APRA CPS 234: Bewährte Praktiken für die Erfüllung der Anforderungen an das Risikomanagement von Drittparteien

Die australische Aufsichtsbehörde APRA (Australian Prudential Regulation Authority) CPS 234 zielt darauf ab, die operative Widerstandsfähigkeit im Finanzsektor zu verbessern. Hier finden Sie bewährte Verfahren zur Erfüllung der wichtigsten Anforderungen an die Informationssicherheit durch Dritte in diesem Standard.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter Dezember 13, 2022 8 min gelesen
Decorative image

Als Reaktion auf die ständige Bedrohung durch Cyberangriffe auf Finanzdienstleistungsunternehmen hat die australische Aufsichtsbehörde (Australian Prudential Regulation Authority, APRA) im Juli 2019 die Regulierungsnorm CPS 234
” eingeführt. Die Norm verpflichtet alle Finanzdienstleistungsunternehmen in Australien dazu, „Maßnahmen zu ergreifen, um gegen Vorfälle im Bereich der Informationssicherheit (einschließlich Cyberangriffen) widerstandsfähig zu sein, indem sie eine Informationssicherheitskapazität aufrechterhalten, die den Schwachstellen und Bedrohungen im Bereich der Informationssicherheit angemessen ist”.

Insbesondere verlangt CPS 234 von Organisationen Folgendes:

  • Die Rollen und Verantwortlichkeiten des Vorstands, der Geschäftsleitung, der Leitungsgremien und Einzelpersonen im Bereich der Informationssicherheit klar definieren.
  • Aufrechterhaltung einer Informationssicherheitskapazität, die operative Widerstandsfähigkeit ermöglicht und dem Ausmaß der Bedrohungen für die Informationsressourcen angemessen ist;
  • Kontrollen zum Schutz seiner Informationsressourcen entsprechend ihrer Kritikalität und Sensibilität implementieren und die Wirksamkeit dieser Kontrollen systematisch überprüfen; und
  • Benachrichtigen Sie APRA über wesentliche Vorfälle im Bereich der Informationssicherheit.

Ein wichtiges Ziel der Norm ist es, die Auswirkungen von Vorfällen im Bereich der Informationssicherheit auf die Vertraulichkeit, Integrität und Verfügbarkeit von Vermögenswerten und Daten, die von Dritten verwaltet werden, zu minimieren. Dieser Beitrag untersucht wichtige Bestimmungen der APRA CPS 234, die die Anforderungen an die Informationssicherheit durch Dritte regeln, und identifiziert bewährte Verfahren, mit denen Sie diese Anforderungen erfüllen können.

APRA CPS 234 Richtlinien zur Informationssicherheit für das Risikomanagement von Drittanbietern

Der APRA-Standard ist in mehrere Kategorien von Anforderungen unterteilt. Wir haben die für das Risikomanagement von Drittanbietern am besten geeigneten Anforderungen und Best-Practice-Fähigkeiten identifiziert, die zur Erfüllung der Anforderungen beitragen können.

Rollen und Verantwortlichkeiten

Diese Kategorie umfasst Bestimmungen, die Unternehmen dazu verpflichten, festzulegen, wer in ihrer Organisation für die Informationssicherheit verantwortlich ist und welche Funktionen diese Personen ausüben. Sie fördert die Bildung funktionsübergreifender Teams, um eine angemessene Aufsicht und Governance durch den Vorstand zu gewährleisten.

Um sicherzustellen, dass das Risikomanagement für Dritte ein wichtiger Bestandteil eines umfassenden Informationssicherheitsprogramms ist, sollten Sie ein umfassendes Programm zum Risikomanagement für Dritte (TPRM) entwickeln, das mit Ihren allgemeinen Programmen für Informationssicherheit und Governance, Risiko und Compliance im Einklang steht und auf bewährten Best Practices und umfangreichen praktischen Erfahrungen basiert. Im Rahmen dieses Governance-Programms sollten Ihre internen Teams Folgendes definieren:

  • Klare Rollen und Verantwortlichkeiten (z. B. RACI)
  • Vorräte von Dritten
  • Risikoeinstufung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens
  • Bewertungs- und Überwachungsmethoden auf der Grundlage der Kritikalität von Dritten
  • Kartierung von Drittanbietern
  • Quellen für kontinuierliche Überwachungsdaten (Cyber-, Geschäfts-, Reputations- und Finanzdaten)
  • Zentrale Leistungsindikatoren (KPIs) und zentrale Risikoindikatoren (KRIs)
  • Richtlinien, Standards, Systeme und Prozesse zum Schutz von Daten
  • Einhaltung von Vorschriften und vertraglichen Berichterstattungsanforderungen in Bezug auf Service-Levels
  • Anforderungen an die Reaktion auf Vorfälle
  • Risiko- und interne Stakeholder-Berichterstattung
  • Strategien zur Risikominderung und -behebung

Achten Sie darauf, alle Phasen des Lebenszyklus von Drittanbietern zu berücksichtigen – von der Beschaffung und Due Diligence bis hin zur Kündigung und zum Offboarding –, um die Erwartungen an die Risikobereitschaft Ihres Unternehmens anzupassen.

