Die neuen IT-Leitfäden runden eine Initiative ab, mit der die FMA als integrierte Aufsichtsbehörde in allen Bereichen des Finanzmarktes einheitliche Rahmenbedingungen für die Digitalisierung schaffen möchte. Im Mai und Juli dieses Jahres hat sie bereits entsprechende Leitfäden für Banken beziehungsweise Versicherungen herausgegeben.
„Für uns ist es wichtig, mit diesen Leitfäden am gesamten österreichischen Finanzmarkt transparente und einheitliche Standards zu etablieren. Kunden müssen sicher sein können, dass ihre Daten vor Missbrauch geschützt sind und die angebotenen digitalen Services durchgehend zur Verfügung stehen, egal ob ihr Anbieter eine Bank, Versicherung, oder Wertpapierfirma ist“, so die FMA Vorstände Helmut Ettl und Klaus Kumpfmüller. IT-Sicherheit ist einer der FMA Aufsichts- und Prüfschwerpunkte für das Jahr 2018.
Digitale Datenverarbeitung und Prozesse werden auch bei der Veranlagung von Wertpapieren immer bedeutender – sei es in der Anlageberatung, in der Verwaltung von individuellen und kollektiven Portfolien, oder in der Geschäftsabwicklung. Mit der Verbreitung digitaler Technologien steigt auch die Bedeutung von IT-Risiken. Die Leitfäden stellen die Erwartungshaltung der FMA in Punkto IT-Sicherheit klar und bringen damit transparente Rahmenbedingungen für den Ausbau des digitalen Angebots in der Portfolioverwaltung und im Wertpapiervertrieb. Sie richten sich an Alternative Investmentfonds-Manager, Betriebliche Vorsorgekassen, und Verwalter von Kapitalanlagefonds und Immobilienfonds, sowie an Wertpapierdienstleister.
Die FMA folgt auch mit diesen Leitfäden dem Grundsatz der Proportionalität in ihren Aufsichtsanforderungen. Ein höheres Risiko ist mit höheren Anforderungen an die IT-Sicherheit verbunden. Bei der Umsetzung der Leitfäden können Art, Umfang und Komplexität der Geschäfte sowie die Risikostruktur eines Unternehmens individuell berücksichtigt werden.
Folgende Bereiche sind umfasst:
- Unternehmen haben IT-Risiken im Rahmen einer IT-Strategie zu managen, dafür eine entsprechende IT-Governance einzurichten und interne Sicherheitsrichtlinien zu erstellen.
- Unternehmen müssen über ein Informationssicherheitsmanagement verfügen. Abhängig von Größe und Risiko des Unternehmens kann das auch die Einrichtung eines Informationssicherheitsbeauftragten umfassen. Eine wesentliche Aufgabe des Informationssicherheitsmanagements ist es, die Integrität und Vertraulichkeit der von den Unternehmen verwalteten Daten sicherzustellen.
- Ein IT-Notfallmanagement muss auch in Störungsfällen die Verfügbarkeit von IT-Systemen und Dienstleistungen sicherstellen.
- Bei der Auslagerung von IT-Dienstleistungen – etwa auch Cloud-Anbieter – haben Unternehmen sicherzustellen, dass Drittanbieter ein vergleichbar hohes Maß an IT-Sicherheit gewährleisten. Dies gilt auch, wenn Dienstleistungen innerhalb einer Unternehmensgruppe ausgelagert werden.
- Die Leitlinien stellen überdies klar, dass Wertpapierdienstleister, die mit vertraglich gebundenen Vermittlern (VGV) oder Wertpapiervermittlern (WPV) zusammenarbeiten, dafür Sorge zu tragen haben, dass diesen zur Verfügung gestellte Kundendaten ausreichend geschützt werden.
- Gleichfalls haben Verwaltungsgesellschaften sicher zu stellen, dass Kundeninformationen, die sie einer Depotbank übermitteln, dort sicher sind.
Den Volltext des „FMA Leitfadens IT-Sicherheit Verwaltungsgesellschaften“ und des „FMA Leitfadens IT-Sicherheit Wertpapierdienstleistungsunternehmen bzw. Wertpapierfirmen“ finden interressierte Leser hier auf der FMA-Website.