Wann kommt NIS2?

Einleitung: Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (Network and Information Security Directive) ist ein zentrales Regelwerk der Europäischen Union, das darauf abzielt, die Cybersicherheit auf EU-Ebene zu stärken und zu harmonisieren. Sie ersetzt die erste NIS-Richtlinie von 2016 und erweitert den Anwendungsbereich sowie die Anforderungen an Unternehmen und öffentliche Einrichtungen deutlich. Ziel ist es, die Widerstandsfähigkeit gegen Cyberbedrohungen zu erhöhen und die Zusammenarbeit zwischen den Mitgliedsstaaten zu verbessern.

Die Richtlinie legt dabei insbesondere Wert auf die Sicherheit kritischer Infrastrukturen, definiert neue Branchen, die unter die Regelungen fallen, und erhöht die Anforderungen an die Berichterstattung von Sicherheitsvorfällen.

Der aktuelle Status der Umsetzung

Zum Ende Oktober 2024 zeigt sich, dass die Umsetzung der NIS2-Richtlinie in den Mitgliedsstaaten unterschiedlich weit fortgeschritten ist. Die Frist zur Umsetzung in nationales Recht war der 18. Oktober 2024. Einige Länder haben den Termin eingehalten, während andere, darunter auch Deutschland, in Verzug geraten sind.

Deutschland und das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit (NIS2UmsuCG)

In Deutschland wird die NIS2-Richtlinie durch das sogenannte Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit (NIS2UmsuCG) in nationales Recht integriert. Dieses Gesetz baut auf den bestehenden Regelungen des IT-Sicherheitsgesetzes (IT-SiG) auf und erweitert diese um die verschärften Anforderungen der EU. Obwohl das Gesetz wichtige Fortschritte verspricht, wurde es nicht fristgerecht verabschiedet. Das verzögerte Vorgehen hat verschiedene Ursachen:

  1. Regulatorische Komplexität: Die Verschmelzung der NIS2-Vorgaben mit dem IT-SiG erfordert eine umfassende Abstimmung, um Überschneidungen und Lücken zu vermeiden.
  2. Ressourcenprobleme: Sowohl auf staatlicher Seite als auch in den betroffenen Branchen fehlen personelle und finanzielle Kapazitäten für eine schnelle Implementierung.
  3. Neue Branchenanforderungen: Mit der NIS2-Richtlinie werden erstmals Sektoren wie Lebensmittelproduktion und Abfallwirtschaft reguliert, was zusätzliche Anpassungen erforderlich macht.

Die Verzögerung Deutschlands wird zu Druck seitens der EU führen, insbesondere da andere Mitgliedsstaaten bereits Fortschritte erzielt haben. Aktuell läuft ein Vertragsverletzungsverfahren der EU gegen Deutschland aufgrund der nicht fristgerechten Umsetzung der NIS2 in nationales Recht, dass mit hohen Bußgeldern belegt ist. Eine schnelle Nachbesserung ist daher dringend notwendig.

Für die betroffenen Unternehmen ist damit zu rechnen, dass die Umsetzungsfrist aufgrund des Vertragsverletzungsverfahren der EU relativ kurz sein wird. Daher sollten betroffene Unternehmen die Zeit nutzen und bereits eine Standortbestimmung der Informationssicherheit und zur NIS2 Umsetzung durchführen und wichtige Maßnahmen bereits angehen.

Inhalte und Anforderungen der NIS2-Richtlinie

Die NIS2-Richtlinie erweitert den Anwendungsbereich und verschärft die Anforderungen im Vergleich zur ursprünglichen NIS-Richtlinie. Die wichtigsten Inhalte sind:

  1. Erweiterter Anwendungsbereich: Die NIS2-Richtlinie gilt nun für mehr Branchen, darunter:
    • Energieversorgung
    • Gesundheitswesen
    • Lebensmittelproduktion und -versorgung
    • Abfallwirtschaft
    • Öffentliche Verwaltung
  2. Erhöhte Sicherheitsanforderungen: Unternehmen müssen:
    • Umfassende Risikobewertungen durchführen
    • Sicherheitsmaßnahmen wie Netzsegmentierung, Backup-Systeme und regelmäßige Sicherheitsupdates implementieren
    • Mitarbeitende regelmäßig schulen und sensibilisieren
  3. Strengere Meldepflichten:
    • Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden, gefolgt von einem detaillierten Bericht binnen 72 Stunden.
  4. Verstärkte Durchsetzungsmechanismen:
    • Nationale Behörden erhalten mehr Kompetenzen zur Überprüfung und Durchsetzung der Vorschriften.
    • Bei Verstößen drohen hohe Bußgelder (bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes).
  5. Förderung der internationalen Zusammenarbeit:
    • Der Informationsaustausch zwischen den Mitgliedsstaaten wird durch Plattformen wie das EU-Cybersicherheitsnetzwerk intensiviert.

Zusammenhang zwischen NIS2, IT-Sicherheitsgesetz und NIS2-Umsetzungsgesetz

Das deutsche IT-Sicherheitsgesetz (IT-SiG) bildet die Grundlage für die nationalen Cybersicherheitsstandards, während das NIS2-Umsetzungsgesetz diese um die Anforderungen der EU-Richtlinie ergänzt. Ziel ist es, ein einheitliches und gleichzeitig strengeres Sicherheitsniveau zu gewährleisten.

Neue Elemente durch das NIS2-UmsG

  1. Breiterer Fokus: Im Gegensatz zum IT-SiG reguliert das NIS2-UmsG eine größere Zahl von Branchen, darunter auch solche, die bislang nicht im Fokus standen.
  2. Erweiterte Meldepflichten: Sicherheitsvorfälle müssen schneller und detaillierter gemeldet werden, was neue Prozesse in Unternehmen erfordert.
  3. Sanktionsmechanismen: Die Einführung von EU-weit harmonisierten Bußgeldern erhöht den Druck auf Unternehmen, die Vorgaben einzuhalten.

Das Zusammenspiel zwischen IT-SiG und NIS2-UmsG sorgt für eine umfassendere Abdeckung und stärkt die internationale Koordination im Bereich Cybersicherheit.

Der BSI NIS2-Check: Unterstützung für Unternehmen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Unternehmen ein spezielles Tool, die NIS2-Betroffenheitsprüfung, um zu klären, ob sie unter die Regelungen der NIS2-Richtlinie fallen. Diese Analyse hilft Organisationen, die eigene Betroffenheit anhand der Kriterien der Richtlinie zu bewerten und entsprechende Maßnahmen einzuleiten.

Funktionsweise der NIS2-Betroffenheitsprüfung:

  1. Analyse der Unternehmensdaten: Überprüfen, ob das Unternehmen in einem der relevanten Sektoren tätig ist und welche Rolle es dort einnimmt.
  2. Abgleich mit den NIS2-Kriterien: Bewertung, ob die Unternehmensgröße und die Relevanz der Dienstleistungen für die Gesellschaft die Anwendung der Richtlinie auslösen.
  3. Empfehlungen zur weiteren Umsetzung: Ermittlung konkreter Handlungsschritte, falls das Unternehmen betroffen ist.

Das Tool des BSI unterstützt Unternehmen dabei, frühzeitig ihre Verpflichtungen zu erkennen und sich auf die Einhaltung der Richtlinie vorzubereiten. Weitere Informationen und Zugang zum Tool finden Sie auf der offiziellen Website des BSI: BSI NIS2-Betroffenheitsprüfung.

Die zuständige Aufsichtsbehörden und ihre Befugnisse

Die Überwachung und Durchsetzung der NIS2-Richtlinie in Deutschland erfolgt durch die zuständigen Aufsichtsbehörden, darunter insbesondere das Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese Behörden haben erweiterte Kompetenzen, um die Einhaltung der Vorgaben sicherzustellen:

  1. Überprüfung der Compliance: Die Behörden können Audits und Inspektionen bei betroffenen Unternehmen durchführen, um die Einhaltung der Richtlinie zu prüfen.
  2. Anordnung von Maßnahmen: Bei festgestellten Mängeln haben die Behörden das Recht, verbindliche Maßnahmen zur Verbesserung der Cybersicherheit anzuordnen.
  3. Zwangsmaßnahmen: Im Falle von Nichtbefolgung können Unternehmen zur Umsetzung der Maßnahmen gezwungen werden, etwa durch Bußgelder oder gerichtliche Anordnungen.
  4. Koordination auf EU-Ebene: Die nationalen Behörden arbeiten eng mit anderen Mitgliedsstaaten und der EU-Kommission zusammen, um grenzüberschreitende Cyberbedrohungen effektiv zu bekämpfen.