Informationssicherheitskompetenz

Diese Kategorie umfasst Anforderungen zur regelmäßigen Bewertung der Informationssicherheitskapazitäten von Dritten und zur kontinuierlichen Überwachung von Bedrohungen.

Um diesen unter Umständen sehr mühsamen Prozess zu automatisieren, sollten Sie Folgendes in Betracht ziehen:

  • Nutzung mehrerer Arten der Risikobewertung durch Dritte, unterstützt durch Workflow-, Aufgabenmanagement- und automatisierte Funktionen zur Überprüfung von Nachweisen. Diese Flexibilität hilft Ihrem Team, die für das Unternehmen wichtigsten Risiken anzugehen.
  • Überwachung des Internets und des Dark Webs auf Cyber-Bedrohungen und Schwachstellen sowie öffentlicher und privater Quellen für Informationen zu Reputation, Sanktionen und Finanzen. Dies trägt dazu bei, zwischen den Bewertungen einen kontinuierlichen Fokus auf Risiken aufrechtzuerhalten.
  • Korrelation von Überwachungsdaten mit Bewertungsergebnissen in einem einheitlichen Risikoregister für jeden Anbieter, wodurch die Risikoprüfung, Berichterstattung und Reaktionsinitiativen optimiert werden.
  • Aufbau einer Bibliothek mit Abhilfemaßnahmen auf der Grundlage von Risikobewertungsergebnissen, um sicherzustellen, dass Dritte Risiken zeitnah und zufriedenstellend angehen.

Wenn Sie nur über begrenzte Ressourcen und Fachkenntnisse verfügen, können Sie das Management des Risikolebenszyklus von Drittanbietern auslagern – von der Einbindung von Lieferanten und der Sammlung von Nachweisen bis hin zur Bereitstellung von Leitlinien zur Behebung von Mängeln und der Berichterstattung über Vertrags-SLAs. Auf diese Weise reduzieren Sie das Lieferantenrisiko und vereinfachen die Compliance, ohne Ihre internen Mitarbeiter zu belasten.

Politischer Rahmen

Die Kategorie „Richtlinienrahmen“ verlangt von Unternehmen, dass sie eine Sicherheitsrichtlinie einhalten und sicherstellen, dass interne Teams und Dritte diese kennen und einhalten und dass sie regelmäßig überprüft wird.

Da die Einhaltung von Vorschriften schwierig und zeitaufwendig sein kann, sollten Sie eine Bewertungsmethodik nutzen, die sich an führenden Rahmenwerken für Informationssicherheit wie ISO orientiert. Mit dieser Funktion können Sie Compliance-Anforderungen in dem für Ihr Unternehmen am besten geeigneten Rahmenwerk visualisieren und umsetzen.

Informationsressourcen Identifizierung und Klassifizierung

Diese Kategorie CPS 234 verlangt von APRA-regulierten Unternehmen, ihre Informationsressourcen, einschließlich derjenigen, die von verbundenen Parteien und Dritten verwaltet werden, nach Kritikalität und Sensibilität zu klassifizieren.

Um diesen Prozess anzustoßen, definieren Sie eine Methodik zur Verfolgung und Quantifizierung inhärenter Risiken. Die Kriterien zur Berechnung des inhärenten Risikos für die Klassifizierung von Dritten sollten die folgenden Attribute umfassen:

  • Art des für die Validierung der Kontrollen erforderlichen Inhalts
  • Kritische Bedeutung für die Unternehmensleistung und den Betrieb
  • Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
  • Grad der Abhängigkeit von vierten Parteien (zur Vermeidung von Konzentrationsrisiken)
  • Erfahrung mit operativen oder kundenorientierten Prozessen
  • Interaktion mit geschützten Daten
  • Finanzieller Status und Gesundheit
  • Reputation

Auf der Grundlage dieser inhärenten Risikobewertung kann Ihr Team die Lieferanten automatisch in eine bestimmte Kategorie einordnen, angemessene Stufen für die weitere Prüfung festlegen und den Umfang der laufenden Bewertungen bestimmen.

Implementierung von Kontrollen und Prüfung der Wirksamkeit von Kontrollen

Diese Kategorien verlangen von Unternehmen, dass sie über Informationssicherheitskontrollen zum Schutz von Informationsressourcen verfügen, einschließlich solcher, die von verbundenen Parteien und Dritten verwaltet werden; dass diese Kontrollen den für das Unternehmen geltenden Risiken angemessen sind; dass ihre Konzeption regelmäßig getestet wird; und dass Mängel, die nicht rechtzeitig behoben werden können, an den Vorstand oder die Geschäftsleitung eskaliert werden.

Beginnen Sie damit, die Antworten und Unterlagen von externen Bewertungen anhand festgelegter Testprotokolle zu überprüfen, um sicherzustellen, dass die angegebenen Kontrollen vorhanden sind. Ordnen Sie die Antworten anschließend gängigen Rahmenwerken wie SIG, ISO oder SOC 2 zu, um ihre Bewertung zu vereinfachen und die Umsetzung von Abhilfemaßnahmen bis zum Abschluss zu verfolgen.

