Wien. Die Finanzmarktaufsicht FMA hat Leitfäden zur IT-Sicherheit bei Fonds-Verwaltern und Wertpapierdienstleistern veröffentlicht.
Die Österreichische Finanzmarktaufsichtsbehörde (FMA) hat vor kurzem ihre Leitfäden zur IT-Sicherheit bei Verwaltungsgesellschaften und Wertpapierdienstleistern veröffentlicht.
Diese Leitfäden schließen eine Initiative ab, mit der die FMA als integrierte Aufsichtsbehörde in allen Bereichen des Finanzmarktes einheitliche Rahmenbedingungen für die Digitalisierung schaffen will. Im Mai und Juli 2018 hat die FMA wie berichtet bereits entsprechende Leitfäden für Banken beziehungsweise Versicherungen herausgegeben – und die Einhaltung der IT-Sicherheitsvorschriften teilweise auch schon durch Prüfungen vor Ort kontrolliert.
Wozu das Ganze?
„Für uns ist es wichtig, mit diesen Leitfäden am gesamten österreichischen Finanzmarkt transparente und einheitliche Standards zu etablieren. Kunden müssen sicher sein können, dass ihre Daten vor Missbrauch geschützt sind und die angebotenen digitalen Services durchgehend zur Verfügung stehen, egal ob ihr Anbieter eine Bank, Versicherung, oder Wertpapierfirma ist“, werden die FMA Vorstände Helmut Ettl und Klaus Kumpfmüller zitiert.
IT-Sicherheit sei einer der FMA Aufsichts- und Prüfschwerpunkte für das Jahr 2018. Digitale Datenverarbeitung und Prozesse werden schließlich auch bei der Veranlagung von Wertpapieren immer bedeutender – sei es in der Anlageberatung, in der Verwaltung von individuellen und kollektiven Portfolien, oder in der Geschäftsabwicklung.
Mit der Verbreitung digitaler Technologien steigt aber auch die Bedeutung von IT-Risiken, und international – wenn auch zum Glück noch kaum in Österreich – sind bereits Milliardenschäden durch Cybercrime bei Banken bekanntgeworden.
Die neuen Leitfäden sollen die Erwartungshaltung der FMA in Punkto IT-Sicherheit klarstellen und transparente Rahmenbedingungen für den Ausbau des digitalen Angebots in der Portfolioverwaltung und im Wertpapiervertrieb herstellen.
Sie richten sich an Alternative Investmentfonds-Manager, Betriebliche Vorsorgekassen, und Verwalter von Kapitalanlagefonds und Immobilienfonds, sowie an Wertpapierdienstleister.
Die FMA folge auch mit diesen Leitfäden dem Grundsatz der Proportionalität in ihren Aufsichtsanforderungen: Ein höheres Risiko ist mit höheren Anforderungen an die IT-Sicherheit verbunden. Bei der Umsetzung der Leitfäden können Art, Umfang und Komplexität der Geschäfte sowie die Risikostruktur eines Unternehmens individuell berücksichtigt werden.
Folgende Bereiche sind laut den Angaben umfasst:
- Unternehmen haben IT-Risiken im Rahmen einer IT-Strategie zu managen, dafür eine entsprechende IT-Governance einzurichten und interne Sicherheitsrichtlinien zu erstellen.
- Unternehmen müssen über ein Informationssicherheitsmanagement verfügen. Abhängig von Größe und Risiko des Unternehmens kann das auch die Einrichtung eines Informationssicherheitsbeauftragten umfassen. Eine wesentliche Aufgabe des Informationssicherheitsmanagements ist es, die Integrität und Vertraulichkeit der von den Unternehmen verwalteten Daten sicherzustellen.
- Ein IT-Notfallmanagement muss auch in Störungsfällen die Verfügbarkeit von IT-Systemen und Dienstleistungen sicherstellen.
- Bei der Auslagerung von IT-Dienstleistungen – etwa auch Cloud-Anbieter – haben Unternehmen sicherzustellen, dass Drittanbieter ein vergleichbar hohes Maß an IT-Sicherheit gewährleisten. Dies gilt auch, wenn Dienstleistungen innerhalb einer Unternehmensgruppe ausgelagert werden.
- Die Leitlinien stellen überdies klar, dass Wertpapierdienstleister, die mit vertraglich gebundenen Vermittlern (VGV) oder Wertpapiervermittlern (WPV) zusammenarbeiten, dafür Sorge zu tragen haben, dass diesen zur Verfügung gestellte Kundendaten ausreichend geschützt werden.
- Gleichfalls haben Verwaltungsgesellschaften sicher zu stellen, dass Kundeninformationen, die sie einer Depotbank übermitteln, dort sicher sind.
Link: FMA Leitfäden (IT-Sicherheit Verwaltungsgesellschaften / IT-Sicherheit Wertpapierdienstleistungsunternehmen bzw. Wertpapierfirmen)
