OSFI B-13 ist eine Richtlinie der kanadischen Finanzaufsichtsbehörde (Office of the Superintendent of Financial Institutions, OSFI), die Anforderungen an das Risikomanagement zur Stärkung der Widerstandsfähigkeit gegenüber Technologie- und Cyberrisiken – einschließlich derjenigen, die von Dritten ausgehen – festlegt. Ähnlich wie die Richtlinie B-10, die sich mit Outsourcing befasst, gilt die Richtlinie B-13 für alle bundesweit regulierten Finanzinstitute (Federal Regulated Financial Institutions, FRFIs), einschließlich ausländischer Bankfilialen und ausländischer Versicherungsfilialen, die in Kanada tätig sind.
Die ursprünglich im Juli 2022 veröffentlichte Richtlinie B-13 ist in drei Bereiche gegliedert, wobei jeder Bereich ein gewünschtes Ergebnis aufweist, das zur Widerstandsfähigkeit gegenüber Technologie- und Cyberrisiken beiträgt. Die Ergebnisse werden durch 17 Grundsätze gestützt, die durch einzelne Richtlinien untermauert werden.
OSFI B-13 und Risikomanagement durch Dritte
In Bezug auf das Risikomanagement bei Dritten betont die Richtlinie B-13 die Notwendigkeit für Finanzinstitute, umfassende Strategien zur Steuerung der mit Outsourcing und Beziehungen zu Dritten verbundenen Risiken zu implementieren. Die folgende Tabelle fasst die spezifischen Richtlinien zum Risikomanagement bei Dritten in B-13 zusammen und enthält Empfehlungen für bewährte Verfahren zur Erfüllung der Anforderungen.
HINWEIS: Diese Tabelle fasst nur die spezifischen Anforderungen für Risiken durch Dritte zusammen. Eine vollständige Liste aller Anforderungen und Grundsätze finden Sie in den vollständigen OSFI-Richtlinien.
| Grundsätze | TPRM-Best Practices |
|---|---|
| Domäne: Governance und Risikomanagement
Dieser Bereich legt die Erwartungen des OSFI hinsichtlich der formellen Rechenschaftspflicht, Führung, Organisationsstruktur und Rahmenbedingungen fest, die zur Unterstützung des Risikomanagements und der Überwachung der Technologie- und Cybersicherheit herangezogen werden. Ergebnis: Technologie- und Cyberrisiken werden durch klare Verantwortlichkeiten und Strukturen sowie umfassende Strategien und Rahmenwerke geregelt. |
|
| Grundsatz 1: Die Geschäftsleitung sollte die Verantwortung für das Management von Technologie- und Cyberrisiken an leitende Angestellte übertragen. Sie sollte außerdem sicherstellen, dass eine geeignete Organisationsstruktur und ausreichende Ressourcen für das Management von Technologie- und Cyberrisiken in der gesamten FRFI vorhanden sind.
Grundsatz 2: FRFIs sollten einen strategischen Technologie- und Cyberplan bzw. strategische Technologie- und Cyberpläne definieren, dokumentieren, genehmigen und umsetzen. Der Plan bzw. die Pläne sollten auf die Geschäftsstrategie abgestimmt sein und messbare Ziele festlegen, die sich mit den Veränderungen in der Technologie- und Cyberumgebung der FRFI weiterentwickeln. |
Suchen Sie Experten mit Ihrem Team zusammenzuarbeiten, um TPRM-Prozesse und -Lösungen im Rahmen Ihres gesamten Risikomanagementansatzes zu definieren und zu implementieren, Fragebögen und Rahmenwerke zur Risikobewertung auszuwählen und Ihr Programm zu optimieren, um den gesamten Lebenszyklus von Risiken durch Dritte abzudecken – von der Beschaffung und Due Diligence bis hin zur Kündigung und zum Offboarding.
