Die australische Aufsichtsbehörde (Australian Prudential Regulation Authority, APRA) hat im März 2017 den aufsichtsrechtlichen Standard CPS 230 veröffentlicht. Auf den ersten Blick zielt die Verordnung darauf ab, die Widerstandsfähigkeit der Cybersicherheit und das betriebliche Risikomanagement des australischen Finanzsektors durch die Festlegung von Standards und Anforderungen für bewährte Cybersicherheitspraktiken zu stärken. Unter der Oberfläche gibt es jedoch einige Nuancen des CPS 230, die alle von der APRA regulierten Unternehmen verstehen müssen - oder sie riskieren aufsichtsrechtliche Sanktionen und Reputationsschäden.

Tauchen wir ein in die CPS 230 Compliance Down Under.

Das Wichtigste zuerst: Was ist CPS 230?

CPS 230, auch bekannt als Prudential Standard CPS 230, ist eine von der Australian Prudential Regulation Authority (APRA) erlassene Vorschrift, die sich mit der Widerstandsfähigkeit des Finanzsektors im Bereich der Cybersicherheit befasst.

Die Verordnung enthält Anforderungen für beaufsichtigte Unternehmen, wie zugelassene Einlageninstitute, Versicherer und Rentenversicherungsträger, die sicherstellen, dass sie über angemessene Fähigkeiten verfügen, um Cybervorfälle zu erkennen, darauf zu reagieren und sich davon zu erholen.

Während die beaufsichtigten Unternehmen bis zum 1. Juli 2025 Zeit haben, die Vorschriften zu erfüllen, macht die APRA deutlich, dass sie eine proaktive Vorbereitung im Jahr 2024 erwartet.

Was sind die Hauptziele und Anforderungen von CPS 230?

Zielsetzung: Verbesserung der Widerstandsfähigkeit im Bereich der Cybersicherheit. CPS 230 zielt darauf ab, die Widerstandsfähigkeit von Finanzinstituten im Bereich der Cybersicherheit zu stärken, indem robuste Rahmenbedingungen, Strategien und Verfahren zur wirksamen Eindämmung von Cyberbedrohungen geschaffen werden.

Erfordernis: Die Finanzinstitute müssen einen soliden Rahmen für die Cybersicherheit schaffen und aufrechterhalten, der auf ihr spezifisches Risikoprofil und ihr betriebliches Umfeld zugeschnitten ist. Dieser Rahmen sollte Strategien, Verfahren, Kontrollen und Risikomanagementpraktiken umfassen, die mit internationalen Cybersicherheitsstandards in Einklang stehen.

Zielsetzung: Förderung des Risikomanagements. Die Verordnung unterstreicht die Bedeutung proaktiver Risikomanagementpraktiken, einschließlich Risikoermittlung, -bewertung, -minderung und -überwachung zum Schutz vor Cyberrisiken.

Vorschrift: Finanzinstitute müssen umfassende Pläne für das Management von Cybervorfällen entwickeln und umsetzen, in denen Verfahren für die Erkennung, Reaktion, Eindämmung, Wiederherstellung und Meldung von Vorfällen festgelegt sind. Regelmäßige Tests und Proben der Reaktionsfähigkeit auf Vorfälle sind ebenfalls vorgeschrieben, um die Bereitschaft zu gewährleisten.

Wie Cyber- und IT-Risikomanagement den CISOs hilft

Zielsetzung: Gewährleistung der TPRM-Sicherheit und der Bereitschaft zur Reaktion auf Zwischenfälle. CPS 230 verpflichtet Finanzinstitute zur Entwicklung umfassender Notfallpläne, um Cyber-Vorfälle schnell anzugehen und zu entschärfen und deren Auswirkungen auf den Betrieb und die Kunden zu minimieren.

Erfordernis: Der Vorstand und die Geschäftsleitung von Finanzinstituten tragen die letzte Verantwortung für die Widerstandsfähigkeit im Bereich der Cybersicherheit. Sie müssen die Wirksamkeit der Cybersicherheitsmaßnahmen aktiv beaufsichtigen und sicherstellen. Dazu gehören die Bereitstellung angemessener Ressourcen und die Förderung einer Kultur des Cybersecurity-Bewusstseins. Die Finanzinstitute müssen auch die Cybersicherheitslage von Drittanbietern, einschließlich Cloud-Anbietern und Lieferanten, bewerten und überwachen, um potenzielle Schwachstellen zu verringern und die Widerstandsfähigkeit der gesamten Lieferkette zu gewährleisten.