Die Aufsichtsbehörden spielen somit eine Schlüsselrolle bei der Durchsetzung der NIS2-Richtlinie und der Sicherstellung eines einheitlichen Sicherheitsniveaus.

Strafen bei Verstößen gegen die NIS2-Richtlinie

Die NIS2-Richtlinie sieht erhebliche Sanktionen für Unternehmen vor, die ihre Verpflichtungen nicht erfüllen. Diese Sanktionen sind so gestaltet, dass sie Unternehmen zur Einhaltung der Vorgaben motivieren und gleichzeitig abschreckend wirken:

  1. Hohe Bußgelder:
    • Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens, je nachdem, welcher Betrag höher ist.
  2. Reputationsschäden:
    • Verstöße können öffentlich gemacht werden, was zu einem erheblichen Verlust des Vertrauens von Kunden und Geschäftspartnern führen kann.
  3. Haftung der Geschäftsführung:
    • In schweren Fällen können auch Mitglieder der Geschäftsführung persönlich zur Verantwortung gezogen werden.
  4. Betriebsunterbrechungen:
    • Bei wiederholten oder schweren Verstößen können Behörden den Betrieb eines Unternehmens teilweise oder vollständig einschränken.

Die strengen Sanktionsmöglichkeiten unterstreichen die Bedeutung der NIS2-Richtlinie und machen deutlich, dass Cybersicherheit ein zentraler Bestandteil der Unternehmensführung sein muss.

Umsetzung der NIS2-Richtlinie mit einem ISMS nach ISO 27001 oder BSI IT-Grundschutz

Ein effektiver Weg, die Anforderungen der NIS2-Richtlinie zu erfüllen, ist die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 oder dem BSI IT-Grundschutz. Beide Standards bieten bewährte Methoden und Werkzeuge, um Sicherheitsrisiken zu identifizieren, zu bewerten und zu minimieren.

Vorteile eines ISMS nach ISO 27001 oder BSI IT-Grundschutz:

  1. Systematische Risikobewertung: Ein ISMS ermöglicht eine strukturierte Analyse und Bewertung von Sicherheitsrisiken, die Unternehmen helfen, geeignete Maßnahmen zu priorisieren.
  2. Flexibilität: Die Standards können individuell an die Größe und Branche des Unternehmens angepasst werden.
  3. Compliance: Durch die Umsetzung eines ISMS erfüllen Unternehmen automatisch viele der von der NIS2-Richtlinie geforderten Sicherheitsmaßnahmen.
  4. Kontinuierliche Verbesserung: Beide Standards setzen auf einen kontinuierlichen Verbesserungsprozess (Plan-Do-Check-Act), der sicherstellt, dass Sicherheitsmaßnahmen regelmäßig überprüft und aktualisiert werden.
  5. Nachweisbare Sicherheit: Die Zertifizierung nach ISO 27001 oder die Umsetzung des BSI IT-Grundschutzes bietet Behörden und Geschäftspartnern eine transparente Bestätigung der Sicherheitsmaßnahmen.

Praxisbeispiel: Integration in die NIS2-Compliance

Die ISO/IEC 27002:2022 umfasst 93 Controls, die nahezu alle Anforderungen der NIS2-Richtlinie abdecken. Diese Controls bieten eine systematische Basis, um Cybersicherheitsmaßnahmen umzusetzen, müssen jedoch an die spezifischen Vorgaben der NIS2 angepasst werden. Ein zentrales Beispiel ist der Security Incident Prozess, der so ausgestaltet sein muss, dass die Meldefristen der NIS2 eingehalten werden:

  • 24-Stunden-Regel: Erste Meldung eines Sicherheitsvorfalls.
  • 72-Stunden-Regel: Detaillierter Bericht mit Maßnahmen und Auswirkungen.

Die ISO-Controls helfen dabei, diese Prozesse zu standardisieren und effizient zu gestalten. Beispielsweise fordern die Controls Richtlinien für das Management von Vorfällen, die klare Zuständigkeiten und Eskalationswege definieren.

Unternehmen können so nicht nur die NIS2-Vorgaben erfüllen, sondern auch ihre Cybersicherheitsmaßnahmen strategisch verbessern und langfristig optimieren.

Fazit und Ausblick

Die NIS2-Richtlinie ist ein entscheidender Schritt, um die Cybersicherheitslandschaft in Europa zu stärken und widerstandsfähiger gegen Bedrohungen zu machen. Mit der Frist im Oktober 2024 stehen die Mitgliedsstaaten unter Druck, die Vorgaben schnell und umfassend umzusetzen. Deutschland muss in den kommenden Monaten erheblich nachbessern, um nicht nur den Anforderungen der EU zu genügen, sondern auch die eigene Cybersicherheitsstrategie zu stärken.

Unternehmen sollten die Zeit nutzen, um ihre eigenen Sicherheitsmaßnahmen zu evaluieren und anzupassen. Der Fokus sollte auf der Erfüllung der Meldepflichten, der Umsetzung technischer Sicherheitsmaßnahmen und der Mitarbeiterschulung liegen. Nur durch eine konsequente Umsetzung können die Ziele der NIS2-Richtlinie erreicht und Sanktionen vermieden werden.

Die kommenden Monate werden entscheidend sein, um die Cybersicherheitsinfrastruktur in Deutschland und Europa nachhaltig zu stärken.

Wichtige Änderungen der GoBD und deren Auswirkungen auf Unternehmen

Am 1. April 2024 treten wesentliche Änderungen der Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) in Kraft. Diese Aktualisierungen sind das Ergebnis neuer gesetzlicher Anforderungen, einschließlich der Umsetzung der EU-Richtlinie 2021/514 und der Modernisierung des Steuerverfahrensrechts. In diesem Beitrag erhalten Sie eine Übersicht über die Neuerungen, deren Zweck und die Konsequenzen für Unternehmen.

Was sind die GoBD und warum sind sie wichtig?

Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) stellen einen zentralen Standard für die digitale Buchführung und Aufbewahrung steuerrelevanter Unterlagen dar. Sie geben vor, wie Unternehmen steuerlich relevante Daten ordnungsgemäß erstellen, speichern und der Finanzbehörde bereitstellen müssen. Ziel ist es, die Transparenz und Nachvollziehbarkeit der Buchführung zu gewährleisten und eine einheitliche Grundlage für Steuerprüfungen zu schaffen.

Die Inhalte der GoBD sind im Überblick

  1. Ordnungsmäßigkeit der Buchführung: Die Buchführung muss klar, nachvollziehbar und manipulationssicher sein.
  2. Aufbewahrungspflichten: Alle steuerlich relevanten Unterlagen sind für eine vorgeschriebene Dauer aufzubewahren.
  3. Elektronische Archivierung: Digitale Unterlagen müssen in einem unveränderbaren Format archiviert werden.
  4. Datenzugriffsrechte der Finanzbehörde: Unternehmen müssen der Finanzbehörde im Rahmen von Steuerprüfungen Zugriff auf steuerlich relevante Daten gewähren.
  5. Technische Anforderungen: Buchführungssysteme müssen die maschinelle Auswertbarkeit der Daten sicherstellen.
  6. Verfahrensdokumentation: Unternehmen müssen eine vollständige und nachvollziehbare Verfahrensdokumentation vorlegen können, die den gesamten Prozess der Datenerstellung, -verarbeitung und -archivierung beschreibt.

Die GoBD gelten für alle Unternehmen, die steuerlich relevante Daten elektronisch verarbeiten, und bilden die Grundlage für den rechtssicheren Umgang mit digitalen Aufzeichnungen.

Folgen bei Nichtbeachtung der GoBD

Die Nichtbeachtung der GoBD kann schwerwiegende Konsequenzen für Unternehmen haben:

  1. Schätzung der Besteuerungsgrundlagen: Fehlen ordnungsgemäße Aufzeichnungen, kann die Finanzbehörde die Steuergrundlagen schätzen, was oft zu höheren Steuerlasten führt.
  2. Rechtliche Sanktionen: Verstöße gegen die GoBD können Bußgelder oder andere rechtliche Konsequenzen nach sich ziehen.
  3. Vertrauensverlust: Eine mangelhafte Buchführung kann das Vertrauen von Geschäftspartnern und Investoren beeinträchtigen.
  4. Erschwerte Steuerprüfungen: Ohne korrekte und strukturierte Daten kann eine Steuerprüfung erheblich komplizierter und zeitaufwändiger werden.

Änderungen in den GoBD 2024

Die Änderungen umfassen sowohl inhaltliche als auch technische Anpassungen:

  1. Neue Begrifflichkeiten: Der Begriff „Finanzverwaltung“ wurde durch „Finanzbehörde“ ersetzt, um die Terminologie zu vereinheitlichen.
  2. Erweiterte Anforderungen an die Datenüberlassung:
    • Steuerpflichtige müssen steuerlich relevante Daten maschinell auswertbar bereitstellen.
    • Die Bereitstellung erfolgt über digitale Schnittstellen oder Plattformen.
    • Technische Vorgaben, wie XML-basierte Standards, müssen eingehalten werden.
  3. Berücksichtigung von Kleinunternehmen:
    • Kleinunternehmen mit geringem Jahresumsatz (unter der Grenze des § 19 Absatz 1 UStG) profitieren von vereinfachten Anforderungen.
  4. Neue Datenstrukturen:
    • Zusätzliche Felder wie „Kontoart“ und „Kontotyp“ wurden eingeführt, um Buchhaltungsdaten detaillierter zu klassifizieren.
  5. Technische Neuerungen:
    • Veraltete Formate wie EBCDIC und Lotus 123 werden ab 2025 nicht mehr unterstützt.
    • Moderne Formate wie Excel (xlsx) und Access (accdb) rücken in den Fokus.
  6. Präzisierte Datenzugriffsrechte:
    • Der Zugriff der Finanzbehörde auf Daten ist auf den Rahmen der Außenprüfung beschränkt.
  7. Regeln für die Verlagerung ins Ausland:
    • Papierbelege dürfen an den Standort der elektronischen Buchhaltung verlagert werden, sofern sie digital erfasst werden.

Maßnahmen für Unternehmen

Um die neuen Anforderungen zu erfüllen, sollten Unternehmen folgende Schritte unternehmen:

  1. Systemüberprüfung:
    • Stellen Sie sicher, dass Ihre Buchhaltungs- und IT-Systeme die geänderten Vorgaben erfüllen.
    • Prüfen Sie, ob alle relevanten Datenformate maschinell lesbar sind.
  2. Softwareaktualisierung:
    • Kontaktieren Sie Ihre Softwareanbieter, um notwendige Updates durchzuführen.
    • Lassen Sie Schnittstellen für die Datenübertragung einrichten.
  3. Mitarbeiterschulungen
    • Schulen Sie Ihr Team zu den neuen Anforderungen.
    • Stellen Sie sicher, dass alle Mitarbeitenden die Bedeutung einer ordnungsgemäßen Dokumentation verstehen.
  4. Dokumentationsänderungen
    • Überarbeiten Sie bestehende Prozesse und Standards.
    • Achten Sie auf revisionssichere Aufbewahrung aller steuerlich relevanten Unterlagen.
  5. Beratung durch Experten
    • Ziehen Sie Steuerberater oder IT-Experten hinzu, um die Umstellung professionell zu begleiten.

Fazit

Die neuen Regelungen der GoBD bieten die Gelegenheit, Ihre Buchhaltungsprozesse zu optimieren und zukunftssicher aufzustellen. Nutzen Sie die Zeit bis zum Inkrafttreten, um sich auf die Änderungen vorzubereiten. Eine frühzeitige Umsetzung schützt vor Problemen bei Steuerprüfungen und sichert die Ordnungsmäßigkeit Ihrer Buchführung.

Haben Sie noch Fragen? Unser Team unterstützt Sie gerne bei der Umsetzung der neuen Vorgaben.

Novellierung der MaRisk: Rundschreiben 06/2024 (BA) Mindestanforderungen an das Risikomanagement – MaRisk

Die Mindestanforderungen an das Risikomanagement (MaRisk) sind ein wesentlicher Bestandteil der regulatorischen Rahmenbedingungen für Banken und Finanzdienstleister in Deutschland. Das Rundschreiben 06/2024 (BA) stellt die jüngste Novellierung dieser Anforderungen dar, die darauf abzielt, die Stabilität und Integrität des Finanzsystems zu stärken. Diese Aktualisierung berücksichtigt die sich wandelnden Risiken und Herausforderungen im Finanzsektor, einschließlich technologischer Fortschritte und veränderter Marktdynamiken. In diesem Artikel werden die wichtigsten Änderungen und ihre Auswirkungen auf die Praxis des Risikomanagements beleuchtet.

Hintergrund und Notwendigkeit der Novellierung

Die Finanzkrise von 2008 und die nachfolgenden wirtschaftlichen Turbulenzen haben die Bedeutung eines robusten Risikomanagements hervorgehoben. Die MaRisk, die erstmals 2005 veröffentlicht wurden, bieten einen umfassenden Rahmen für das Risikomanagement in Banken und Finanzinstituten. Sie wurden mehrfach angepasst, um den sich ändernden Bedingungen gerecht zu werden. Die jüngste Novellierung im Jahr 2024 ist eine Reaktion auf die zunehmende Komplexität der Finanzmärkte, die Digitalisierung und die neuen Risiken, die sich daraus ergeben.

Wichtige Änderungen im Rundschreiben 06/2024 (BA) im Überblick

  1. Erweiterte Anforderungen an die IT-Sicherheit und das Cyber-Risikomanagement
    Die Digitalisierung des Finanzsektors bringt erhebliche Chancen, aber auch Risiken mit sich. Das Rundschreiben 06/2024 betont die Notwendigkeit eines umfassenden Cyber-Risikomanagements. Banken müssen nun verstärkte Maßnahmen zur Abwehr von Cyberangriffen implementieren und sicherstellen, dass ihre IT-Infrastrukturen gegen Bedrohungen geschützt sind. Dies umfasst regelmäßige Sicherheitsüberprüfungen, die Schulung des Personals im Umgang mit Cyberrisiken und die Implementierung von Notfallplänen für den Fall eines Cyberangriffs.
  2. Stärkung des Nachhaltigkeitsmanagements
    Nachhaltigkeit und Umwelt, Soziales und Governance (ESG) gewinnen in der Finanzbranche zunehmend an Bedeutung. Die MaRisk-Novellierung integriert nun explizite Anforderungen an das Nachhaltigkeitsmanagement. Banken müssen Nachhaltigkeitsrisiken in ihre Risikobewertungen einbeziehen und sicherstellen, dass ihre Geschäftsstrategien mit den ESG-Zielen übereinstimmen. Dies umfasst die Berücksichtigung von Klimarisiken und deren potenziellen Auswirkungen auf das Kreditportfolio und die Geschäftstätigkeit insgesamt.
  3. Verbesserte Governance und interne Kontrollsysteme
    Ein weiterer Schwerpunkt der Novellierung liegt auf der Stärkung der Governance-Strukturen und internen Kontrollsysteme. Banken müssen sicherstellen, dass ihre internen Prozesse und Strukturen den erhöhten regulatorischen Anforderungen entsprechen. Dazu gehören verbesserte Mechanismen zur Überwachung und Kontrolle von Risiken, die Etablierung unabhängiger Risikokontrollfunktionen und die regelmäßige Überprüfung der Effektivität dieser Systeme.
  4. Erhöhung der Transparenz und Berichterstattungspflichten
    Transparenz ist ein zentrales Element eines effektiven Risikomanagements. Das Rundschreiben 06/2024 fordert von den Banken eine erhöhte Transparenz hinsichtlich ihrer Risikopositionen und -strategien. Dies beinhaltet erweiterte Berichterstattungspflichten gegenüber Aufsichtsbehörden und der Öffentlichkeit. Banken müssen detaillierte Berichte über ihre Risikomanagementpraktiken, die Identifizierung und Bewertung von Risiken sowie die Maßnahmen zur Risikominderung vorlegen.
  5. Förderung der Risikokultur
    Eine starke Risikokultur ist entscheidend für die Wirksamkeit des Risikomanagements. Die Novellierung betont die Notwendigkeit, eine Kultur des Risikobewusstseins innerhalb der Organisation zu fördern. Dies umfasst die Verantwortung des Managements, ein Umfeld zu schaffen, in dem Risiken offen kommuniziert und angemessen gehandhabt werden. Mitarbeiterschulungen und regelmäßige Sensibilisierungsmaßnahmen sind hierbei von großer Bedeutung.