Als Teil dieses Prozesses sollten Sie definieren: * Klare Rollen und Verantwortlichkeiten (z. B. RACI). |
| Grundsatz 3: FRFIs sollten einen Rahmen für das Management von Technologie- und Cyberrisiken (RMF) einrichten. Der Rahmen sollte eine Risikobereitschaft für Technologie- und Cyberrisiken festlegen und die Prozesse und Anforderungen der FRFI zur Identifizierung, Bewertung, Steuerung, Überwachung und Berichterstattung von Technologie- und Cyberrisiken definieren. | Suchen Sie nach einer Risikomanagementlösung, die über eine umfangreiche Bibliothek mit frameworkspezifischen Risikobewertungen verfügt – beispielsweise nach ISO, NIST oder anderen Standards. Nutzen Sie vorgefertigte, frameworkspezifische Risikobewertungen, um die Zuordnung von Kontrollen und die Berichterstellung zu vereinfachen. Das ausgewählte Framework sollte den Anforderungen des Risikomanagements auf Unternehmensebene entsprechen. Bewährte Verfahren zur Erfüllung der Anforderungen der Richtlinie OSFI B-13 |
| Domäne: Technologiebetrieb und Ausfallsicherheit
Dieser Bereich legt die Erwartungen des OSFI hinsichtlich „Management und Überwachung von Risiken im Zusammenhang mit der Konzeption, Implementierung, Verwaltung und Wiederherstellung von Technologie-Assets und -Dienstleistungen“ fest. Ergebnis: Eine stabile, skalierbare und widerstandsfähige Technologieumgebung. Die Umgebung wird auf dem neuesten Stand gehalten und durch robuste und nachhaltige Technologiebetriebs- und Wiederherstellungsprozesse unterstützt. |
|
| Grundsatz 7: FRFIs sollten einen System Development Life Cycle (SDLC)-Rahmen für die sichere Entwicklung, Anschaffung und Wartung von Technologiesystemen implementieren, die wie erwartet zur Unterstützung der Geschäftsziele funktionieren. | Verlangen Sie im Rahmen des Due-Diligence-Prozesses von Anbietern, dass sie aktuelle Software-Stücklisten (SBOMs) für ihre Softwareprodukte vorlegen. Auf diese Weise können Sie potenzielle Schwachstellen oder Lizenzprobleme identifizieren, die sich auf die Sicherheit und Compliance Ihres Unternehmens auswirken könnten. |
| Grundsatz 10: FRFIs sollten Technologievorfälle wirksam erkennen, protokollieren, verwalten, beheben, überwachen und melden sowie deren Auswirkungen minimieren. | Kontinuierliches Verfolgen und Analysieren externe Bedrohungen für Dritte. Überwachen Sie in diesem Zusammenhang das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Informationen zu Reputation, Sanktionen und Finanzen.
Zu den Überwachungsquellen sollten gehören: Alle Überwachungsdaten sollten mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert werden, um die Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen zu rationalisieren. Sobald alle Bewertungs- und Überwachungsdaten in einem zentralen Risikoregister zusammengeführt sind, sollten Sie die Risiken anhand eines Wahrscheinlichkeits- und Auswirkungsmodells bewerten und nach Prioritäten ordnen. Dieses Modell sollte die Risiken in einer Matrix zusammenfassen, so dass Sie die Risiken mit den größten Auswirkungen leicht erkennen und Abhilfemaßnahmen für diese Risiken priorisieren können. Zuweisung von Verantwortlichen und Verfolgung von Risiken und Abhilfemaßnahmen auf einem für das Unternehmen akzeptablen Niveau. |
| Grundsatz 11: FRFIs sollten Service- und Kapazitätsstandards sowie Prozesse zur Überwachung des operativen Managements von Technologien entwickeln, um sicherzustellen, dass die geschäftlichen Anforderungen erfüllt werden. | Bewerten Sie kontinuierlich die Effektivität Ihres TPRM-Programms entsprechend den sich ändernden Geschäftsanforderungen und -prioritäten, indem Sie die wichtigsten Leistungsindikatoren (KPIs) und Risikoindikatoren (KRIs) des Drittanbieters während des gesamten Beziehungslebenszyklus messen. |
| Domäne: Cybersicherheit
Dieser Bereich legt die Erwartungen des OSFI hinsichtlich der „Verwaltung und Überwachung von Cyberrisiken“ fest. Ergebnis: Eine sichere Technologieposition, die die Vertraulichkeit, Integrität und Verfügbarkeit der Technologie-Assets der FRFI gewährleistet. |
|
| Grundsatz 14: FRFIs sollten eine Reihe von Praktiken, Fähigkeiten, Prozessen und Instrumenten unterhalten, um Schwachstellen in der Cybersicherheit zu identifizieren und zu bewerten, die von externen und internen Bedrohungsakteuren ausgenutzt werden könnten. | Suchen Sie nach Lösungen, die eine große Bibliothek mit vorgefertigten Vorlagen für Risikobewertungen von Drittanbietern bieten. Die Bewertungen sollten zum Zeitpunkt der Lieferantenaufnahme, der Vertragsverlängerung oder in beliebigen erforderlichen Abständen (z. B. vierteljährlich oder jährlich) durchgeführt werden, je nach wesentlichen Änderungen in der Geschäftsbeziehung. Die Bewertungen sollten zentral verwaltet werden und durch Workflow-, Aufgabenmanagement- und automatisierte Funktionen zur Überprüfung von Nachweisen unterstützt werden, um sicherzustellen, dass Ihr Team während des gesamten Lebenszyklus der Geschäftsbeziehung Einblick in die Risiken von Drittanbietern hat. Wichtig ist, dass eine TPRM-Lösung integrierte Empfehlungen zur Risikobewertung enthält, um sicherzustellen, dass Ihre Drittanbieter Risiken zeitnah und zufriedenstellend angehen und den Prüfern die entsprechenden Nachweise vorlegen können. Im Rahmen dieses Prozesses sollten Sie externe Bedrohungen für Drittanbieter kontinuierlich verfolgen und analysieren. Alle Überwachungsdaten sollten mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert werden, um die Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen zu optimieren. Die Anforderungen der Richtlinie B-13 sind Teil eines umfassenderen Rahmens, der sicherstellen soll, dass Finanzinstitute Technologie- und Cyberrisiken effektiv verwalten, insbesondere in einem Umfeld, in dem zunehmend Dienstleistungen von Drittanbietern in Anspruch genommen werden. Beginnen Sie Ihren Weg zur Compliance mit diesen Praktiken: |
| Grundsatz 17: FRFIs sollten auf Cybersicherheitsvorfälle reagieren, diese eindämmen, beheben und daraus lernen, die sich auf ihre technologischen Vermögenswerte auswirken, einschließlich Vorfälle, die bei Drittanbietern ihren Ursprung haben. | Als Teil Ihres umfassenderen Strategie zum Umgang mit Zwischenfällen Stellen Sie sicher, dass Ihr Incident-Response-Programm von Drittanbietern Ihrem Team ermöglicht, die Auswirkungen schnell zu identifizieren, darauf zu reagieren, darüber zu berichten und sie zu mindern. Sicherheitsvorfälle bei Drittanbietern.
