Deutsch, Informatica

Informationssicherheit (🇩🇪)

By
Leave a comment

Informationssicherheitsbereiche und Richtlinien Risikomanagement: Richtlinie zum Informationssicherheits-Risikomanagement Sicherheitsrichtlinien und -verfahren Informationssicherheits-Rahmenrichtlinie Richtlinie zur Klassifizierung von Informationen Richtlinie zur sicheren Systemkonfiguration.

Informationssicherheitsbereiche und Richtlinien

  • Risikomanagement: Richtlinie zum Informationssicherheits-Risikomanagement
  • Sicherheitsrichtlinien und -verfahren
    • Informationssicherheits-Rahmenrichtlinie
    • Richtlinie zur Klassifizierung von Informationen
    • Richtlinie zur sicheren Systemkonfiguration
    • Richtlinie zur Zugriffsverwaltung
    • Richtlinie zur Kryptografie
    • Richtlinie zur physischen Sicherheit
    • Richtlinie zur sicheren Softwareentwicklung (falls zutreffend)
  • Notfallplanung: Richtlinie zum Business Continuity Management (BCM) und Disaster Recovery (DR)
  • Sensibilisierung und Schulung der Mitarbeiter: Richtlinie zur Informationssicherheits-Schulung und Sensibilisierung
  • Incident Response: Richtlinie zum Informationssicherheits-Incident Response Management
  • Überwachung und Auditierung: Richtlinie zur Überwachung und Auditierung der Informationssicherheit
  • Technische Sicherheitsmaßnahmen
    • Richtlinie zur Netzwerksicherheit
    • Richtlinie zum Endpoint Security
    • Richtlinie zur Datensicherung und -wiederherstellung
  • Lieferantenmanagement (Sicherheitsaspekte): Richtlinie zum Lieferantenmanagement (Informationssicherheit)

EU Richtlinien (Finanzinstitution)

Für eine Finanzinstitution, muss man in der EU folgenden wichtigsten  Richtlinien und Verordnungen beachten:

  • Datenschutz-Grundverordnung (DSGVO):
    • Umgang mit personenbezogenen Daten deiner Kunden und Mitarbeiter.
  • Geldwäschegesetz (2025: GwG) basierend auf EU-Geldwäscherichtlinien:
    • Sorgfaltspflichten bei der Identifizierung von Kunden.
    • Meldung verdächtiger Transaktionen.
  • Digital Operational Resilience Act (DORA):
    • Anforderungen an die IKT-Sicherheit und digitale Widerstandsfähigkeit im Finanzsektor.
    • Meldung von IKT-Vorfällen. (Für kleine Leasing-Unternehmen gibt es hier oft Erleichterungen und längere Übergangsfristen.)
  • Richtlinie über präventive Restrukturierungsrahmen (EU 2019/1023):
    • Regelungen zu präventiven Restrukturierungsverfahren für Unternehmen in finanziellen Schwierigkeiten.
  • Kapitaladäquanzverordnung (2025: CRR) und Kapitaladäquanzrichtlinie (CRD IV/V):
    • Eigenmittelanforderungen, Liquiditätsanforderungen und Verschuldungsquoten. (Dies betrifft Leasing-Unternehmen, die als Kreditinstitute oder Finanzdienstleistungsinstitute im Sinne des KWG gelten.)
  • EU-Taxonomie-Verordnung:
    • Offenlegungspflichten für nachhaltige Wirtschaftsaktivitäten, falls du bestimmte Größenkriterien erfüllst oder nachhaltige Finanzprodukte anbietest.
  • IFRS 16 (International Financial Reporting Standard 16) Leasingverhältnisse:
    • Internationale Rechnungslegungsstandards für Leasingverhältnisse, die EU-weit übernommen wurden.

Beachte: die genaue Anwendbarkeit und der Umfang der Pflichten von der genauen Klassifizierung des Unternehmens (z.B. als Finanzdienstleistungsinstitut nach KWG) und dessen Größe und Komplexität abhängen können.

Lokale Gesetze und Verordnungen (in Deutschland)

Zusätzlich zu den EU-Richtlinien man muss auch spezifische deutsche Gesetze und Verordnungen befolgen:

  • Kreditwesengesetz (2025: KWG):
    • Leasinggeschäfte, insbesondere Finanzierungsleasing, können unter das KWG fallen und eine Erlaubnis der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) erfordern, je nach Umfang und Art des Geschäfts. Es gibt auch Ausnahmetatbestände.
  • Geldwäschegesetz (2025: GwG):
    • Als Finanzinstitut bist du Verpflichtete im Sinne des GwG. Das bedeutet:
      • Kundenidentifizierungspflichten: Sorgfältige Prüfung der Identität deiner Kunden und ggf. der wirtschaftlich Berechtigten.
      • Meldepflichten: Verdächtige Transaktionen müssen an die Zentralstelle für Finanztransaktionsuntersuchungen (FIU) gemeldet werden.
      • Interne Sicherungsmaßnahmen: Du musst interne Prozesse zur Geldwäscheprävention einrichten (z.B. Risikomanagement, Schulungen).
  • Datenschutzrecht (ergänzend zur DSGVO):
    • Bundesdatenschutzgesetz (2025: BDSG): Ergänzt die DSGVO in bestimmten Bereichen, insbesondere bei der Verarbeitung von Beschäftigtendaten oder spezifischen nationalen Öffnungsklauseln der DSGVO.
  • Handelsgesetzbuch (2025: HGB):
    • Rechnungslegungsvorschriften, Buchführungspflichten und Handelsregistereintragungen.
  • Abgabenordnung (2025: AO):
    • Regelungen zur Besteuerung, darunter auch Aufbewahrungsfristen für Geschäftsunterlagen.
  • Verordnung über die Anforderungen an die IT-Systeme von Banken (BAIT) / zukünftig DORA-Umsetzungsgesetz:
    • Obwohl DORA eine EU-Verordnung ist und direkt gilt, wird es nationale Umsetzungsgesetze geben. Die BAIT ist derzeit die nationale Auslegung und Konkretisierung der Anforderungen an die IT-Sicherheit für beaufsichtigte Unternehmen. DORA wird die BAIT mittelfristig ersetzen oder ergänzen. Für kleine Leasing-Unternehmen gibt es bei DORA, wie bereits erwähnt, Erleichterungen.
  • Sonstige relevante Gesetze:
    • Bürgerliches Gesetzbuch (2025: BGB): Allgemeines Vertragsrecht.
    • Verbraucherkreditrecht: Falls du Leasingverträge mit Verbrauchern abschließt, musst du spezifische Verbraucherschutzvorschriften beachten.

Die BaFin ist die zuständige Aufsichtsbehörde, die die Einhaltung dieser Gesetze überwacht.

Das Bild in der Kopfzeile ist:Foto von Buffik aus Pixabay.

Related articles

DORA (Digital Operational Resilience Act) (🇩🇪)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *