ein Fahrplan für PS21 3 Warum die Zeit für Finanzdienstleistungen knapp wird Banner

Ein Fahrplan für PS21/3: Warum den Finanzdienstleistungen die Zeit davonläuft

Es wurde viel darüber geschrieben, dass Finanzdienstleister ihre operative Widerstandsfähigkeit verbessern müssen. Aber die meisten dieser Artikel konzentrierten sich bisher auf die EU-Gesetz zur digitalen Betriebsstabilität (DORA), das im Januar in Kraft trat – auch wenn viele britische Banken möglicherweise noch nicht konform sein. Für viele britische Finanzdienstleistungsunternehmen ist die neue Grundsatzerklärung der Financial Conduct Authority (FCA) wohl wichtiger: PS21/3.

Neben der Aufsichtserklärung der Prudential Regulation Authority (PRA) SS1 / 21, stellt es eine Reihe anspruchsvoller neuer Anforderungen für den Sektor dar, die bis zum 31. März 2025 umgesetzt sein müssen. Für alle Organisationen, die daran denken, diese Bemühungen stillschweigend zu depriorisieren, Brief „Sehr geehrter CEO“ von der FCA Anfang Februar sollten die Aufmerksamkeit lenken.

Unterm Strich erwartet der Regulator die Einhaltung der Vorschriften. Glücklicherweise kann ISO 27001 den betroffenen Organisationen dabei helfen, die Kultur der operativen Belastbarkeit zu schaffen, die FCA, PRA und DORA fordern.

Digitaler Wandel bedeutet digitales Risiko

Wie die meisten Branchen sind auch die Finanzdienstleistungen immer stärker von der digitalen Infrastruktur abhängig geworden, um wettbewerbsfähig zu bleiben und den Kunden das nahtlose Online-Erlebnis zu bieten, das sie sich wünschen. Ab 2024, nutzten etwa 86 % der Erwachsenen im Vereinigten Königreich Online-Banking, und die Zahl für dieses und mobiles Banking wird in den kommenden Jahren weiter steigen – teilweise dank der disruptiven Wirkung von Fintech-Unternehmen. Der britische Markt für diese Unternehmen ist Wert sein über 24 Milliarden Dollar (19 Milliarden Pfund) bis 2029.

Die Herausforderung bei der zunehmenden Geschwindigkeit dieser digitalen Transformation besteht in den zusätzlichen Risiken, die sie mit sich bringt. Eine zunehmende Abhängigkeit von Technologie setzt Banken und andere Unternehmen einem größeren Risiko digitaler Erpressung aus, vor allem durch Ransomware, und vergrößert gleichzeitig die Angriffsfläche, sodass Verstöße fast unvermeidlich werden. Dies ist ein potenziell ernstes Reputations- und Finanzrisiko. Laut dem Bericht des Internationalen Währungsfonds (IWF) Globaler FinanzstabilitätsberichtIn den letzten 20,000 Jahren verursachten mehr als 12 Angriffe auf den Bankensektor Verluste von über 9.5 Milliarden Dollar (20 Milliarden Pfund). Darüber hinaus haben sich die „extremen Verluste“ seit 2017 mehr als vervierfacht und belaufen sich nun auf 2.5 Milliarden Dollar (2 Milliarden Pfund).

Cyberrisiken gehen jedoch nicht immer von böswilligen Dritten aus. Ende Januar großer IT-Ausfall bei Barclays zahllose Kunden saßen im Regen, konnten weder Steuern, Rechnungen und Hypothekenzahlungen leisten noch auf korrekte Informationen auf ihren Konten zugreifen. Die Folgen für den Filialkreditgeber waren erwartungsgemäß verheerend, da er zum Zeitpunkt des Schreibens noch immer keine Erklärung für die Ursache des Vorfalls abgegeben hatte.

Was die FCA will

Deshalb scheint die FCA beispielsweise daran interessiert zu sein, die regulatorischen Anforderungen an die digitale Betriebsstabilität in diesem Sektor zu erhöhen. PS21/3 verlangt, dass Banken, Bausparkassen, Versicherer, Zahlungsanbieter und andere bis Ende März Folgendes in Ordnung bringen:

  • Identifizieren Sie die wichtigsten Geschäftsdienste der Organisation und überprüfen Sie diese regelmäßig
  • Legen Sie für jeden dieser Dienste Auswirkungstoleranzen fest und überprüfen Sie diese regelmäßig
  • Identifizieren und dokumentieren Sie die Personen, Prozesse, Technologien, Einrichtungen und Informationen, die zur Bereitstellung wichtiger Dienste erforderlich sind. Dazu gehören auch alle Lieferantenbeziehungen, die sich auf die Fähigkeit des Unternehmens auswirken könnten, innerhalb der Toleranzgrenzen für Auswirkungen zu bleiben.
  • Entwickeln Sie Testpläne, die beschreiben, wie die Organisation innerhalb der Auswirkungstoleranzen für jeden „wichtigen Geschäftsdienst“ bleiben kann – und identifizieren Sie plausible Szenarien, die auf Risiken und Schwachstellen abgestimmt sind. Dies wird den leitenden Managern helfen, sicherzustellen, dass Pläne zur Behebung von Schwachstellen angemessen finanziert werden.
  • Entwickeln und Testen von Notfallreaktionsplänen
  • Führen Sie eine Selbsteinschätzung durch gemäß Handbuch Anleitung an das zuständige Leitungsgremium. Darin sollte der Weg der Organisation zur operativen Belastbarkeit hervorgehoben werden, einschließlich einer Übersicht über gefundene Schwachstellen, getestete Szenarien (sowie deren Ergebnis), Sanierungspläne und die Gesamtstrategie zur Einhaltung der Auswirkungstoleranzen für alle kritischen Geschäftsdienste.
  • Regelmäßiges Horizon Scanning hilft dabei, neue und aufkommende Risiken zu verstehen und sicherzustellen, dass die richtigen Kontrollen vorhanden sind, um Betriebsstörungen zu erkennen, darauf zu reagieren und sich davon zu erholen

