Auswirkungen der EU Cybersicherheitsrichtlinie auf den Finanzsektor

Die zum 17.7.2016 in Kraft getretene EU Cybersicherheitsrichtlinie soll ein hohes Sicherheitsniveau von Netz- und Informationssystemen herstellen und damit den EU Binnenmarkt fördern. Der Finanzsektor sieht nun einer Menge von Fragen, Herausforderungen und auch IT-Projekten entgegen.

Die seit einiger Zeit erwartete Richtlinie (EU) 2016/1148 (EU Cybersicherheitsrichtlinie) ist wichtiger Teil der Cybersicherheitsstrategie der EU. Sie enthält Vorgaben für die sogenannte Netz- und Informationssicherheit (network and information security – NIS), insbesondere für Kapazitätsausbau und –planung. Die Richtlinie regelt auch den Informationsaustausch und die Zusammenarbeit der Betreiber sogenannter „kritischer“ Dienste untereinander und mit staatlichen Stellen. Vorgesehen ist eine Mindestharmonisierung, d.h. die Mitgliedstaaten können Bestimmungen erlassen, die ein höheres Sicherheitsniveau sicherstellen sollen. Die Richtlinie muss bis zum 9.5.2018 durch die EU Mitgliedsstaaten umgesetzt werden.

Bisherige nationale Regelungen hätten, so heißt es in den Erwägungsgründen, zu erheblichen Unterschieden zwischen den EU Mitgliedstaaten geführt. Dazu hat auch der deutsche Gesetzgeber beigetragen.

Verfrühtes IT-Sicherheitsgesetz sorgt für Unklarheiten im Finanzsektor

Erst im Juni 2015 wurde das IT-Sicherheitsgesetz verabschiedet, obwohl damals schon absehbar war, dass die EU Cybersicherheitsrichtlinie kommen würde. Bis heute sind aber noch immer nicht alle vom IT-Sicherheitsgesetz vorgesehenen Vorgaben für den Finanzsektor in Kraft. So ist bis heute ist unklar, auf welche Unternehmen des Finanzsektors genau das IT-Sicherheitsgesetz anwendbar sein soll. Dies soll durch eine Verordnung zu „kritischen Infrastrukturen“ (KritisVO) geschehen. Während für manche Sektoren bereits eine KritisVO erlassen wurde, lässt man sich mit dem Finanzsektor bis Ende 2017 Zeit.

Vordergründig bringt das IT-Sicherheitsgesetz, soweit Unternehmen im Finanzsektor betroffen sind, keine wesentlichen Neuerungen im Vergleich zu den schon heute bestehenden strikten Vorgaben wie etwa den Mindestanforderungen für Risikomanagement (MaRisk) . Mit den „Vorfallsmeldungen“ gibt es allerdings neue Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI wiederum soll anlassbezogen Warn- und Lageinformationen publizieren. Dadurch erhöht sich die Gefahr von Informationslecks und Reputationsschäden, es gibt neue Bußgeldtatbestände und es droht Kompetenzgerangel mit anderen Aufsichten, etwa der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) oder den Datenschutzaufsichtsbehörden.

Mit der EU Cybersicherheitsrichtlinie, die ganz ähnliche Melde-Mechanismen vorsieht, rückt nun umso dringender die Frage nach dem Zusammenspiel all dieser Regelwerke in den Fokus. In den Erwägungsgründen der Richtlinie ist für den Finanzsektor ausdrücklich hervorgehoben, dass bei der Umsetzung in nationales Recht darauf Rücksicht zu nehmen ist, dass es im Finanzsektor bereits ein hohes Maß an Harmonisierung gebe, u.a. wegen den Vorgaben der Aufsichtsbehörden. Man darf daher gespannt sein, wie gut es der Bundesregierung gelingen wird, Widersprüche zum IT-Sicherheitsgesetz und zu den bisherigen Gesetzen und der Aufsichtspraxis der BaFin zu vermeiden.

EU Cybersicherheitsrichtlinie: Es sind einige große Aufgaben zu bewältigen

Alle Unternehmen im Finanzsektor stehen in den kommenden Jahren vor (mindestens) drei großen Herausforderungen, die aller Voraussicht nach auch eine Vielzahl von komplexen IT-Projekten und auch neuen Prozessen mit sich bringen werden:

Dabei sind mehrere thematisch ähnliche und sich teils überschneidende Richtlinien und Gesetze im Auge zu behalten, wobei der Gesetzgeber in der Regel keine konkrete Vorgaben für die praktische Umsetzung macht.

IT-Sicherheit ist kein Projekt

Natürlich ist es wichtig, dass Unternehmen im Finanzsektor möglichst bald ein umfassendes Verständnis dieser Anforderungen an eine sichere IT-Infrastruktur entwickeln und deren praktische Umsetzung frühzeitig planen. Angesichts of unklarer Vorgaben ist es um so wichtiger, den vom Gesetzgeber verfolgten Sinn und Zweck der Regelungen zu verstehen, und nicht akribisch an ihrem Wortlaut zu kleben.

Lassen Sie sich jedoch nicht von Alarmisten beinflussen und zu vorschnellen Einzelprojekten drängen. IT-Sicherheit ist kein Einmal-Projekt mit einem klaren Abschluss, und Insellösungen funktionieren nicht auf Dauer. Vielmehr wird dieses Ziel nur über einen fortlaufenden, umfassend im Unternehmen verankerten Prozess erreicht, der den angestrebten Zustand der IT-Sicherheit immer wieder herstellt und aufrecht erhält.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

You May Also Like