Unternehmen im Finanz- und Versicherungswesen werden durch eine steigende Zahl nationaler und internationaler Anforderungen an IT-Governance, Informations- und Informationsrisikomanagement reguliert. Damit stellt das Thema IT zunehmend einen Schwerpunkt der aufsichtsrechtlichen Sonderprüfungen dar. Ziel dieses Vorgehens ist es, europaweit die IT-Sicherheit im Markt zu erhöhen und das IT-Risikobewusstsein der betroffenen Unternehmen und Institute zu schärfen.
„In den letzten Jahren ist hier viel passiert: Aktualisierung der bestehenden BAIT und VAIT. Mit ZAIT und KAIT weitere neue Regularien auf deutscher Ebene. Nun erwarten wir auf europäischer Ebene die finale Version des DORA", berichtet Dr. Christian Schwartz, Managing Security Consultant der usd AG und Leiter der ISACA Fachgruppe IT Compliance im Finanz- und Versicherungswesen. „Dadurch wächst der Bedarf, sich mit Verantwortlichen der betroffenen Institute, aber auch mit Prüfer*innen und Berater*innen zu praxistauglichen Lösungsansätzen auszutauschen. Denn das ist es was wir benötigen: betreibbare, effektive Sicherheitsorganisationen, die den regulatorischen Vorgaben gerecht werden. Der Dialog hierzu ist essenziell und meiner Erfahrung nach zielführend.“
Die Fachgruppe „IT-Compliance im Finanz- und Versicherungswesen“ hat es sich deshalb zum Ziel gesetzt, ISACA-Mitglieder und Anwender*innen aus dem Finanz- und Versicherungswesen zu vernetzen und ihnen ein Forum zum Erfahrungsaustausch in Hinblick auf die Umsetzung der Anforderungen zu bieten. In monatlichen einstündigen Fachgruppentreffen beschäftigen sich die 15 Mitglieder insbesondere mit der Bewertung neuer und überarbeiteter Regularien, der Erarbeitung von Arbeitshilfen zur Umsetzung und der Diskussion von Erfahrungen, Best Practices und Entwicklungen. Dreimal jährlich kommen die Mitglieder zusätzlich zu einem ausführlicheren Treffen in Form einer halbtägigen Veranstaltung zusammen, welche im Juni in den Räumlichkeiten der CST Academy stattfand.
„Genau für den von Dr. Schwartz beschriebenen Austausch haben wir die CST Academy gegründet“, erklärt Mareike Gass, Head of CST Academy. „Sie soll ein Ort sein, an dem Handelnde aus Wirtschaft, Politik und Wissenschaft zusammenkommen, um sich zu aktuellen Cyber-Security-Themen auszutauschen, zu netzwerken und damit die allgemeine IT-Sicherheit zu erhöhen. Es war uns daher eine große Freude, die Mitglieder der ISACA Fachgruppe bei uns zu begrüßen. Auch wir beobachten die gestiegene Relevanz von IT-Compliance im Finanzwesen und möchten beispielsweise durch weitere Veranstaltungen einen Rahmen für Wissensaustausch und Diskussion schaffen. Gemeinsam mit Dr. Schwartz befinden wir uns derzeit in der Planung zu einem Cyber Security Forum zum Digital Operational Resilience Act (DORA) Anfang September.“
Mit DORA wird erstmalig der Fokus eines europäischen Regelwerkes auf digitale Resilienz gelegt. Diese soll durch die Umsetzung verschiedener Anforderungen an die Stabilität digitaler Systeme des Finanzsektors erlangt werden. Die Anforderungen gelten für verschiedene Arten von Finanzunternehmen, darunter Kreditinstitute, Zahlungsinstitute, Wertpapierfirmen, Anbieter von Kryptodienstleistungen und (Rück-)Versicherungsunternehmen – betroffen sind also viele Institutionen. Auch die Risiken der kritischen IKT-Drittanbieter von Finanzunternehmen werden durch DORA umfassend adressiert. Abhängig vom Ist-Zustand bedeutet die Umsetzung der DORA für betroffene Unternehmen zunächst Abstimmungs-, Schulungs- und Implementierungsaufwände. Sollten zur Umsetzung außerdem neue technische Systeme notwendig werden, sollten diese als IT-Projekte mit einer hohen Komplexität und Kritikalität betrachtet werden.