 

Die FCA hat bereits einige Beobachtungen veröffentlicht zu aktuellen Compliance-Bemühungen, die Finanzdienstleistungsunternehmen bei der Beurteilung ihrer Bereitschaft und der Fertigstellung von PS21/3-Plänen unterstützen sollen. Die Aufsichtsbehörde legt besonderen Wert darauf, sicherzustellen, dass Drittparteirisiken von den betroffenen Unternehmen kontinuierlich und aktiv gemanagt werden, gegebenenfalls auch durch Tests. Und dass Sanierungspläne vollständig finanziert sind. Sie verlangt auch, dass die konformen Organisationen PS21/3 nicht als „einmalige Aktivität“ behandeln, sondern die Anforderungen in die Unternehmenskultur einbetten.

Wie ISO 27001 helfen kann

Hier kommt ISO 27001 ins Spiel. Laut Sam Peters, Chief Product Officer von ISMS.online, gibt es in mehreren Schlüsselbereichen Übereinstimmungen zwischen dem Standard und PS21/3, darunter:

  • Governance und Rechenschaftspflicht- Beide betonen die Verantwortung der Führung bei der Festlegung und Überwachung von Resilienzstrategien.
  • Auswirkungstoleranz und Risikomanagement- Beides erfordert risikobasierte Entscheidungsfindung und die Festlegung von Risikoschwellenwerten, um die Widerstandsfähigkeit aufrechtzuerhalten.
  • Tests und Szenarioanalysen- In beiden Fällen sind regelmäßige Tests erforderlich, um die Betriebsbelastbarkeit zu bewerten und zu verbessern, sodass Unternehmen Störungen wirksam bewältigen können.
  • Risikomanagement für Dritte- Beide erfordern eine sorgfältige Prüfung Dritter, obwohl ISO 27001 einen strukturierten Ansatz zum Management von Sicherheitsrisiken für Lieferanten bietet.
  • Meldung und Reaktion auf Vorfälle- Beide erfordern eine Notfallreaktionsplanung, obwohl „ISO 27001 noch weiter geht, indem es sicherstellt, dass die Vorfallbehandlung dokumentiert, überwacht und im Laufe der Zeit verbessert wird“, so Peters.
  • Kontinuierliche Verbesserung und Lernen aus Störungen- Beide legen Wert darauf, aus Störungen zu lernen, um die Widerstandsfähigkeit kontinuierlich zu verbessern.

„Unternehmen, die ISO 27001 verwenden, verfügen bereits über eine solide Grundlage, um die Resilienzanforderungen der FCA zu erfüllen, insbesondere in den Bereichen Risikomanagement, Vorfallreaktion und kontinuierliche Verbesserung“, sagt Peters. „Durch den Einsatz von ISO 27001 können Finanzdienstleistungsunternehmen die Einhaltung der FCA-Regeln stärken und gleichzeitig ihre allgemeine Sicherheitslage und Resilienz verbessern.“

Wie bereits erwähnt, haben die neuen FCA-Regeln auch die gleichen Kernprinzipien in Bezug auf die operative Belastbarkeit wie DORA. Dazu gehören eine stärkere Rechenschaftspflicht der Führungskräfte, Belastbarkeit gegenüber Dritten, eine verbesserte Reaktion auf Vorfälle sowie „die Kartierung kritischer Dienste, die Identifizierung von Schwachstellen und die Festlegung von Risikoschwellen“, so Peters. Obwohl sich die beiden Regelungen in Bezug auf Umfang und Durchsetzung unterscheiden, bietet dies britischen Finanzunternehmen, die in der EU tätig sind, die Möglichkeit, die Strategien der FCA zur operativen Belastbarkeit mit denen von DORA abzustimmen und dabei ISO 27001 als Grundlage zu verwenden.

Dies werde letztlich „dazu beitragen, die Compliance-Bemühungen zu rationalisieren und regulatorische Risiken zu reduzieren“, so Peters abschließend.

Autor

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Alle Beiträge von Phil Muncaster anzeigen

Zusammenhängende Posts

SOC 2 ist da! Stärken Sie Ihre Sicherheit und gewinnen Sie Kundenvertrauen mit unserer leistungsstarken Compliance-Lösung!