OSFI of Canada Leitlinie B-13 Einhaltung

Kontakt zu einem Experten

Zurück zu allen Use Cases

Leitlinie B-13 und Geschäftskontinuität bei Dritten

OSFI B-13 ist eine Richtlinie der kanadischen Finanzaufsichtsbehörde (Office of the Superintendent of Financial Institutions, OSFI), die Anforderungen an das Risikomanagement zur Stärkung der Widerstandsfähigkeit gegenüber Technologie- und Cyberrisiken – einschließlich der von Dritten verursachten Risiken – festlegt.

Dieursprünglich im Juli 2022 veröffentlichteRichtlinie B-13ist in drei Bereiche gegliedert, wobei jeder Bereich ein gewünschtes Ergebnis hat, das zur Widerstandsfähigkeit gegenüber Technologie- und Cyberrisiken beiträgt. Die Ergebnisse werden durch 17 Grundsätze unterstützt, die wiederum durch einzelne Richtlinien untermauert werden.

In Bezug aufdas Risikomanagement bei Dritten betont die Richtlinie B-13 die Notwendigkeit für Finanzinstitute, umfassende Strategien zur Steuerung der mit Outsourcing und Beziehungen zu Dritten verbundenen Risiken umzusetzen.

Relevante Anforderungen

  • Technologie- und Cyberrisiken werden durch klare Verantwortlichkeiten und Strukturen sowie umfassende Strategien und Rahmenwerke geregelt.

  • Eine sichere Technologieposition, die die Vertraulichkeit, Integrität und Verfügbarkeit der Technologie-Assets der FRFI gewährleistet.

  • Eine stabile, skalierbare und widerstandsfähige Technologieumgebung. Die Umgebung wird auf dem neuesten Stand gehalten und durch robuste und nachhaltige Technologiebetriebs- und Wiederherstellungsprozesse unterstützt.

Einhaltung der OSFI-Richtlinie B-13

Die Richtlinie B-13 enthält 17 Grundsätze für FRFIs zur Strukturierung ihrer Risikomanagementprogramme. Diese Grundsätze sollen zur operativen Widerstandsfähigkeit der FRFI beitragen. Die folgende Übersichtstabelle ordnet die Funktionen gängiger Risikomanagementplattformen von Drittanbietern den relevantesten Grundsätzen zu.

HINWEIS: Diese Tabelle sollte nicht als umfassende, endgültige Anleitung betrachtet werden. Wenden Sie sich an Ihren Wirtschaftsprüfer, um eine vollständige Liste der Anforderungen zu erhalten, und lesen Sie dievollständigen OSFI-Richtlinien.

Grundsätze TPRM-Best Practices
Domäne: Governance und Risikomanagement

Dieser Bereich legt die Erwartungen des OSFI hinsichtlich der formellen Rechenschaftspflicht, Führung, Organisationsstruktur und Rahmenbedingungen fest, die zur Unterstützung des Risikomanagements und der Überwachung der Technologie- und Cybersicherheit herangezogen werden.

Ergebnis:Technologie- und Cyberrisiken werden durch klare Verantwortlichkeiten und Strukturen sowie umfassende Strategien und Rahmenwerke geregelt.
Grundsatz 1: Die Geschäftsleitung sollte die Verantwortung für das Management von Technologie- und Cyberrisiken an leitende Angestellte übertragen. Sie sollte außerdem sicherstellen, dass eine geeignete Organisationsstruktur und ausreichende Ressourcen für das Management von Technologie- und Cyberrisiken in der gesamten FRFI vorhanden sind.

Grundsatz 2:FRFIs sollten einen strategischen Technologie- und Cyberplan bzw. strategische Technologie- und Cyberpläne definieren, dokumentieren, genehmigen und umsetzen. Der Plan bzw. die Pläne sollten auf die Geschäftsstrategie abgestimmt sein und messbare Ziele festlegen, die sich mit den Veränderungen in der Technologie- und Cyberumgebung der FRFI weiterentwickeln.

 Prävalent Experten collaborate with your team on defining and implementing TPRM processes and solutions in the context of your overall risk management approach; selecting risk assessment questionnaires and frameworks; and optimizing your program to address the entire third-party risk lifecycle – from sourcing and due diligence to termination and offboarding.

