ICT-Risiken: Banca d'Italia fordert Banken zur DORA-Vorbereitung auf

Am 17. Januar 2025 wird die europäische Verordnung über die digitale operationelle Resilienz des Finanzsektors (Digital Operational Resilience Act, DORA) anwendbar.

Diese führt harmonisierte Normen zur Stärkung des ICT-Risikomanagements ein.

Die Banca d'Italia verfolgt die ICT-Sicherheit bereits seit Längerem durch Aufsichtsinitiativen.

Jüngste Analysen der Bank, wie im Dokument „Digital resilience in the Italian financial sector: evidences from the supervisory incident reporting framework“ dargelegt, zeigen einen Anstieg schwerwiegender operativer und Cyber-Vorfälle in den letzten drei Jahren, wobei Cyber-Vorfälle 2023 besonders stark zunahmen.

Operative Vorfälle sind oft auf Mängel im ICT-Änderungsmanagement zurückzuführen, während Cyber-Vorfälle meist unbefugte Zugriffe betreffen, die zu Daten- oder Dienstleistungsverletzungen führen.

Weitere Schwachstellen wurden durch die Untersuchung der Banca d'Italia zur Aggregation und Berichterstattung von Risikodaten italienischer Banken („Indagine Risk Data Aggregation“) aufgedeckt.

Mögliche Mängel bei der Verwaltung und Aggregation von Risikodaten sowie unzureichende ICT-Systeme zur Unterstützung von Entscheidungsprozessen können die Solidität der Risikosteuerung beeinträchtigen.

Ähnliche Erkenntnisse lieferte die horizontale Analyse des Einheitlichen Aufsichtsmechanismus (SSM) zu IT- und Cyber-Risiken bei bedeutenden Banken.

Es ist daher unerlässlich, dass die Intermediäre das ICT-Risikoprofil angemessen überwachen, da es zunehmend die Grenzen des operationellen Risikos überschreitet und aufgrund der wachsenden Technologieabhängigkeit die gesamte Geschäftstätigkeit beeinflusst.