Fazit

Die Novellierung der MaRisk durch das Rundschreiben 06/2024 (BA) stellt einen wichtigen Schritt zur Anpassung des regulatorischen Rahmens an die aktuellen Herausforderungen und Entwicklungen im Finanzsektor dar. Durch die verstärkte Fokussierung auf IT-Sicherheit, Nachhaltigkeit, Governance und Transparenz sollen die Stabilität und Integrität des Finanzsystems gestärkt werden. Banken und Finanzdienstleister sind nun gefordert, diese Anforderungen in ihre Risikomanagementpraktiken zu integrieren und dadurch nicht nur den regulatorischen Vorgaben gerecht zu werden, sondern auch ihre langfristige Widerstandsfähigkeit zu erhöhen.

Änderungen im Detail

Hier ist eine vollständige Übersicht aller Änderungen in der MaRisk-Version 06/2024 im Vergleich zur Version 05/2023, sortiert nach den jeweiligen Kapiteln:

AT 1 Vorbemerkung
  • Neuer Absatz: Ergänzung präziser Vorgaben zur Einhaltung des Risikomanagements nach § 25a und § 25b KWG.
AT 2 Anwendungsbereich
  • Erweiterung des Anwenderkreises: Präzisierte und erweiterte Definition des Anwenderkreises, um eine breitere Gruppe von Instituten und deren spezifische Risiken und Geschäfte zu erfassen.
AT 3 Gesamtverantwortung der Geschäftsleitung
  • Erweiterung der Verantwortlichkeiten: Spezifische Verantwortlichkeiten und Verpflichtungen der Geschäftsleitung wurden erweitert, insbesondere hinsichtlich der Überwachung und Steuerung von Risikomanagementprozessen.
AT 4 Allgemeine Anforderungen an das Risikomanagement
  • AT 4.3.4 Datenmanagement, Datenqualität und Aggregation von Risikodaten: Zusätzliche Anforderungen an die Datenqualität und das Datenmanagement, um eine verbesserte Aggregation von Risikodaten zu gewährleisten.
  • AT 4.3.5 Verwendung von Modellen: Einführung neuer Anforderungen zur Validierung und Dokumentation von Modellen.
  • AT 4.4 Besondere Funktionen: Erweiterte und präzisierte Definition der Aufgaben und Verantwortlichkeiten der Risikocontrolling-Funktion, Compliance-Funktion und Internen Revision.
AT 5 Organisationsrichtlinien
  • Klarstellungen und Erweiterungen: Zusätzliche Anforderungen an die Dokumentation und Umsetzung von Organisationsrichtlinien.
AT 6 Dokumentation
  • Erweiterung der Dokumentationspflichten: Erhöhte Anforderungen an die Dokumentation, um eine konsistentere und umfassendere Erfassung und Nachverfolgbarkeit von Entscheidungen und Prozessen sicherzustellen.
AT 7 Ressourcen
  • AT 7.1 Personal: Einführung neuer Anforderungen an die Qualifikation und Schulung des Personals.
  • AT 7.2 Technisch-organisatorische Ausstattung: Neue Bestimmungen zur Nutzung von IT-Systemen und deren Sicherung sowie zur technischen Ausstattung für das Risikomanagement.
  • AT 7.3 Notfallmanagement: Präzisierungen und Erweiterungen zur Notfallplanung und -bewältigung.
AT 8 Anpassungsprozesse
  • AT 8.1 Neu-Produkt-Prozess: Zusätzliche Vorgaben zur Risikobewertung neuer Produkte und zur Einbindung der Compliance-Funktion in den Prozess.
  • AT 8.3 Übernahmen und Fusionen: Erweiterung um detailliertere Anforderungen an die Risikoanalyse und Integration von übernommenen Einheiten.
AT 9 Auslagerung
  • Erweiterte Anforderungen: Verschärfte Anforderungen an die Auslagerung von Prozessen und Dienstleistungen, um sicherzustellen, dass ausgelagerte Aktivitäten den hohen Standards des Risikomanagements entsprechen.
BTR 3 Liquiditätsrisiken
  • Zusätzliche Anforderungen für kapitalmarktorientierte Institute: Einführung neuer Berichterstattungspflichten und spezifischer Anforderungen an die Liquiditätsrisiken kapitalmarktorientierter Institute.
BT 1 Besondere Anforderungen an das interne Kontrollsystem
  • BT 1.2.3 Kreditbearbeitungskontrolle: Ergänzungen zu den Kontrollen bei der Kreditbearbeitung und deren Dokumentation.
BT 2 Besondere Anforderungen an die Ausgestaltung der Internen Revision
  • BT 2.4 Berichtspflicht: Neue Anforderungen an die Frequenz und den Umfang der Berichterstattung der Internen Revision.
BT 3 Anforderungen an die Risikoberichterstattung
  • BT 3.1 Allgemeine Anforderungen an die Risikoberichte: Präzisierungen zu den Inhalten und der Struktur der Risikoberichte.
  • BT 3.2 Berichte der Risikocontrolling-Funktion: Erweiterte Anforderungen zur regelmäßigen Berichterstattung und Einbindung der Ergebnisse in die strategische Planung.

DORA – EU Digital Operational Resilience Act – ein Überblick

Entstehung und Ziele des DORA – EU Digital Operational Resilience Act

Der EU Digital Operational Resilience Act, kurz DORA, wurde als Antwort auf die wachsenden Herausforderungen im Bereich der Cybersecurity und digitalen Resilienz entwickelt. In einer Zeit, in der die Finanzbranche immer stärker von digitalen Technologien abhängig ist, wurde es notwendig, ein umfassendes Regelwerk zu schaffen, um die Stabilität und Sicherheit des europäischen Finanzsystems zu gewährleisten.

Die Ziele von DORA sind vielfältig:

  • Verbesserung der Cybersecurity: DORA hat zum Ziel, die digitale Resilienz von Finanzinstituten und kritischen Dienstleistern zu stärken, indem es strengere Sicherheitsstandards einführt. Dies soll dazu beitragen, Cyberangriffe zu verhindern oder besser darauf reagieren zu können.
  • Erhöhung der Transparenz: Das Gesetz fördert die Zusammenarbeit zwischen Finanzinstituten und Aufsichtsbehörden und erhöht die Transparenz in Bezug auf Cybersecurity-Vorfälle. Dies ermöglicht eine schnellere Reaktion auf Bedrohungen.
  • Gewährleistung der Kontinuität: DORA zielt darauf ab, die Kontinuität von kritischen Dienstleistungen im Finanzsektor sicherzustellen, selbst bei schwerwiegenden digitalen Störungen.

Anwendungsbereich des DORA

DORA erstreckt sich auf eine breite Palette von Unternehmen im Finanzsektor. Dazu gehören:

  • Finanzinstitute: Dies umfasst Banken, Versicherungsgesellschaften, Kreditinstitute und andere Finanzdienstleister.
  • Kritische Dienstleister: Unternehmen, die als entscheidend für das Funktionieren des Finanzsystems gelten, wie z. B. Clearingstellen, Wertpapierverwahrstellen und Zentralverwahrer.
  • Digitale Dienstleister: Dazu gehören Unternehmen, die digitale Dienstleistungen für Finanzinstitute oder kritische Dienstleister erbringen.

Der Anwendungsbereich von DORA ist breit gefasst, um sicherzustellen, dass die gesamte Branche die erforderlichen Maßnahmen zur Stärkung der digitalen Resilienz ergreift.

Inhalte im Überblick

Der EU Digital Operational Resilience Act (DORA) legt eine umfassende Reihe von Anforderungen und Vorschriften fest, die darauf abzielen, die digitale Resilienz im Finanzsektor zu stärken und die Risiken von Cyberangriffen und digitalen Störungen zu minimieren. Hier sind die Hauptpunkte des DORA im Überblick:

  • Cybersecurity-Anforderungen: Finanzinstitute, kritische Dienstleister und digitale Dienstleister müssen robuste Cybersecurity-Maßnahmen implementieren. Dies umfasst die Notwendigkeit, effektive Schutzmaßnahmen zu entwickeln, Schwachstellen zu identifizieren und Gegenmaßnahmen zu ergreifen, um Cyberangriffe zu verhindern oder zu begrenzen.
  • Meldung von Vorfällen: DORA legt klare Richtlinien für die Meldung von Cybersecurity-Vorfällen fest. Unternehmen sind verpflichtet, Vorfälle den zuständigen Behörden zu melden und alle relevanten Informationen bereitzustellen. Dies ermöglicht eine schnellere Reaktion und koordinierte Maßnahmen.
  • Mindeststandards für IT-Sicherheit: Der Akt definiert Mindeststandards für die IT-Sicherheit, die von Finanzinstituten und kritischen Dienstleistern erfüllt werden müssen. Dazu gehören regelmäßige Sicherheitsprüfungen, Risikobewertungen und die Implementierung von Notfallplänen zur Wiederherstellung der Dienstleistungen nach digitalen Störungen.
  • Prüfungen und Sanktionen: DORA führt Mechanismen zur Überprüfung der Einhaltung dieser Vorschriften ein. Aufsichtsbehörden sind berechtigt, Prüfungen durchzuführen, um sicherzustellen, dass Unternehmen die erforderlichen Standards erfüllen. Bei Verstößen gegen die Bestimmungen des DORA-Gesetzes können erhebliche Geldstrafen verhängt werden.

Handlungsbedarf für Unternehmen

Die Einführung des DORA-Gesetzes erfordert von Unternehmen im Finanzsektor einen aktiven Handlungsbedarf, um die neuen Anforderungen zu erfüllen und die digitale Resilienz zu stärken. Hier sind einige wichtige Schritte, die Unternehmen unternehmen müssen:

  • Cybersecurity-Maßnahmen verbessern: Unternehmen müssen ihre Cybersecurity-Strategien und -Maßnahmen überprüfen und gegebenenfalls aktualisieren. Dies kann die Implementierung fortschrittlicher Sicherheitstechnologien, die Schulung des Personals in Bezug auf Sicherheitsbewusstsein und die Entwicklung eines umfassenden Sicherheitskonzepts umfassen.
  • Meldung und Reaktionsfähigkeit stärken: Es ist entscheidend, klare Verfahren zur Meldung von Cybersecurity-Vorfällen und zur schnellen Reaktion auf Bedrohungen zu entwickeln. Dies beinhaltet die Schulung von Mitarbeitern, um verdächtige Aktivitäten zu erkennen und die Meldung von Vorfällen zu erleichtern.
  • Compliance-Programme etablieren: Unternehmen müssen Compliance-Programme einführen, die sicherstellen, dass sie den gesetzlichen Anforderungen des DORA entsprechen. Dies umfasst die regelmäßige Überprüfung der Sicherheitsmaßnahmen und die Dokumentation von Maßnahmen zur Einhaltung der Vorschriften.
  • Sensibilisierung und Schulung: Die Sensibilisierung der Mitarbeiter für Cybersecurity ist von entscheidender Bedeutung. Schulungen und Schulungsprogramme sollten entwickelt werden, um das Bewusstsein für Sicherheitsrisiken zu stärken und die Mitarbeiter in die Lage zu versetzen, sicherheitsrelevante Aufgaben effektiv auszuführen.

Die Umsetzung dieser Maßnahmen erfordert eine umfassende Anstrengung von Unternehmen, um die digitale Resilienz im Finanzsektor zu stärken und die Sicherheit und Stabilität des europäischen Finanzsystems zu gewährleisten. Die Zusammenarbeit mit Aufsichtsbehörden und die kontinuierliche Überwachung der sich entwickelnden Bedrohungslandschaft sind ebenfalls entscheidend, um den Anforderungen des DORA gerecht zu werden.

Der ISA [DE] 315 (2019 revised) ist für den Prüfungszeitraum 2023 anzuwenden – was ändert sich?

Die Finanzberichterstattungsrahmen und die Governance-Strukturen werden immer komplexer, und die Technologie spielt eine zunehmend wichtige Rolle in der Kontrollumgebung von Unternehmen. Diese Veränderungen erfordern einen umfassenderen und konsequenten Prozess zur Identifikation und Bewertung von Risiken.

Wirtschaftsprüfer/innen spielen bei der Sicherstellung von Qualität und Vertrauen in die Finanzberichterstattung von Unternehmen eine entscheidende Rolle. Ein zentraler Aspekt der Jahresabschlussprüfung besteht darin, ausreichende Prüfungshandlungen durchzuführen, um geeignete Prüfnachweise und Prüfungssicherheit zu erhalten und die Risiken wesentlicher Fehlern und Falschdarstellungen in der Rechnungslegung einschätzen bzw. ausschließen zu können.

Das International Auditing and Assurance Standards Board („IAASB“) hat eine überarbeitete, internationale Version des Prüfungsstandards ISA 315 im Dezember 2019 herausgegeben. Der deutsche Standard ISA [DE] 315 (2019 revised) wurde durch das Institut der Wirtschaftsprüfer (IDW) überarbeitet und in Heft 6/2022 der IDW Life veröffentlicht.

Was ist das Ziel des neuen Standards?

Die Überarbeitung der ISA 315 zielte darauf ab, einen systematischeren Prozess der Identifikation und Bewertung von Risiken zu fördern, was wiederum zu besseren Reaktionen auf die identifizierten Risiken führt und die Prüfungshandlungen des Wirtschaftsprüfers auf die Behandlung und Bewertung dieser Risiken fokussiert. Der bisherige Standard berücksichtigte zudem nicht den Einsatz von automatisierten Tools und Techniken und führt spezifische Leitlinien zur Verwendung automatisierter Tools und Techniken durch Wirtschaftsprüfer ein.

Der neue Standard zielt darauf ab:

  • Die Herangehensweise der Wirtschaftsprüfer an das Verständnis des Unternehmens, des Geschäftsmodells, der Branche und des Umfeld sowie der Aktivitäten zum internen Risikomanagement und Überwachung des IKS zu schärfen und bei der Risikoidentifikation und -bewertung zu berücksichtigen.
  • Den Standard flexibler zu gestalten, indem prinzipienbasierte Anforderungen überarbeitet und spezifische Überlegungen sowie Beispiele in den Anwendungshinweisen für weniger komplexe und komplexere Unternehmen aufgenommen werden und diesen auch für KMUs anwendbar zu machen.
  • Die Anwendung des Standards durch Wirtschaftsprüfer zu unterstützen, indem die Anwendungshinweise verbessert werden.

Der überarbeitete Standard gilt für Perioden, die am oder nach dem 15. Dezember 2021 beginnen.

Hauptänderungen

  • Zahlreiche Begriff werden neu eingeführt bzw. im Vergleich zum IDW PS 330 synonym neu definiert. Dazu gehören beispielsweise „bedeutende Arten von Geschäftsvorfällen, Kontensalden sowie Abschlussangaben (EN: „SCOTABD – Significant classes of transactions, account balances or disclosures“), „Risiken, die aus dem Einsatz von IT resultieren“ (EN: „RAIT – Risks arising from the use of IT“) oder auch „Kontrollaktivitäten über Journalbuchungen“ (EN: „JEC – Journal Entry Controls“), um nur einige zu nennen.
  • Eine verstärkte Betonung der professionellen Skepsis. Insbesondere wird verlangt, alle aus den Risikobewertungsverfahren gewonnenen Beweise, ob bestätigend oder widersprüchlich, zu berücksichtigen und zu bewerten, ob diese eine angemessene Grundlage für die Risikobewertung bieten. Die Dokumentation kann dabei auch die Art und Weise enthalten, wie der Wirtschaftsprüfer die Beweise bewertet hat.
  • Einführung eines neuen Spektrums von Risiken, bei denen sich am oberen Ende erhebliche Risiken befinden. Dies soll dazu führen, dass gezielter auf identifizierte Risiken reagiert wird.
  • Die separate Bewertung des inhärenten Risikos und des Kontrollrisikos sowie die Einführung von fünf neuen Faktoren des inhärenten Risikos zur Unterstützung der Risikobewertung: Subjektivität, Komplexität, Unsicherheit, Veränderung und Anfälligkeit für Fehler aufgrund von Management-Bias oder Betrug.
  • Die Erweiterung des Standards um Überlegungen der Wirtschaftsprüfer in Bezug auf IT, einschließlich neuer und aktualisierter Anhänge zur Verständnis der IT und der IT-allgemeinen Kontrollen. Wirtschaftsprüfer müssen ein Verständnis für Informationsverarbeitungsaktivitäten gewinnen und Risiken identifizieren, die aus der Nutzung von IT resultieren. Der Standard ermöglicht es Wirtschaftsprüfern, automatisierte Tools zur direkten Informationsbeschaffung oder zum digitalen Download aus den Informationssystemen des Unternehmens zu verwenden.
  • Es wird konkretisiert, welche IT-Systeme (neu: Informationssysteme) und allgemeinen IT-Kontrollen (GITC) und indirekte Kontrollen zu prüfen sind, um die Wirksamkeit von direkten Kontrollen, die auf ein Prüfungsrisiko wirken, zu bewerten.
  • Die Überarbeitung des Begriffs „Interne Kontrolle“ zu „System der internen Kontrollen des Unternehmens“. Darunter fallen Kontrollen, die ein erhebliches Risiko ansprechen, Kontrollen über Buchungssätze, Kontrollen, die der Wirtschaftsprüfer auf Wirksamkeit testen möchte sowie andere Kontrollen, die der Wirtschaftsprüfer für angemessen hält. Eine wichtige Aufgabe des Managements besteht darin, ein System der internen Kontrollen zu etablieren und aufrechtzuerhalten. Der Wirtschaftsprüfer muss das Design jeder für die Prüfung relevanten Kontrolle prüfen und sicherstellen, dass sie ordnungsgemäß umgesetzt wurde.

Dieser Standard wird damit zu einer Erhöhung der Qualität der Prüfung durch die Prüfungsteams führen, erhöht jedoch den Anspruch an das Verständnis des Unternehmensumfelds und der Informationsverarbeitungsprozesse und deren Abbildung in den IT-Systemen und des eingerichteten Kontrollsystems.

Kleinere und mittelgroße Kanzleien müssen ihr Vorgehen, insbesondere zu Risikoerfassung, der Reaktion auf diese und die Dokumentation der Prüfungsstrategie anpassen und ihre Prüfungsteams auf die Anwendung der Vorgehensweise nach dem ISA [DE] 315 (2019 revised) schulen.

NIS 2 – Die neue EU-Richtlinie zur Erhöhung der Cybersicherheit

Die Digitalisierung schreitet unaufhaltsam voran und damit auch die Bedrohungen für die Cybersicherheit. Um diesen Herausforderungen zu begegnen, hat die Europäische Union (EU) im Jahr 2016 die erste Richtlinie zur Erhöhung der Cybersicherheit (NIS 1) verabschiedet. Nun steht mit NIS 2 eine neue Richtlinie in den Startlöchern, die noch umfassender und strenger ist.

Entstehung von NIS 2

Die Entstehung von NIS 2 geht auf die Erfahrungen und Erkenntnisse aus der Umsetzung von NIS 1 zurück. Die erste Richtlinie hatte zum Ziel, die Cybersicherheit in kritischen Infrastrukturen wie Energieversorgung, Verkehr oder Gesundheitswesen zu erhöhen. Doch es zeigte sich, dass die Umsetzung in den Mitgliedsstaaten sehr unterschiedlich erfolgte und es an einheitlichen Standards und klaren Zuständigkeiten mangelte.

Daher hat die EU-Kommission im Dezember 2020 den Entwurf für NIS 2 vorgelegt, der nun von den Mitgliedsstaaten diskutiert und umgesetzt werden soll. Die neue Richtlinie soll die Cybersicherheit in allen Bereichen stärken und einheitliche Standards und Zuständigkeiten schaffen.

Inhalte von NIS 2

NIS 2 umfasst eine Vielzahl von Maßnahmen und Regelungen, die auf die Erhöhung der Cybersicherheit abzielen. Dazu gehören unter anderem:

  • Erweiterung des Anwendungsbereichs: NIS 2 soll nicht nur für kritische Infrastrukturen gelten, sondern für alle Unternehmen und Organisationen, die digitale Dienste anbieten oder von ihnen abhängig sind.
  • Verpflichtende Meldung von Sicherheitsvorfällen: Unternehmen und Organisationen müssen Sicherheitsvorfälle, die Auswirkungen auf die Verfügbarkeit, Integrität oder Vertraulichkeit von digitalen Diensten haben, innerhalb von 24 Stunden melden.
  • Erhöhung der Anforderungen an Sicherheitsmaßnahmen: Unternehmen und Organisationen müssen angemessene technische und organisatorische Maßnahmen ergreifen, um die Cybersicherheit zu gewährleisten. Dazu gehören unter anderem regelmäßige Risikoanalysen, Schulungen der Mitarbeiterinnen und Mitarbeiter und die Umsetzung von Sicherheitsstandards.
  • Schaffung eines EU-weiten Zertifizierungssystems: Unternehmen und Organisationen können sich freiwillig zertifizieren lassen, um ihre Cybersicherheit nachzuweisen. Das Zertifizierungssystem soll EU-weit einheitlich sein und auf internationalen Standards basieren.

Handlungsbedarfe und konkrete Maßnahmen

Die Umsetzung von NIS 2 erfordert von Unternehmen und Organisationen ein hohes Maß an Engagement und Investitionen in die Cybersicherheit. Insbesondere kleine und mittelständische Unternehmen (KMU) stehen vor großen Herausforderungen, da sie oft nicht über die Ressourcen und das Know-how verfügen, um die Anforderungen von NIS 2 umzusetzen.

Um die Anforderungen der NIS-Richtlinie zu erfüllen, sollten KMUs (kleine und mittlere Unternehmen) in der Europäischen Union folgende Maßnahmen ergreifen:

  1. Bewertung der kritischen Infrastruktur: Identifizieren Sie die wesentlichen Netzwerke, Systeme und Dienste, die für den Geschäftsbetrieb Ihres Unternehmens von zentraler Bedeutung sind.
  2. Risikobewertung: Führen Sie eine umfassende Risikobewertung durch, um potenzielle Bedrohungen, Schwachstellen und Risiken zu identifizieren, die Ihre Netzwerk- und Informationssicherheit beeinträchtigen könnten.
  3. Sicherheitsmaßnahmen implementieren: Ergreifen Sie geeignete technische und organisatorische Maßnahmen, um die Sicherheit Ihrer Netzwerke und Informationen zu gewährleisten. Dazu gehören z. B. Firewalls, Antivirus-Software, Verschlüsselung und Zugriffskontrollen.
  4. Incident Response Plan: Entwickeln Sie einen Notfallplan für den Umgang mit Sicherheitsvorfällen. Definieren Sie klare Verfahren zur Erkennung, Meldung, Reaktion und Wiederherstellung im Falle eines Sicherheitsvorfalls.
  5. Sicherheitsbewusstsein schaffen: Sensibilisieren Sie Ihre Mitarbeiter für Netzwerk- und Informationssicherheit. Schulen Sie sie regelmäßig über bewährte Sicherheitspraktiken, Phishing-Erkennung und den sicheren Umgang mit sensiblen Informationen.
  6. Externe Dienstleister überprüfen: Stellen Sie sicher, dass externe Dienstleister, die Zugang zu Ihren Netzwerken oder Informationen haben, angemessene Sicherheitsmaßnahmen implementiert haben.
  7. Datenschutz beachten: Stellen Sie sicher, dass Sie die Anforderungen der Datenschutz-Grundverordnung (DSGVO) erfüllen, da diese eng mit den Anforderungen der NIS-Richtlinie verbunden sind.
  8. Regelmäßige Sicherheitsaudits durchführen: Führen Sie regelmäßig interne oder externe Sicherheitsaudits durch, um die Wirksamkeit Ihrer Sicherheitsmaßnahmen zu überprüfen und potenzielle Schwachstellen zu identifizieren.
  9. Vorfallberichterstattung: Stellen Sie sicher, dass Sie Sicherheitsvorfälle den zuständigen Behörden melden, wie in der NIS-Richtlinie vorgeschrieben.
  10. Zusammenarbeit mit CERTs: Arbeiten Sie mit Computer Emergency Response Teams (CERTs) zusammen, um Informationen über Bedrohungen auszutauschen und Unterstützung bei der Bewältigung von Sicherheitsvorfällen zu erhalten.
  11. Aktuelle Software und Patches: Halten Sie Ihre Systeme und Software auf dem neuesten Stand und stellen Sie sicher, dass alle relevanten Sicherheitspatches eingespielt sind.
  12. Backup- und Wiederherstellungsplan: Implementieren Sie regelmäßige Backups Ihrer wichtigen Daten und entwickeln Sie einen Plan zur Wiederherstellung im Falle eines Datenverlusts oder einer Systembeschädigung.
  13. Physische Sicherheit: Berücksichtigen Sie auch physische Sicherheitsmaßnahmen, wie z. B. den Zugang zu Serverräumen, Büros, Technikräumen

Warum ist eine Business Impact Analyse (BIA) unverzichtbar für eine konsistente Notfallplanung?

Eine Business Impact Analyse (BIA) ist ein Prozess, der durchgeführt wird, um die Auswirkungen potenzieller Bedrohungen und Störungen auf den Geschäftsbetrieb eines Unternehmens zu bewerten. Es handelt sich um eine Methode zur Identifizierung kritischer Geschäftsprozesse und Ressourcen sowie zur Bewertung der möglichen finanziellen, operativen und rechtlichen Auswirkungen eines Ausfalls oder einer Unterbrechung. Sie hilft dabei, Risiken zu mindern, die Resilienz des Unternehmens zu stärken und die Geschäftskontinuität sicherzustellen.

