Ende August hat sich die österreichische Finanzmarktaufsicht gezielt dem Thema IT-Sicherheit und Datenschutz in Wertpapierdienstleistungsunternehmen (WPDLU) und Wertpapierfirmen (WPF) angenommen und einen Leitfaden veröffentlicht. Auf den ersten Blick umfasst der FMA-Leitfaden „nur“ achtzehn Seiten, doch die FMA verweist auch auf etablierte Standards, die ihrerseits einige tausend (!) Seiten umfassen.
Zwar stellt der FMA-Leitfaden keine Verordnung dar, für die angesprochenen Wertpapier-Dienstleister ist es aber wohl ratsam den „Überblick über Ausgestaltung, Anforderungen und Vorkehrungen betreffend die IT-Sicherheit als Orientierungshilfe“ angemessen in die Praxis umzusetzen. Erlaubt ist dabei, noch „höhere Standards und bessere Techniken“ festzulegen. Was bei einem Blick in die erwähnten Standards, auf die verwiesen wird, mehr als engagiert wäre.
Die gerade einmal noch 107 in Österreich verbliebenen WPDLU und WPF – viele davon EPUs bzw. Unternehmen mit weniger als einem Dutzend Mitarbeiter – werden in den FMA-Leitlinien an die geltenden Organisationspflichten des Wertpapieraufsichtsgesetzes und der delegierten Verordnung (EU) 2017/565 (MiFID II) erinnert. Dort werden unter anderem Maßnahmen zur Sicherstellung der Integrität und Vertraulichkeit von Informationen sowie solide Sicherheitsmechanismen gefordert. Jedenfalls muss die Vertraulichkeit der Daten jederzeit gewährleistet sein.
Verwiesen wird im FMA-Leitfaden auch auf das 708-seitige Österreichische Informationssicherheitshandbuch und das 716-seitige IT-Grundschutz-Kompendium des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI). Zum Letztgenannten gibt es zusätzlich 810 Seiten mit Umsetzungshinweisen, die – überspitzt formuliert – wohl auch geeignet wären Fort Knox zu sichern. Zwar wird im Leitfaden auf die individuelle Angemessenheit verwiesen, um deren Maß herauszufinden wird es aber ratsam sein zuerst einmal einen Blick in die gesamten Dokumente und Standards zu werfen.
Abschließend nimmt die FMA Bezug auf IT- und Outsourcing-Risiken beim Heranziehen von vertraglich gebundenen Vermittlern (VGV) und Wertpapiervermittlern (WPV). Denn auch hier liegt es in der Verantwortung des Rechtsträgers, dass Informationen entsprechend geschützt werden. Dazu gilt es unter anderem folgende Fragen zu betrachten:
- Werden sämtliche relevanten Informationen, die sich bei den VGV und WPV befinden, angemessen geschützt?
- Sind die bei den VGV und WPV verwendeten Applikationen und Systeme (z.B. Cloud, WLAN, mobile Geräte, etc.) als sicher zu beurteilen?
- Gibt es bei den WPV und VGV entsprechende Vorkehrungen in Bezug auf Zugriffskontrolle?
- Verfügen die WPV und VGV über ein angemessenes Passwortmanagement (Komplexität, Länge und Lebensdauer von Passwörtern)?
Nur ein Klick zur Newsletter-Anmeldung!
Nach Klick auf den Button können Sie mir eine Nachricht an meine Adresse jaichwillnews@andreasdolezal.at mit Ihren Kontaktdaten in der Signatur senden. Diese Nachricht verstehe ich als Ihre Zustimmung für das Zusenden von Informationen an Ihre Absender-Mailadresse sowie das Akzeptieren der Datenschutzerklärung.
Weitere interessante Beiträge: