Finanzstabilitätsrat treibt Cyber-Harmonisierung voran
Finanzstabilitätsrat treibt
Cyber-Harmonisierung voran
Anforderungen an Meldewesen sollen angeglichen werden
fir Frankfurt
fir Frankfurt
Der Finanzstabilitätsrat (Financial Stability Board/FSB) hat Vorschläge unterbreitet, um das Meldewesen im Fall von Cyberattacken und IT-Pannen zu harmonisieren. Angesichts zunehmender Bedrohungen für Finanzinstitute durch entsprechende Angriffe und Sabotage, aber auch durch technische Fehlfunktionen und menschliches Versagen, erachten es die Stabilitätswächter als immer dringlicher, die Art und Weise zu harmonisieren, wie sie in solchen Fällen informiert werden. Hier haben sich – nach Regulierungswerk und Staat – teils erhebliche Unterschiede bei den Meldevoraussetzungen herausgebildet. So müssen in der Europäischen Union tätige Finanzinstitute IT-Vorfälle an mehrere Behörden melden, beispielsweise innerhalb unterschiedlicher Fristen, die laut FSB von „ohne unangemessene Verzögerung“ bis „innerhalb von 72 Stunden“ reichen. Der FSB ist der Bank für Internationalen Zahlungsausgleich (BIZ) in Basel angedockt und besteht aus Vertretern von Notenbanken, Finanzministerien und Aufsichtsbehörden aus aller Welt.
Um eine stärkere Harmonisierung herbeizuführen, plädiert der FSB etwa für eine Verzahnung der Aktivitäten verschiedener Behörden, für standardisierte Meldeformulare, eine Verbesserung des grenzüberschreitenden Datenaustauschs unter Berücksichtigung von Datenschutzbestimmungen, die Überprüfung der Effizienz der Meldeprozesse und eine klare Verständigung und Sprache, die Interpretationsspielräume minimiert.
Als ein probates Mittel, um zur Angleichung beizutragen, betrachtet der FSB ein gemeinsames Format von Banken und Behörden für den Austausch von Informationen über Zwischenfälle namens Fire, was für „format for incident reporting exchange“ steht. Eine Erkenntnis aus einem öffentlichen Konsultationsprozess sei, dass die Finanzbranche das Fire-Konzept weitgehend, „wenn auch gelegentlich mit Einschränkungen“, unterstütze. Fire greift unter anderem auf ein vom FSB entwickeltes Cyberlexikon zurück, das Begrifflichkeiten zum Thema klar definiert, und gibt bestimmte Datenfelder vor, die den Berichtsbedarf mehrerer Behörden erfüllen sollen.