Spotlight auf Kanadas Ansatz zum Umgang mit Risiken Dritter im Finanzsektor | NCC-Gruppe

Home » Spotlight auf Kanadas Ansatz zum Umgang mit Risiken Dritter im Finanzsektor | NCC-Gruppe

Die globale Cyber- und Regulierungslandschaft verändert sich schnell, und viele weitere Länder übernehmen ihre eigenen Regulierungsrahmen, darunter den Digital Operational Resilience Act (DORA) in der EU und neue Vorschriften der Prudential Regulation Authority (PRA) im Vereinigten Königreich und der Monetary Authority von Singapur (MAS) in Singapur.

Kanada ist das jüngste Land, das seinen Fokus auf Resilienz erneuert, wobei die kanadische Aufsichtsbehörde, das Office of the Superintendent of Financial Institutions (OSFI), derzeit darüber berät neue Erwartungen für die Art und Weise, wie Finanzinstitute das Drittrisiko managen. Dies wird die neuen Vorschriften in anderen Ländern genau widerspiegeln und die Art und Weise, wie Institutionen in diesem Sektor arbeiten müssen, auf den Kopf stellen.

Im Anschluss an die Aufforderung zur Einreichung von Beiträgen des OSFI gibt John Boruvka, Vice President, Sales – US für NCC Group Software Resilience, einen Überblick über die wichtigsten Punkte, die es zu beachten gilt.

Was würde die vorgeschlagene neue Anleitung beinhalten?

Die vorgeschlagenen Änderungen gelten für alle Federally Regulated Financial Institutions (FRFI), einschließlich aller Banken, Kreditunternehmen und Versicherungsunternehmen. Diese Unternehmen müssen strengere Governance- und Risikomanagementprogramme implementieren, um in ihrer gesamten Lieferkette widerstandsfähig zu bleiben.

In der Zwischenzeit hat das OSFI seine Definition von Drittrisiko erweitert, um alles von Technologie, Cyber- und Datensicherheit bis hin zu Betriebs-, Geschäftskontinuitäts-, Lieferketten- und Konzentrationsrisiken zu umfassen.

Eine zunehmende Abhängigkeit von Drittanbietern, um kritische Funktionen innerhalb der Branche zu erfüllen, macht die Änderungen besonders wichtig, da Finanzinstitute eine schnelle digitale Transformation durchlaufen und ihr Lieferkettenrisiko erweitern. Hinter jedem digitalen Transformationsprogramm steht ein komplexes Ökosystem innovativer Lösungen von Drittanbietern, die sich immer mehr auf die Cloud verlassen, was bedeutet, dass das Risikomanagement in der Lieferkette immer wichtiger wird.

Was bedeutet das für Organisationen?

Als prinzipienbasierte Regulierungsbehörde vermeidet OSFI es, präskriptive und detaillierte Regeln zu skizzieren, und empfiehlt daher keine spezifischen Lösungen für die Betriebskontinuität. Dies unterscheidet sich von anderen Aufsichtsbehörden auf der ganzen Welt, wie Großbritannien (PRA) und Singapur (MAS), die Organisationen ausdrücklich ermutigt haben, Treuhandlösungen zur Stärkung der Widerstandsfähigkeit einzusetzen. Allerdings müssen Organisationen nach den neuen Richtlinien Ausstiegsstrategien entwickeln, die die Kontinuität kritischer Dienste gewährleisten.

In den überarbeiteten B-10-Richtlinien von OSFI, die den neuen Ansatz skizzieren, empfiehlt die Aufsichtsbehörde, dass Organisationen ganzheitliche Risikomanagementprogramme von Drittanbietern implementieren. Dazu sollten spezifische Vorkehrungen zum Management von Technologie- und Cyber-Risiken durch den Einsatz von Software-Hinterlegung und Verifizierung und Priorisierung von Resilience by Design gehören.

Hinterlegungs- und Verifizierungslösungen sind unerlässlich, um Sicherheit und nachweisbare Beweise dafür zu bieten, wie Dienste während und nach einer Störung aufrechterhalten werden können, und sollten unbedingt im Mittelpunkt jeder Ausstiegsstrategie stehen.

Wie geht es weiter mit der kanadischen Regulierung?

Das OSFI bittet um öffentliche Kommentare zu seinen überarbeiteten Richtlinien bis zum 27. Juli 2022 im Hinblick auf die Veröffentlichung der endgültigen Richtlinien im Herbst 2022. Dieser Schritt des OSFI markiert die Beteiligung Kanadas an einer globalen Bewegung zur Stärkung der Widerstandsfähigkeit im Finanzsektor, und es ist wahrscheinlich dass wir in Zukunft weitere ähnliche regulatorische Leitlinien in Kanada und darüber hinaus sehen werden.

In der Zwischenzeit sollten Institutionen klare Rollen und Verantwortlichkeiten, die Einhaltung von Cyber-Standards, Cloud-spezifischen Anforderungen und die Berücksichtigung der Cloud-Portabilität festlegen, wenn sie die Risiken der Nutzung von Drittanbietern verwalten und mindern.

[View source.]