Warum sollte eine Business Impact Analyse als durchgeführt werden?

Es gibt mehrere Gründe, warum eine BIA durchgeführt wird:

  1. Risikominderung: Eine BIA ermöglicht es Ihnen, die potenziellen Risiken und Bedrohungen für Ihr Unternehmen zu identifizieren und zu bewerten. Durch die Identifizierung der kritischen Prozesse und Ressourcen können Sie gezielte Maßnahmen ergreifen, um Risiken zu mindern und die Geschäftskontinuität sicherzustellen.
  2. Geschäftskontinuität: Eine BIA hilft Ihnen, sich auf mögliche Störungen oder Ausfälle vorzubereiten, indem Sie die Auswirkungen auf Ihr Unternehmen verstehen. Sie können Maßnahmen ergreifen, um Ihre kritischen Funktionen und Ressourcen zu schützen und einen Notfallplan zu erstellen, der sicherstellt, dass Ihr Unternehmen auch während einer Krise weiterhin funktioniert.
  3. Ressourcenpriorisierung: Eine BIA ermöglicht es Ihnen, Ihre Ressourcen effizienter einzusetzen, indem Sie Prioritäten setzen. Sie können erkennen, welche Geschäftsprozesse und Ressourcen am wichtigsten sind und welche weniger kritisch sind. Dadurch können Sie Ihre Investitionen und Ressourcen auf die Bereiche konzentrieren, die den größten Einfluss auf Ihr Unternehmen haben.

Wie führt man eine Business Impact Analyse durch?

Hier sind die Schritte, die Sie bei der Durchführung einer Business Impact Analyse befolgen können:

  1. Identifizieren Sie Ihre Geschäftsprozesse: Erstellen Sie eine Liste aller wichtigen Geschäftsprozesse und identifizieren Sie diejenigen, die für den Betrieb Ihres Unternehmens am kritischsten sind.
  2. Identifizieren Sie die Auswirkungen: Analysieren Sie, welche Auswirkungen ein Ausfall oder eine Unterbrechung dieser Geschäftsprozesse auf Ihr Unternehmen hätte. Berücksichtigen Sie finanzielle, operative, rechtliche und reputationsbezogene Auswirkungen.
  3. Bestimmen Sie die Wiederherstellungszeiten: Schätzen Sie die Zeit, die benötigt wird, um die einzelnen Geschäftsprozesse wiederherzustellen, falls sie ausfallen. Dies hilft Ihnen, den potenziellen Zeitverlust und die Auswirkungen auf den Geschäftsbetrieb zu verstehen.
  4. Bewerten Sie die Abhängigkeiten: Identifizieren Sie Abhängigkeiten zwischen den Geschäftsprozessen und Ressourcen. Stellen Sie fest, welche Prozesse und Ressourcen voneinander abhängen und wie sich ein Ausfall auf andere Bereiche auswirken könnte.
  5. Priorisieren Sie Ihre Maßnahmen: Basierend auf den Ergebnissen der BIA können Sie Prioritäten setzen und entscheiden, welche Maßnahmen ergriffen werden sollten, um Risiken zu mindern und die Geschäftskontinuität sicherzustellen. Dies kann die Implementierung von Notfallplänen, Sicherheitsmaßnahmen oder Redundanzen beinhalten.
  6. Aktualisieren Sie regelmäßig: Eine BIA ist keine einmalige Aufgabe. Überprüfen Sie Ihre Analysen regelmäßig und aktualisieren Sie sie, um sich ändernden Geschäftsanforderungen und Bedrohungen anzupassen.

Eine Business Impact Analyse erfordert oft die Zusammenarbeit von verschiedenen Abteilungen und Stakeholdern innerhalb des Unternehmens. Es kann auch sinnvoll sein, externe Fachleute einzubeziehen, um eine umfassende und objektive Bewertung zu gewährleisten.

Welche Hilfsmittel und Vorlagen gibt es?

Es gibt verschiedene Vorlagen und Frameworks, die als Leitfaden für die Durchführung einer Business Impact Analyse (BIA) dienen können. Hier sind einige gängige Vorlagen und Frameworks:

  1. Business Impact Analysis Template von der Disaster Recovery Journal (DRJ): Das DRJ bietet ein umfassendes BIA-Template an, das die erforderlichen Schritte und Informationen für die Durchführung einer BIA enthält. Es umfasst Abschnitte zur Identifizierung von Geschäftsprozessen, zur Bewertung von Auswirkungen, zur Priorisierung von Ressourcen und zur Entwicklung von Notfallplänen.
  2. ISO 22301: Die ISO 22301 ist ein internationaler Standard für Business Continuity Management. Der Standard enthält Anforderungen und Leitlinien zur Durchführung einer BIA. Es bietet eine strukturierte Herangehensweise an die Identifizierung von kritischen Geschäftsprozessen, die Bewertung von Auswirkungen und die Entwicklung von Maßnahmen zur Wiederherstellung.
  3. NIST SP 800-34: Das National Institute of Standards and Technology (NIST) hat den Leitfaden SP 800-34 „Contingency Planning Guide for Information Technology Systems“ veröffentlicht. Dieser Leitfaden enthält eine Vorlage für eine BIA, die sich speziell auf IT-Systeme konzentriert. Es hilft bei der Identifizierung von kritischen IT-Systemen, der Bewertung von Auswirkungen auf den IT-Betrieb und der Priorisierung von Wiederherstellungsmaßnahmen.
  4. Eigene interne Vorlagen: Viele Unternehmen entwickeln ihre eigenen BIA-Vorlagen, die spezifisch auf ihre Geschäftsprozesse, Branche und Risikoprofile zugeschnitten sind. Diese Vorlagen können Elemente aus verschiedenen Quellen kombinieren und an die spezifischen Anforderungen des Unternehmens angepasst werden.

Es ist wichtig zu beachten, dass eine Vorlage nur ein Ausgangspunkt ist und an die individuellen Anforderungen und Bedürfnisse Ihres Unternehmens angepasst werden sollte. Die Vorlagen dienen als Leitfaden und bieten eine strukturierte Herangehensweise an die BIA, aber die spezifischen Details und Inhalte sollten an Ihre Organisation angepasst werden.

Das BSI IT-Grundschutz Kompendium als Rahmenwerk und Hilfsmittel

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine Vorlage für die Business Impact Analyse (BIA) im Rahmen des IT-Grundschutz-Kompendiums an. Das IT-Grundschutz-Kompendium ist eine Sammlung von Best Practices und Empfehlungen für die Informationssicherheit, die vom BSI entwickelt wurde.

Die Vorlage für die BIA im IT-Grundschutz-Kompendium enthält verschiedene Abschnitte, die bei der Durchführung einer BIA helfen. Dazu gehören die Identifizierung der kritischen Geschäftsprozesse und Informationen, die Bewertung der Auswirkungen von Störungen oder Ausfällen, die Analyse der Abhängigkeiten zwischen den Prozessen und Informationen sowie die Priorisierung der Wiederherstellungsmaßnahmen.

Die BIA-Vorlage des BSI ist Teil des Moduls „Notfallmanagement“ im IT-Grundschutz-Kompendium. Das Kompendium kann kostenlos von der Website des BSI heruntergeladen werden. Es bietet eine umfassende Anleitung zur Durchführung von IT-Grundschutzmaßnahmen, einschließlich der BIA, um die IT-Sicherheit und Geschäftskontinuität zu gewährleisten.

Bitte beachten Sie, dass das IT-Grundschutz-Kompendium hauptsächlich auf die IT-Aspekte fokussiert ist. Wenn Sie eine umfassendere BIA durchführen möchten, die auch nicht-IT-spezifische Aspekte abdeckt, sollten Sie möglicherweise zusätzliche Vorlagen oder Frameworks verwenden oder Ihre eigene Vorlage entwickeln, die auf Ihre spezifischen Anforderungen zugeschnitten ist.

Informationssicherheit: Cybersecurity umsetzen – das MITRE Attack Framework

MITRE ATT&CK® ist eine weltweit zugängliche Wissensbasis über Taktiken und Techniken von Angreifern, die auf realen Beobachtungen beruht. Die ATT&CK-Wissensbasis wird als Grundlage für die Entwicklung spezifischer Bedrohungsmodelle und -methoden im privaten Sektor, in der Regierung und in der Gemeinschaft der Cybersicherheitsprodukte und -dienstleistungen verwendet.

