eine florierende digitale Wirtschaft in Europa.

Die EU reagiert mit diesen Maßnahmen auf die Herausforderungen der Digitalisierung und etabliert klare Regeln für die digitale Wirtschaft. Kontinuierliche Evaluation und Anpassungen sind erforderlich, um mit den sich ständig wandelnden Technologien und Bedürfnissen Schritt zu halten.

 

Foto: istockphoto.com/the-lightwriter

In einer Zeit, in der die Digitalisierung den Finanzsektor grundlegend transformiert, spielen Cloud First-Strategien eine immer größere Rolle. Die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) hat im Mai 2021 Leitlinien veröffentlicht, die die Anwendung von Cloud-Diensten im Finanzsektor regeln. Insbesondere die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat wendet diese Leitlinien an und schafft damit einen klaren Rahmen für Unternehmen im Bereich der Auslagerung an Cloud-Anbieter. Dieser Beitrag betrachtet die Hintergründe sowie die wesentlichsten Kriterien, die Unternehmen beachten sollten.

Hintergrund: ESMA-Leitlinien und BaFin-Ankündigung

Die BaFin kündigte am 29. Juni 2021 an, die ESMA-Leitlinien zur Auslagerung an Cloud-Anbieter anzuwenden. Diese Leitlinien wurden im Mai 2021 veröffentlicht und gelten seit dem 31. Juli 2021. Die BaFin setzt damit klare Signale für die Ausrichtung der eigenen Verwaltungspraxis im Finanzsektor.

Die Leitlinien der ESMA bieten Orientierung für nationale Aufsichtsbehörden und verschiedene Marktteilnehmer im Finanzsektor, darunter Verwalter alternativer Investmentfonds (AIFM), Wertpapierfirmen, Kreditinstitute und mehr. Diese sind dazu aufgerufen, die Leitlinien bei der Nutzung von Cloud-Diensten zu beachten und umzusetzen.

Anwendungsbereich der ESMA-Leitlinien

Die ESMA-Leitlinien richten sich an eine breite Palette von Marktteilnehmern im Finanzsektor. Dazu gehören Verwalter alternativer Investmentfonds, Organisationen für gemeinsame Anlagen in Wertpapieren, Zentralverwahrer, Ratingagenturen und weitere. Die Leitlinien bieten eine klare Struktur, die sicherstellen soll, dass die Auslagerung an Cloud-Anbieter den höchsten Sicherheits- und Compliance-Standards entspricht.

Wesentliche Kriterien gemäß ESMA-Leitlinien

1. Governance, Kontrolle und Dokumentation:

Eine klare Governance-Struktur ist entscheidend, um die Kontrolle über ausgelagerte Funktionen zu gewährleisten. Die ESMA-Leitlinien legen Wert auf eine definierte Verantwortlichkeitsstruktur und detaillierte Dokumentation, um Transparenz und Nachvollziehbarkeit sicherzustellen.

2. Risikoanalyse der Auslagerung und Due-Diligence-Prüfung:

Vor Abschluss einer Auslagerungsvereinbarung müssen Unternehmen eine gründliche Risikoanalyse durchführen. Dies betrifft besonders Vereinbarungen mit einem Cloud-Anbieter, die als kritisch oder wesentlich eingestuft werden. Eine sorgfältige Due-Diligence-Prüfung des Cloud-Anbieters, einschließlich der Identifikation möglicher Interessenkonflikte, ist unerlässlich.

3. Zentrale Bestandteile des Vertrags:

Die Auslagerungsvereinbarung muss klare Bestandteile umfassen, einschließlich der Rechte und Pflichten beider Vertragsparteien. Ein solider Vertrag bildet die Grundlage für eine sichere und effektive Zusammenarbeit mit dem Cloud-Anbieter.

Erweiterung durch BaFin-Ankündigung: ESMA-Leitlinien in der Praxis

Die Ankündigung der BaFin, die ESMA-Leitlinien anzuwenden, spiegelt sich in der Verwaltungspraxis wider. Diese Leitlinien orientieren sich stark an bestehenden Mindestanforderungen an das Risikomanagement (MaRisk) und den bankaufsichtlichen Anforderungen an die IT (BAIT). Die ESMA-Leitlinien erweitern jedoch diese Standards um spezifische Regelungen, die auf Cloud-Anbieter zugeschnitten sind.

Handlungsbedarf für Unternehmen

Angesichts der Ankündigung der BaFin sollten Unternehmen im Finanzsektor handeln. Hier sind einige Schritte, die unternommen werden sollten:

  1. Prüfung der Anwendbarkeit:

Unternehmen sollten prüfen, ob die ESMA-Leitlinien auf sie anwendbar sind.

  1. Überprüfung bestehender Regelungen:

Interne Regelungen, Strategien und Auslagerungsvereinbarungen sollten auf Anpassungsbedarf überprüft werden.

iAP – Ihr Experte für sichere Cloud-Nutzung im Finanzsektor

Als erfahrener Berater im Finanzsektor unterstützt iAP Banken im Bereich Identity and Access Management (IAM) sowie im Bereich Internes Kontrollsystem (IKS) unter Einhaltung aller regulatorischen Anforderungen (BaFin, ESMA, EZB, EBA). Unsere Expertise ermöglicht es Unternehmen, nicht nur die ESMA-Leitlinien umzusetzen, sondern auch die Sicherheit und Compliance in der Cloud-Nutzung zu optimieren.

