– Herr Beucher, Hackerangriffe und Datendiebstahl schrecken immer wieder auch Banken, Versicherungen und Börsenunternehmen auf. Auch deshalb arbeiten EU und die Bundesregierung an neuen Regeln zur Verbesserung der Cybersicherheit. Wie ist der Stand der Gesetzgebung?Die Entwürfe für die Cybersicherheits-Richtlinie auf EU-Ebene und das deutsche IT-Sicherheitsgesetz sehen verbindliche IT-Mindestanforderungen und eine Meldepflicht erheblicher IT-Sicherheitsvorfälle für kritische Infrastrukturen vor, unter die auch der Finanzsektor fällt. Beide Gesetzgebungsvorhaben verzögern sich stetig, obwohl Politik und Wirtschaft sich einig sind, dass angesichts der gesteigerten Bedrohungslage durch Cyberangriffe ein gemeinsames konzentriertes Handeln auf allen Ebenen absolut notwendig ist. Mit der Verabschiedung des deutschen IT-Sicherheitsgesetzes wird nun noch vor der Sommerpause gerechnet. Die Cybersicherheits-Richtlinie wird wohl nicht vor 2015 kommen.- Warum die Verzögerung?Die Diskussionen drehen sich um die Frage, wie konkret die technischen Vorgaben sein sollen. Regulierung in einem solch technischen Bereich wie IT-Sicherheit ist per se schwierig. Einerseits sind möglichst konkrete Vorgaben wünschenswert, um einen einheitlichen hohen und transparenten Sicherheitsstandard zu erreichen. Gleichzeitig kann Regulierung nie so schnell sein, wie sich die Technik entwickelt. Man wird sich letztendlich “nur” auf Mindeststandards und eine generelle Definition meldepflichtiger Vorfälle einigen können, die dann branchenspezifisch mit Leben gefüllt werden müssen.- Was ändert sich für Banken durch die geplante Regulierung?Finanzdienstleister unterliegen derzeit in Deutschland bereits durch das Kreditwesengesetz (KWG) und die Kontrolle durch die BaFin relativ strengen Regeln. Sie orientiert sich an den Mindestanforderungen an das Risikomanagement (MaRisk) unter Einbeziehung der technischen Standards des BSI. 2013 hat die Behörde parallel zu den laufenden Gesetzesvorhaben ihre Anforderungen weiter konkretisiert. Danach haben Banken dafür zu sorgen, dass ihre IT-Systeme und IT-Prozesse die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten unter Beachtung gängiger technischer Standards gewährleisten.- Was sagt die BaFin?IT-Risiken fallen unter die operationellen Risiken. Die BaFin hat deutlich gemacht, dass die Geschäftsleitung einer Bank sich nicht mit der Einrichtung eines IT-Sicherheitsmanagements und einer ISO-Zertifizierung begnügen darf, sondern dass diese Struktur laufend dem Geschäft angepasst werden muss. Die Geschäftsleitung muss sich über das IT-Sicherheitsmanagement und die verbleibenden Risiken haftet, informieren. Die Einschätzung und der Umgang mit IT-Sicherheit sind heutzutage also keine Frage mehr, die den technischen Abteilungen allein überlassen werden kann.- Werden Banken IT-Sicherheitsvorfälle melden müssen?Die in Arbeit befindlichen Regelungen werden aufsichtsrechtliche Meldepflichten für erhebliche IT-Sicherheitsvorfälle vorsehen. Die BaFin hat dem vorgegriffen und am 17. April 2014 in einer Stellungnahme zum Heartbleed-Bug mitgeteilt, dass sie von Kreditinstituten erwartet, über wesentliche Schäden oder kritische IT-Sicherheitsvorfälle informiert zu werden. Die US-SEC hat 2011 Leitlinien zu Veröffentlichungspflichten bei Cyber-Angriffen und Cyber-Risiken erlassen und stuft Cyber-Angriffe als publikationspflichtig ein, sobald sie wesentliche Auswirkungen auf das Geschäft haben. In Deutschland kommt für notierte Unternehmen eine Meldung im Rahmen der Ad hoc-Meldepflichten in Betracht.- Betreffen die Meldepflichten auch andere Finanzmarkt-Player?Die neuen und die bestehenden Regeln gelten für den gesamten Finanzmarkt, also auch für Versicherungen und Finanzdienstleister. Über begriffliche Feinheiten wird zwar sowohl auf EU- als auch auf deutscher Ebene noch diskutiert. Erfasst sind alle Unternehmen, die entweder der Banken-, Versicherungs- oder Wertpapieraufsicht unterliegen.—-Klaus Beucher ist Partner von Freshfields Bruckhaus Deringer. Die Fragen stellte Sabine Wadewitz.