Mit der Schaffung von ATT&CK erfüllt MITRE seinen Auftrag, Probleme für eine sicherere Welt zu lösen, indem es Gemeinschaften zusammenbringt, um eine effektivere Cybersicherheit zu entwickeln. ATT&CK ist offen und steht jeder Person oder Organisation zur kostenlosen Nutzung zur Verfügung.

ATT&CK Matrix for Enterprise:

Das ATT&CK Framework kann Unternehmen helfen, Analysen zu entwickeln, die die von einem Angreifer verwendeten Techniken erkennen. Folgende Hilfsmittel und Anleitungen in Form von Anwendungsfällen (Use Cases) werden dafür bereitgestellt, die nachfolgend beispielhaft für den ausgewählten Bereich aufgeführt werden.

Erkennen und Analysen

  • Erste Schritte mit ATT&CK: Erkennung und Analyse Blog Post: In diesem Blogbeitrag wird beschrieben, wie Sie ATT&CK für die Erkennung und Analyse auf drei verschiedenen Schwierigkeitsgraden einsetzen können.
  • Cyber Analytics Repository (CAR): ATT&CK ist der Rahmen für das Vorgehen von Angreifern, und CAR ist eine Wissensdatenbank mit Analysen, die auf ATT&CK basieren. In diesem Blog-Beitrag über CAR wird unsere Arbeit zur Verbesserung des Systems erläutert.
  • Auffinden von Cyber-Bedrohungen mit ATT&CK-basierten Analysen: Präsentiert eine Methodik für die Verwendung von ATT&CK zum Aufbau, Testen und Verfeinern verhaltensbasierter analytischer Erkennungsfunktionen.
  • CASCADE: Dieses MITRE-Forschungsprojekt zielt darauf ab, die Arbeit des „Blue Teams“ zu automatisieren, einschließlich der Durchführung von Analysen.
  • ATT&CKing the Status Quo Präsentation: Der letzte Teil dieser Präsentation bietet eine Einführung in die Verwendung von ATT&CK zur Erstellung von Analysen. Die Folien sind ebenfalls verfügbar.
  • Viele Mitglieder der ATT&CK-Community leisten hervorragende Arbeit bei der Analyse und Erkennung. Wir empfehlen Ihnen, sich die Präsentationen der ATT&CKcon 2018 anzusehen, um sich Anregungen zu holen. Sie können uns auch auf Twitter unter @MITREattack folgen, da wir manchmal Informationen über Community-Projekte retweeten, die ATT&CK-Nutzern helfen könnten.

ATT&CK bietet eine gemeinsame Sprache und einen Rahmen, den Red Teams nutzen können, um spezifische Bedrohungen zu emulieren und ihre Operationen zu planen.

Emulation von Angriffen und Red Teaming

Bewertung und Technik

ATT&CK kann verwendet werden, um die Fähigkeiten Ihres Unternehmens zu bewerten und technische Entscheidungen zu treffen, z. B. welche Tools oder Protokollierung Sie implementieren sollten.

Sollten Sie Unterstützung bei der Anwendung des Rahmenwerks für Ihr Unternehmen, insbesondere dem Aufbau der Use Cases, Emulation der Angriffe und Ableitung von Maßnahmen zur Verbesserung des Cyber-Schutzniveaus, nehmen Sie gern Kontakt mit uns auf.

Link zur Website: MITRE ATT&CK®

ISACA: BarCamp (hybrid) der Fachgruppe IT-Revision am 14.12 in Frankfurt

Am 14. Dezember 2022 veranstaltet unsere Fachgruppe IT-Revision ein BarCamp, zu dem alle ISACA-Mitglieder und andere interessierte Personen herzlich eingeladen sind. Das BarCamp findet in Frankfurt am Main bei der Advisori FTC GmbH (Kaiserstraße 44, 60329 Frankfurt am Main) sowie auch online statt.

WAS IST EIN BARCAMP?

Ein BarCamp (auch Unkonferenz) ist eine Tagung mit offenen Workshops. Die Inhalte der Workshops und deren Ablauf werden von den Teilnehmern zu Beginn der Tagung selbst entwickelt und im weiteren Verlauf gestaltet.

BarCamps dienen dem inhaltlichen Austausch und der Diskussion, können teilweise aber auch bereits am Ende der Veranstaltung konkrete Ergebnisse vorweisen.

MÖGLICHE THEMEN DES BARCAMPS:

1. Testing mit Künstlicher Intelligenz
2. Regulatorik am Beispiel DORA (Digital Operational Resilience Act)
3. ESG (Environment, Social, Governance) im IT-Umfeld
4. Web3 / Metaverse / Crypto / NFT  
5. Prüfung von Office 365 (Cloud)  

Bitte beachten Sie, dass diese Liste nur eine Themenauswahl darstellt und wir – abhängig von den Anmeldezahlen – nur 3 Workshops davon halten werden.

ABLAUF:

15:30-15:40 Begrüßung
15:40-16:00 Vorstellung aktueller Themen der Fachgruppe
16:00-18:30 Breakout Sessions/Workshops (inkl. 10 Min. Pause) zu o. g. Themen
18:30-19:20 Vorstellung der Ergebnisse
19:20-19:30 Verabschiedung

ANMELDUNG:

Melden Sie sich bitte über den obigen Link auf der Website der Fachgruppe bei der ISACA an.

SAP Prüfung: Export der Transporte und Benutzeränderungen aus dem SAP-System

Die Anleitung veranschaulicht, wie die für die Testierung des IKS benötigten Tabellen der Transporte und Benutzeränderungen aus dem SAP System exportiert werden können.

Vorher bitte unbedingt prüfen, ob unter den „Benutzerspezifische Einstellungen“ im SAP die Trefferanzahl und die Spaltenbreite – das Maximum sind hier 1023 Zeichen – richtig eingestellt sind, sonst werden die Daten ggf. nicht vollständig angezeigt. Weiterhin empfiehlt es sich die Felder als Feldbezeichner (technischer Name) und nicht als Feldnamen (Klartext) als SE16 Standardliste zu exportieren. Dieses kann ebenfalls unter den „Benutzerspezifischen Einstellungen“, unter dem Reiter „Data Browser“ eingestellt werden.

1. Transaktion SE16 aufrufen und nach Tabelle E070 suchen. Als Einschränkung die Daten des Prüfzeitraums unter „Datum“ eingeben. Relevant sind Programm- und Customizing-Änderungen im Prüfungszeitraum (Typ W und K) mit dem Status Freigegeben (R).

2. Nachfolgend wird der optionale Export der Tabelle TPALOG erläutert, um alle Informationen zu einem Transport zu erhalten.

Die Transaktion SE16 aufrufen und nach der Tabelle TPALOG suchen. Dort den Zeitstempel 20140101000000 bis 20141231235959 unter „Timestamp“ eingeben.

Über die Funktion SVERWEIS können die Tabellen TPALOG und E070 über die Transportnummer miteinander verknüpft werden, um eine vollständige Datensicht zu erhalten.

3. Die Transaktion SA38 aufrufen und nach dem Report RSUSR100 (in neueren SAP Releaseständen RUSUSR100N) suchen. Das Datum unter „von Datum“ und „bis Datum“ auf den Prüfzeitraum einschränken.

Hier ist zu beachten, dass je nach Release Stand des SAP Systems die Eingabemaske abweichen kann und die Selektionskriterien in verschiedenen Reitern ausgewählt werden müssen, sich aber inhaltlich nicht unterscheiden.

Die Ergebnisse werden mit der Tastenkombination „Shift+F8“ oder über die Menüleiste in eine unkonvertierte Textdatei exportiert und nachfolgend in Excel formatiert und aufbereitet.

Wichtig ist dabei, dass jede Änderung an einem Benutzerkonto aufgezeichnet wird. Das bedeutet, dass bei der Zuweisung von mehreren Berechtigungen, dem Zurücksetzen des Passworts etc. jeweils ein Eintrag in der Tabelle erzeugt wird. Um für eine Stichprobenauswahl Mehrfachselektionen einer Änderung zu verhindern, empfiehlt es sich über Duplikate über das Datum und den Benutzernamen vor Auswahl der Stichprobe zu entfernen.

Auf das Vorgehen zur Selektion von zufälligen Stichproben mit Hilfe von Excel gehen wir in einem anderen Beitrag ein.

Sollten Sie Unterstützung bei der Prüfung der Ordnungsmäßigkeit bzw. Compliance von IT-Systemen, Projekten und Prozessen benötigen, nehmen Sie gern Kontakt mit uns auf.