Der Weg in die Zukunft für Finanzinstitute

CPS 230 ist ein entscheidender Meilenstein bei der Stärkung der Cybersicherheit im australischen Finanzsektor, und die Nichteinhaltung könnte teuer werden (aufsichtsrechtliche Sanktionen, Rufschädigung, finanzielle Verluste, erhöhte Cybersicherheitsrisiken usw.). Um Ihr Haus in Ordnung zu halten (und die Einhaltung der Vorschriften zu gewährleisten), sollten Sie Ihr Augenmerk auf Folgendes richten:

Etablierung einer soliden Risikokultur: Durch die Förderung eines Umfelds, in dem Risikobewusstsein und Verantwortungsbewusstsein in der Unternehmensethik verankert sind, ist es wahrscheinlicher, dass sich die Mitarbeiter an die gesetzlichen Vorschriften halten. Eine starke Risikokultur fördert die proaktive Risikoerkennung, -bewertung und -minderung und stellt sicher, dass die Organisation innerhalb der durch CPS 230 festgelegten Richtlinien arbeitet.

Kontinuierliche Verbesserung und Integration: Die Einhaltung von CPS 230 erfordert ein kontinuierliches Engagement für die Verbesserung von Prozessen und die nahtlose Integration von Compliance-Maßnahmen in bestehende Abläufe. Integration bedeutet, dass Compliance-Erwägungen in alle Aspekte der Aktivitäten der Organisation eingebettet werden, von der strategischen Planung bis zum Tagesgeschäft, und dass eine Compliance-Kultur auf allen Ebenen gefördert wird.

Führen eines umfassenden Inventars aller relevanten Daten, Prozesse, Systeme und Kontrollen: Ein Inventar hilft dabei, potenzielle Bereiche der Nichteinhaltung von Vorschriften, Kontrolllücken und Abhängigkeiten zu ermitteln, die sich auf die Einhaltung von Vorschriften auswirken können. Durch die regelmäßige Aktualisierung und Überprüfung des Bestandsverzeichnisses können Organisationen sicherstellen, dass sie einen klaren Überblick über ihre Compliance-Landschaft haben und geeignete Maßnahmen zur Beseitigung von Mängeln ergreifen können.

Auswahl der richtigen Partner: Die Auswahl der richtigen Partner, wie z. B. Anbieter, Dienstleister und Drittunternehmen, ist für die Einhaltung von CPS 230 unerlässlich. Unternehmen müssen eine gründliche Due-Diligence-Prüfung durchführen, um die Compliance-Stellung potenzieller Partner zu bewerten und die Übereinstimmung mit den gesetzlichen Anforderungen sicherzustellen. Durch die Auswahl von Partnern, die sich stark für die Einhaltung von Vorschriften und das Risikomanagement engagieren, können Unternehmen das Risiko der Nichteinhaltung von Vorschriften verringern und ihre Compliance-Bemühungen insgesamt stärken.

Die Wahl der richtigen Technologie: Der Einsatz von Technologielösungen ist entscheidend für die Einhaltung von CPS 230 und deren Aufrechterhaltung. Automatisierungswerkzeuge, Risikomanagement-Software und Compliance-Plattformen können Prozesse rationalisieren, die Transparenz erhöhen und die Überwachung und Berichterstattung erleichtern. Durch Investitionen in technologiegestützte Lösungen können Unternehmen die Compliance-Anforderungen effektiv verwalten, neue Risiken erkennen und die Einhaltung der CPS 230-Vorschriften nachweisen.

Weitere Blogs, die Ihnen gefallen könnten:

Entdecken Sie Mitratech GRC Management

Erfahren Sie mehr über unsere einzigartige Suite von End-to-End-Lösungen für Risiko und Compliance.

Kontakt

Vivian Susko

Vivian Susko ist Content Marketing Manager für Corporate Legal (CLC) und Governance, Risk, and Compliance (GRC) bei Mitratech. In enger Zusammenarbeit mit den Produktmarketing- und Außendienstteams überwacht sie die Umsetzung von Inhalten und SEO-Strategien und hilft dabei, die Geschichte von Mitratech mit einer einzigartigen und starken Stimme zu erzählen.

Vivian wohnt derzeit in New Hampshire und hat ihren Bachelor in Wirtschaft und englischer Literatur an der St. Lawrence University gemacht, wo sie drei Jahre lang Kapitänin des Frauen-Volleyballteams, Präsidentin der ODK National Honors Society, Co-Kuratorin von TEDx an der St. Lawrence University und unterstützende Redakteurin des Underground Student Research Journal war. In ihrer Freizeit verfolgt sie weiterhin eine Mischung aus Journalismus und kreativem Schreiben und veröffentlicht im Dezember 2020 ihre erste Kurzgeschichte. Wenn Vivian nicht gerade an einem Entwurf arbeitet, findet man sie bei der Gartenarbeit (hauptsächlich Basilikum und Tomaten), beim Gassi gehen mit dem Hund, beim Pickleball spielen und beim Zubereiten einer zu starken Tasse Kaffee.

Folgen: