- Die EU entwickelt eine Verordnung zur Stärkung der Resilienz von IT-Prozessen im Finanzbereich.
- Der Entwurf legt einheitliche Anforderungen an die Sicherheit von Netz- und IT-Systemen fest.
- Ziel ist ein hohes Maß an digitaler Betriebssicherheit für Finanzinstitute.
- Der Anwendungsbereich umfasst Banken, Versicherungen, Zahlungsdienstleister und viele weitere Akteure im Finanzsektor.
- Erforderlich sind Maßnahmen wie IT-Risikomanagement, Incident-Meldung und Aufsicht über IT-Drittanbieter.
Die EU arbeitet an einer neuen Verordnung zur Regelung der Stärkung der Resilienz von IT-Prozessen im Finanzbereich (Regulation on digital operational resilience for the financial sector). Der Entwurf ist bisher nur auf Englisch verfügbar.
Die Verordnung soll bestimmte einheitliche Anforderungen an die Sicherheit von Netz- und IT-Systemen festlegen, die Finanzinstitute zur Unterstützung der Geschäftsprozessen verwenden, mit dem Ziel, um “ein hohes gemeinsames Maß an digitaler Betriebssicherheit” zu gewährleisten (Art. 1). Dies umfasst Anforderungen etwa an das IT-Risikomanagement, die Meldung grösserer Incidents an Behörden, Massnahmen an das Drittparteienmanagement, an vertragliche Vereinbarungen mit IT-Dienstleistern und die Aufsicht über kritische IT-Drittdienstleister.
In persönlicher Hinsicht soll die Verordnung einen sehr breiten Anwendungsbereich haben, neben Banken und Versicherern auch Zahlungsdienstleister, Anbieter von Krypto-Asset-Diensten, zentrale Gegenparteien, Handelsplätze, Manager von alternativen Investmentfonds, Anbieter von Datenübermittlungsdiensten, Versicherer, Versicherungsvermittler, Rating-Agenturen, Prüfgesellschaften usw., aber auch IT-Dienstleister wie z.B. Cloud-Dienstleister, Softwareanbieter oder Analytics-Dienstleister.