Als Teil dieses Prozesses hilft Ihnen Prevalent bei der Definition:

  • Klare Rollen und Verantwortlichkeiten (z. B. RACI).
  • Vorräte von Dritten.
  • Risikobewertung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens.
  • Bewertungs- und Überwachungsmethoden auf der Grundlage der Kritikalität durch Dritte.
  • Fourth-Party-Mapping zum Verständnis der Risiken in Ihrem erweiterten Anbieter-Ökosystem.
  • Quellen für kontinuierliche Überwachungsdaten (Cyber, Geschäft, Reputation, Finanzen).
  • Wichtige Leistungsindikatoren (KPIs) und wichtige Risikoindikatoren (KRIs).
  • Richtlinien, Normen, Systeme und Verfahren zum Schutz von Daten.
  • Einhaltung der Vorschriften und der vertraglichen Berichterstattungsanforderungen in Bezug auf das Leistungsniveau.
  • Anforderungen an die Reaktion auf Vorfälle.
  • Risiko- und interne Stakeholder-Berichterstattung.
  • Strategien zur Risikominderung und -behebung.
Grundsatz 3:FRFIs sollten einen Rahmen für das Technologie- und Cyber-Risikomanagement (RMF) einrichten. Der Rahmen sollte eine Risikobereitschaft für Technologie- und Cyberrisiken festlegen und die Prozesse und Anforderungen der FRFI zur Identifizierung, Bewertung, Steuerung, Überwachung und Berichterstattung von Technologie- und Cyberrisiken definieren. Die Prevalent TPRM-Plattform verfügt über eineumfangreiche Bibliothek mit frameworkspezifischen Risikobewertungen– beispielsweise nach ISO, NIST oder anderen Standards. Nutzen Sie vorgefertigte, frameworkspezifische Risikobewertungen, um die Zuordnung von Kontrollen und die Berichterstellung zu vereinfachen. Das ausgewählte Framework sollte mit den Anforderungen des Risikomanagements auf Unternehmensebene übereinstimmen.
Domäne: Technologiebetrieb und Ausfallsicherheit

Dieser Bereich legt die Erwartungen des OSFI hinsichtlich „Management und Überwachung von Risiken im Zusammenhang mit der Konzeption, Implementierung, Verwaltung und Wiederherstellung von Technologie-Assets und -Dienstleistungen“ fest.

Ergebnis:Eine stabile, skalierbare und widerstandsfähige Technologieumgebung. Die Umgebung wird auf dem neuesten Stand gehalten und durch robuste und nachhaltige Technologiebetriebs- und Wiederherstellungsprozesse unterstützt.
Grundsatz 7:FRFIs sollten einen System Development Life Cycle (SDLC)-Rahmen für die sichere Entwicklung, Anschaffung und Wartung von Technologiesystemen implementieren, die wie erwartet zur Unterstützung der Geschäftsziele funktionieren. Im Rahmen des Due-Diligence-Prozesses kann Prevalent Ihrem Team dabei helfen,Software-Stücklisten (SBOMs)für Softwareprodukte von Drittanbietern zu analysieren. Auf diese Weise können Sie potenzielle Schwachstellen oder Lizenzprobleme identifizieren, die sich auf die Sicherheit und Compliance Ihres Unternehmens auswirken könnten.
Grundsatz 10:FRFIs sollten Technologievorfälle wirksam erkennen, protokollieren, verwalten, beheben, überwachen und melden sowie deren Auswirkungen minimieren. Prevalent continuously track and analyze externe Bedrohungen für Dritte. As part of this, Prevalent monitors the Internet and dark web for cyber threats and vulnerabilities, as well as public and private sources of reputational, sanctions and financial information.

Zu den Überwachungsquellen gehören:

  • Kriminelle Foren, Onion-Seiten, Foren mit speziellem Zugang zum Dark Web, Threat Feeds und Paste-Seiten für geleakte Zugangsdaten – sowie mehrere Sicherheits-Communities, Code-Repositorys und Schwachstellen-Datenbanken.
  • Datenbanken mit einer mehrjährigen Historie von Datenschutzverletzungen bei Tausenden von Unternehmen in der ganzen Welt.

Alle Überwachungsdaten sollten mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert werden, um die Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen zu rationalisieren.

Sobald alle Bewertungs- und Überwachungsdaten in einem zentralen Risikoregister zusammengeführt sind, wendet Prevalent eine Risikobewertung und -priorisierung gemäß einem Wahrscheinlichkeits- und Auswirkungsmodell an. Dieses Modell sollte Risiken in einer Matrix darstellen, sodass Sie die Risiken mit den größten Auswirkungen leicht erkennen und die Abhilfemaßnahmen entsprechend priorisieren können.

Mit Prevalent können Sie schließlich Verantwortliche zuweisen und Risiken und Abhilfemaßnahmen auf einem für das Unternehmen akzeptablen Niveau verfolgen.
Grundsatz 11:FRFIs sollten Dienstleistungs- und Kapazitätsstandards sowie Prozesse zur Überwachung des operativen Managements von Technologien entwickeln, um sicherzustellen, dass die geschäftlichen Anforderungen erfüllt werden. Mit Prevalent können Sie die Wirksamkeit Ihres TPRM-Programms kontinuierlich anhand sich ändernder Geschäftsanforderungen und Prioritäten bewerten und dabeidie Leistungskennzahlen (KPIs) und Risikokennzahlen (KRIs)von Drittanbietern über den gesamten Lebenszyklus der Geschäftsbeziehung hinweg messen.
Domäne: Cybersicherheit

Dieser Bereich legt die Erwartungen des OSFI hinsichtlich der „Verwaltung und Überwachung von Cyberrisiken“ fest.

Ergebnis:Eine sichere Technologieposition, die die Vertraulichkeit, Integrität und Verfügbarkeit der Technologie-Assets der FRFI gewährleistet.
Grundsatz 14:FRFIs sollten eine Reihe von Praktiken, Fähigkeiten, Prozessen und Instrumenten unterhalten, um Schwachstellen in der Cybersicherheit zu identifizieren und zu bewerten, die von externen und internen Bedrohungsakteuren ausgenutzt werden könnten. Die Prevalent TPRM Plattform verfügt über eine große Bibliothek von vorgefertigten Vorlagen für Risikobewertungen durch DritteDie Bewertungen sollten zum Zeitpunkt der Aufnahme eines Lieferanten, der Vertragsverlängerung oder in beliebigen erforderlichen Abständen (z. B. vierteljährlich oder jährlich) durchgeführt werden, je nach wesentlichen Änderungen in der Geschäftsbeziehung.
Assessments should be managed centrally and be backed by workflow, task management and automated evidence review capabilities to ensure that your team has visibility into third-party risks throughout the relationship lifecycle.Importantly, Prevalent includes built-in remediation recommendations based on risk assessment results to ensure that your third parties address risks in a timely and satisfactory manner and can provide the appropriate evidence to auditors.

Im Rahmen dieses Prozesses verfolgt und analysiert Prevalent kontinuierlichexterne Bedrohungen für Dritte. Alle Überwachungsdaten sollten mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert werden, um die Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen zu optimieren.
Grundsatz 17:FRFIs sollten auf Cybersicherheitsvorfälle reagieren, diese eindämmen, beheben und daraus lernen, die sich auf ihre technologischen Vermögenswerte auswirken, einschließlich Vorfälle, die bei Drittanbietern ihren Ursprung haben. Als Teil Ihres umfassenderen Strategie zum Umgang mit Zwischenfällen, Prevalent ensures that your third-party incident response program enables your team to rapidly identify, respond to, report on, and mitigate the impact of Sicherheitsvorfälle bei Drittanbietern.

Zu den wichtigsten Funktionen eines Drittanbieter-Reaktionsdienstes gehören:

  • Kontinuierlich aktualisierte und anpassbare Fragebögen zum Ereignis- und Vorfallmanagement.
  • Echtzeit-Verfolgung des Fortschritts beim Ausfüllen von Fragebögen.
  • Definierte Risikoverantwortliche mit automatisierten Erinnerungen, um Umfragen termingerecht durchzuführen.
  • Proaktive Lieferantenberichterstattung.
  • Konsolidierte Ansichten von Risikobewertungen, Anzahlen, Punktzahlen und markierten Antworten für jeden Anbieter.
  • Workflow-Regeln zum Auslösen automatisierter Playbooks, um entsprechend der potenziellen Auswirkungen auf das Unternehmen auf Risiken zu reagieren.
  • Integrierte Berichtsvorlagen für interne und externe Stakeholder.
  • Anleitungen anhand integrierter Abhilfemaßnahmen zur Risikominderung.
  • Daten- und Beziehungsmapping zur Identifizierung von Beziehungen zwischen Ihrem Unternehmen und Dritten, Vierten oder N-ten Parteien, um Informationspfade zu visualisieren und gefährdete Daten aufzudecken.

Darüber hinaus nutzt Prevalent Datenbanken, die mehrere Jahre an Daten zu Datenschutzverletzungen bei Tausenden von Unternehmen weltweit enthalten – darunter Art und Umfang der gestohlenen Daten, Compliance- und Regulierungsfragen sowie Echtzeit-Benachrichtigungen zu Datenschutzverletzungen bei Anbietern.

Mit diesen Erkenntnissen kann Ihr Team den Umfang und die Auswirkungen des Vorfalls besser verstehen, welche Daten betroffen waren, ob der Betrieb des Dritten beeinträchtigt wurde und wann die Abhilfemaßnahmen abgeschlossen sind - und das alles mit Hilfe der Experten von Prevalent.
Zusätzliche Ressourcen
Governance, Risiko und Einhaltung der Vorschriften
Das PDPA und das Risikomanagement für Drittparteien
Mehr erfahren
Governance, Risiko und Einhaltung der Vorschriften
Eine Checkliste zur Einhaltung der GDPR für das Risikomanagement von Drittanbietern
Mehr erfahren
Governance, Risiko und Einhaltung der Vorschriften
Eine CCPA- und CPRA-Compliance-Checkliste für das Risikomanagement von Drittanbietern
Mehr erfahren
Weitere Ressourcen anzeigen

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.