Zu den wichtigsten Funktionen eines externen Incident-Response-Dienstes gehören: Ziehen Sie auch die Nutzung von Datenbanken in Betracht, die mehrere Jahre lang Datenverletzungen für Tausende von Unternehmen auf der ganzen Welt enthalten - einschließlich der Art und Menge der gestohlenen Daten, der Einhaltung von Vorschriften und gesetzlichen Bestimmungen sowie der Echtzeit-Benachrichtigungen von Anbietern über Datenverletzungen. Mit diesen Erkenntnissen kann Ihr Team den Umfang und die Auswirkungen des Vorfalls besser verstehen, welche Daten betroffen waren, ob der Betrieb des Drittanbieters beeinträchtigt wurde und wann die Abhilfemaßnahmen abgeschlossen sind - und das alles mit Hilfe von Experten. Sorgfaltspflicht: Führen Sie vor dem Abschluss von Verträgen mit Dritten eine gründliche Sorgfaltsprüfung durch. Dazu gehört die Bewertung der finanziellen Stabilität, der Reputation und der Angemessenheit der Cybersicherheitsmaßnahmen des Dritten. |
- Verträge mit Dritten: Nehmen Sie spezifische Bestimmungen in Verträge mit Dritten auf, die sich mit Technologie- und Cyberrisiken befassen. Dazu gehören Klauseln zum Datenschutz, zum Recht auf Prüfung, zur Einhaltung wichtiger Leistungsindikatoren und wichtiger Risikoschwellenwerte sowie zu Anforderungen an die Reaktion auf Vorfälle.
- Risikobewertungen: Führen Sie regelmäßige Risikobewertungen durch
, um die potenziellen Risiken zu verstehen, die von Dritten ausgehen können, insbesondere in Bezug auf Technologie und Cybersicherheit. Dazu gehört auch die Bewertung, wie Dritte mit Daten umgehen und welche Auswirkungen Störungen oder Datenverstöße haben können. - Überwachung und Berichterstattung: Kontinuierliche Überwachung von Cyberrisiken, der Leistung von Drittanbietern und der Einhaltung vertraglicher Vereinbarungen. Es sollten Prozesse vorhanden sein, um Probleme oder Verstöße zu melden und umgehend zu beheben.
- Vorfallmanagement und Reaktion: Stellen Sie sicher, dass Dritte über angemessene Vorfallmanagement- und Reaktionspläne verfügen. Dazu gehören klare Kommunikationskanäle und Protokolle für die Reaktion auf Cybervorfälle.
- Geschäftskontinuität und Notfallplanung:
Stellen Sie sicher, dass Dritte über robuste Geschäftskontinuitätspläne verfügen, die mit den Notfallplänen der Institution übereinstimmen. Dies trägt dazu bei, die Kontinuität kritischer Dienste im Falle von Störungen zu gewährleisten. - Kündigungs- und Ausstiegsstrategien: Legen Sie klare Strategien und Verfahren für die Beendigung von Beziehungen zu Dritten fest und sorgen Sie für einen reibungslosen Übergang, ohne die Sicherheit oder die Kontinuität der Dienstleistungen zu beeinträchtigen.
Nächste Schritte zur Einhaltung der OSFI-Vorschrift B-13
Die OSFI-Richtlinie B-13 bietet einen umfassenden Rahmen zur Gewährleistung der Widerstandsfähigkeit gegenüber Technologie- und Cyberrisiken – einschließlich derjenigen, die von Dritten ausgehen. Wenn Ihr Unternehmen seine Praktiken zur Gewährleistung der Geschäftskontinuität überprüft, laden Sie unsere Checkliste zur Einhaltung der OSFI-Richtlinie B-13herunter oder wenden Sie sich an Prevalent, um eine Demonstration anzufordern.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