Fazit: Cloud-First mit Sicherheit und Compliance

Die ESMA-Leitlinien bieten einen klaren Rahmen für Unternehmen im Finanzsektor, die auf Cloud-First-Strategien setzen. Durch die Betrachtung der wesentlichsten Kriterien, die Leitlinien der BaFin und die Expertise von iAP wird deutlich, dass Sicherheit und Compliance im Fokus stehen. Unternehmen, die proaktiv handeln, können nicht nur regulatorischen Standards gerecht werden, sondern gestalten auch eine sichere und zukunftsfähige Cloud-Nutzung.

 

Foto: istockphoto/mixdabass

Unternehmens-IT im stetigen Wandel

Getrieben durch den technologischen Wandel und unternehmerisches Wachstum besteht für viele Unternehmen die Notwendigkeit, ihre IT-Landschaft und Applikationsumgebung an die neuen Gegebenheiten anzupassen. Solche Anpassungen beinhalten fast immer die Veränderung der zugrunde liegenden Geschäftsprozesse als auch die Einführung neuer Technologien, sei es die Ablösung von Altsystemen oder die Entwicklung/Einführung neuer Software und Anwendungen (wie z.B. ein ERP-System), die Auslagerung der IT-Infrastruktur in die Cloud oder aber die Einführung komplexere Themen wie Blockchain-Technologie oder Künstliche Intelligenz.

Die Änderung bestehender oder die Einführung neuer IT-Systeme ist jedoch stets mit erheblichen Herausforderungen verbunden. Dies gilt sowohl im Kleinen als auch im Großen und ist z.T. unabhängig von der Art des jeweiligen Projekts, wobei die Risiken insbesondere bei mittleren und Großprojekten aufgrund ihrer gesteigerten Komplexität zunehmen.

Herausforderungen bei IT-Projekten

Die Herausforderungen bei der Durchführung von IT-Projekten bestehen dabei zuallererst aus den typischen Projektrisiken wie Termin-, Budgetüberschreitungen und Qualitätsrisiken. Jedoch kommen auch weitere Risiken hinzu wie z.B.

  • Risiko von Fehlentwicklungen und Nichterfüllung von Anforderungen
  • Lücken bei der Informationssicherheit und fehlende oder ungeeignete Kontrollen
  • Migrations-Risiken

Des Weiteren bestehen bei der Einführung neuer Prozesse und Technologien in der Regel fast immer Unsicherheiten über die regulatorischen und gesetzlichen Anforderungen, woraus sich entsprechende Compliance-Risiken ergeben.

Möglichkeiten der Risiko-Mitigation auf Basis IDW PS 850

Zur Adressierung dieser Risiken sind eine Vielzahl projektbezogener Maßnahmen möglich. Angefangen von klassischen Projektmanagement-Aktivitäten wie der Auswahl einer geeigneten Projektmethodik, ordentlicher Projektplanung und Steuerung sowie Ressourcen-Ausstattung, einem sauberen Anforderungs- und Qualitätsmanagement, bis hin zu einem angemessenen Testing und der formalen Projektabnahme.

Darüber hinaus gibt es aber auch die Möglichkeit, Projektrisiken durch das Hinzuziehen einer externen, neutralen Instanz zu minimieren, die das Projekt punktuell für die Abnahme von bestimmten Projektmeilensteinen oder aber über die gesamte Projektdauer bis hin zur Endabnahme prüfend begleitet.

Die Etablierung einer solchen projektbegleitenden Prüfung durch eine externe und neutrale Instanz bietet dabei folgende Chancen:

  • Frühzeitige Absicherung der Berücksichtigung aller Anforderungen im Pflichtenheft
    • Compliance-Anforderungen
    • Einhaltung relevanter Ordnungsmäßigkeitsanforderungen (u.a. Bilanzkontinuität)
    • Security by Design
    • Angemessene IT-Kontrollen
    • Abdeckung von Anforderungen für zukünftige Prüfungen
  • Neutrale unabhängige Einschätzung zum Projektstatus (Liefergegenstände und Meilensteine)
  • Neutrale unabhängige Einschätzung zu Risiken und Maßnahmen bei der Projektumsetzung
  • Zusätzliche Qualitätssicherung
  • Gesamt-Abnahme des Projekts durch unabhängige externe Instanz

Das Vorgehen für eine solche projektbegleitende Prüfung richtet sich dabei an dem vom Institut der Wirtschaftsprüfer ausgegebenen Prüfungsstandard IDW PS 850 aus. Dieser Standard beinhaltet wichtige Vorgaben für die Prüfung über den gesamten Projektlebenszyklus:

  • Projektplanung und Projektorganisation
  • Systemdesign, Entwicklung und Testphasen
  • Datenmigration
  • Rollout und Produktivsetzung

Darüber hinaus macht der PS 850 auch Vorgaben zur Verwertung von Untersuchungen oder Prüfergebnissen Dritter sowie zur Dokumentation und Berichterstattung.

Fazit

Die frühzeitige Einbeziehung eines externen unabhängigen Experten gewährleistet die Einhaltung der Ordnungsmäßigkeitsanforderungen und Bilanzkontinuität, fungiert als neutrale Instanz für Qualitätssicherung und Risiko-Monitoring und kann ggf. sogar als Institution für die Abnahme des Gesamtprojekts dienen.

Die externe prüferische Instanz kann dabei auf Erfahrungen aus ähnlich gelagerten Projekten zurückgreifen, wertvolle Hinweise und Empfehlungen bei der Projektumsetzung liefern und dadurch den Gesamt-Projekterfolg maßgeblich unterstützen.