Protokoll Fachgremium IT am 13.12.2022

Die BaFin veröffentlicht ein Protokoll der Sitzung des Fachgremiums IT vom 13. Dezember 2022.
Es ist wichtig, die folgenden zitierten Tagesordnungspunkte zu berücksichtigen:
Die Auswertungsergebnisse des ICT SREP wurden dargelegt, wobei Methodik und Untersuchung der beteiligten Institute hervorgehoben wurden. Eine Gesamtzahl von 662 Fragebögen wurde analysiert, wodurch Risikoebenen und Risikokontrollkategorien dargestellt wurden. Es gab Diskussionen über Bereiche, in denen Verbesserungspotential gesehen wurde, insbesondere im Hinblick auf den Sollmaßnahmenkatalog und die operative Informationssicherheit.
Ein weiterer diskutierter Punkt war der DORA. Die Aufsichtsvertreter gaben Einblicke in den aktuellen Fortschritt der Verordnung und die bisherigen Arbeiten dazu. Sie klärten auf, dass die Verordnung Anfang 2023 in Kraft treten wird und 24 Monate später Anwendung findet.
Zudem wurde der derzeitige Stand der Orientierungshilfe zur Cloud-Auslagerung von einem Aufsichtsvertreter präsentiert. Derzeit wird diese Hilfestellung überarbeitet, um die seit 2018 aufgetretenen Entwicklungen und die fortgeschrittene Aufsichtspraxis zu berücksichtigen.
Die Diskussionen konzentrierten sich auf das Verbesserungspotential im Informationsrisikomanagement und der Informationssicherheit, die Funktion des Informationssicherheitsbeauftragten, zukünftige Untersuchungen und Erwartungen hinsichtlich des DORA.