Management von Zwischenfällen

Diese Kategorie verlangt von APRA-regulierten Unternehmen, dass sie über Richtlinien und Verfahren verfügen, um Vorfälle im Bereich der Informationssicherheit rechtzeitig zu erkennen und darauf zu reagieren, einschließlich Eskalation, Berichterstattung und regelmäßiger Überprüfung der Richtlinien.

Ein bewährter und erprobter Prozess für das Incident Management ist unerlässlich, um die Erkennung und Behebung von Vorfällen zu beschleunigen. Zu den wichtigsten Schritten gehören die zentrale Verwaltung von Anbietern, die Durchführung von Ereignisbewertungen, die Bewertung identifizierter Risiken, die Korrelation mit kontinuierlicher Cyberüberwachung und der Zugriff auf Leitlinien zur Behebung von Vorfällen.

Interne Revision

Diese Kategorie APRA CPS 234 besagt, dass interne Auditaktivitäten eine Überprüfung der Konzeption und der operativen Wirksamkeit von Informationssicherheitskontrollen umfassen müssen, einschließlich derjenigen, die von verbundenen Parteien und Dritten aufrechterhalten werden (Sicherstellung der Informationssicherheitskontrolle), und dass die Sicherstellung der Informationssicherheitskontrolle durch Personal erfolgen sollte, das über die entsprechenden Fähigkeiten zur Bereitstellung einer solchen Sicherstellung verfügt.

Standardisieren Sie Informationssicherheitsbewertungen anhand von SOC 2, Cyber Essentials, ISO oder anderen Kontrollrahmenwerken für Informationssicherheit. Dieser Ansatz bietet internen Audit- und IT-Sicherheitsteams eine zentrale Methodik zur Messung und Nachweisführung der Einhaltung interner IT-Kontrollen. Dieselben Bewertungen werden auch zur Beurteilung der Informationssicherheitskontrollen von Dritten herangezogen und liefern so einen konsolidierten, umfassenden Überblick über die Informationssicherheit.

APRA-Meldung

Die letzte Kategorie des APRA 234-Standards verlangt von APRA-regulierten Unternehmen, APRA innerhalb von 72 Stunden nach Bekanntwerden eines wesentlichen Vorfalls im Bereich der Informationssicherheit und innerhalb von 10 Werktagen nach Bekanntwerden einer wesentlichen Schwachstelle im Bereich der Informationssicherheit, die nicht rechtzeitig behoben werden kann, zu benachrichtigen.

Um diese Anforderung zu erfüllen, kommt es vor allem auf eine effektive Berichterstattung an. Machine Learning (ML)-Analysen helfen dabei, indem sie Risikotrends, den Risikostatus von Drittanbietern und Abweichungen vom üblichen Verhalten aufzeigen, die mit einfachen tabellenbasierten Berichten möglicherweise nicht erkennbar sind. Diese Art der Analyse hilft Ihnen, Compliance-Anforderungen zu visualisieren und zu erfüllen, indem die Bewertungsergebnisse automatisch mit regulatorischen und branchenbezogenen Rahmenbedingungen abgeglichen werden und regulatorisch spezifische Berichte in einem Bruchteil der Zeit erstellt werden, die normalerweise für manuelle, tabellenbasierte Risikobewertungsprozesse aufgewendet wird.

Wie Prevalent dabei hilft, die APRA CPS 234-Richtlinien zur Informationssicherheit für das Risikomanagement von Drittanbietern umzusetzen

Prevalent kann Ihrem Finanzdienstleistungsunternehmen dabei helfen, die Beziehungen zu Drittanbietern besser zu steuern und zu überwachen, indem es:

  • Aufbau eines umfassenden, agilen und ausgereiften Risikomanagementprogramms für Dritte auf der Grundlage bewährter Best Practices der Finanzdienstleistungsbranche
  • Automatisierung der Identifizierung und Bewertung von Dritten auf Grundlage ihrer Bedeutung für das Unternehmen
  • Bewertung und kontinuierliche Überwachung von Risiken in den Bereichen Cybersicherheit, Geschäftstätigkeit, Finanzen und Reputation
  • Messung anhand von Schlüsselrisikoindikatoren (KRIs) und Bereitstellung von Abhilfemaßnahmen zur Reduzierung des Restrisikos durch Dritte
  • Automatisierung von Kontrollvalidierungsprozessen, um sicherzustellen, dass wichtige Kontrollen vorhanden sind und wie geplant funktionieren
  • Verkürzung der Reaktionszeiten bei Vorfällen und der Risikominderung durch Automatisierung und kontinuierliche Überwachung
  • Einschließlich Vorlagen zur Vereinfachung der Berichterstattung über die Prüfung von Regulierungs- und Sicherheitsrahmenbedingungen gegenüber mehreren internen und externen Stakeholdern

Weitere Informationen darüber, wie Prevalent Ihnen bei der Erfüllung der Anforderungen dieses Standards zum Risikomanagement von Drittanbietern helfen kann, finden Sie in der umfassenden APRA CPS 234-Compliance-Checkliste, die Sie herunterladen können, oder fordern Sie noch heute eine Demo an.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.