Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Warum das ICT-Risikomanagement für britische Banken jetzt zur Priorität auf Vorstandsebene wird

Warum das ICT-Risikomanagement für britische Banken jetzt zur Priorität auf Vorstandsebene wird

von Danielle Barbour updated April 10, 2026 Cybersecurity-Risikomanagement
Lesezeit: 10 Minuten

Britische Banken stehen vor einem operativen Umfeld, in dem Ausfälle von Informations- und Kommunikationstechnologien, Cyberangriffe und Abhängigkeiten von Drittanbietern innerhalb weniger Stunden zu systemischen Störungen, regulatorischer Prüfung und Reputationsschäden führen können. Das Management von ICT-Risiken hat sich von einer technischen Funktion, die von IT-Teams überwacht wird, zu einer Governance-Verantwortung auf Vorstandsebene entwickelt, die strategische Entscheidungen, Daten-Compliance und institutionelle Resilienz unmittelbar beeinflusst.

Dieser Wandel spiegelt regulatorische Erwartungen wider, nach denen Vorstände verstehen, hinterfragen und überwachen müssen, wie sich Technologierisiken im gesamten Unternehmen ausbreiten – insbesondere, wenn kritische Dienste von Cloud-Anbietern, Softwarelieferanten und Betreibern von Zahlungsinfrastrukturen abhängen. Vorstände benötigen heute Transparenz über Wiederherstellungsfähigkeiten, Datenschutzkontrollen und die Einsatzbereitschaft für Vorfallreaktionen – mit derselben Strenge, die auch für Kreditrisiken oder Kapitalausstattung gilt.

Dieser Artikel erläutert, warum das Management von ICT-Risiken in britischen Banken die Aufmerksamkeit des Vorstands erfordert, welche regulatorischen und operativen Faktoren diese Priorität bestimmen und wie Finanzinstitute Governance-Strukturen operationalisieren können, die technische Risiken in strategische Aufsicht übersetzen.

Executive Summary

Die Einbindung des Vorstands in das ICT-Risikomanagement ist für britische Banken mittlerweile sowohl regulatorische Vorgabe als auch operative Notwendigkeit. Vorstände müssen verstehen, wie technologische Abhängigkeiten kritische Funktionen beeinflussen, das Management hinsichtlich Cyber-Resilienz und Drittparteikontrollen herausfordern und sicherstellen, dass Fähigkeiten zur Vorfallreaktion mit den Wiederherstellungszielen übereinstimmen. Dieser Governance-Wandel spiegelt regulatorische Erwartungen an eine verantwortliche Führungsebene wider, die systemische Auswirkung von Technologiestörungen und das Konzentrationsrisiko, das mit der Abhängigkeit von wenigen kritischen Dienstleistern einhergeht. Effektive Aufsicht durch den Vorstand erfordert strukturierte Berichte zu ICT-Risikobereitschaft, Ergebnissen von Wiederherstellungstests, Drittparteien-Absicherung und Schutz sensibler Daten – unterstützt durch technisches Know-how und operative Kennzahlen, die eine fundierte Kontrolle und strategische Entscheidungen ermöglichen.

wichtige Erkenntnisse

  1. Verantwortlichkeit des Vorstands ist unerlässlich. Die Vorstände britischer Banken müssen die direkte Verantwortung für die ICT-Risiko-Governance übernehmen, technologische Abhängigkeiten verstehen und durch strategische Aufsicht die Einhaltung regulatorischer Vorgaben sicherstellen.
  2. Systemische Auswirkungen von Technologiestörungen. Technische Störungen im Bankwesen können sich ausweiten und kritische Abläufe wie Zahlungen und Datensicherheit beeinträchtigen. Vorstände müssen daher Cyber-Resilienz und Wiederherstellungsfähigkeiten priorisieren.
  3. Konzentrationsrisiken durch Drittparteien. Die Abhängigkeit von wenigen Schlüsselanbietern für Cloud- und Zahlungsdienste birgt systemische Risiken. Der Vorstand muss Diversifizierung, Due Diligence und Datenschutzkontrollen kritisch prüfen.
  4. Datenschutz als Priorität. Vorstände müssen robuste Verschlüsselungs- und Zugriffskontrollen für sensible Daten in internen und externen Umgebungen sicherstellen, unterstützt durch manipulationssichere Audit-Trails zur regulatorischen Absicherung.

Regulatorische Erwartungen an die Verantwortlichkeit des Vorstands für ICT-Risiken

Britische Finanzaufsichtsbehörden verlangen nun, dass Vorstände direkte Verantwortung für die ICT-Risiko-Governance übernehmen – eine bloße Delegation an IT- oder Risikoausschüsse reicht nicht mehr aus. Diese Erwartung resultiert aus der Erkenntnis, dass Technologie jeder kritischen Bankenfunktion zugrunde liegt – von der Zahlungsabwicklung und Kunden-Authentifizierung bis zum Liquiditätsmanagement und regulatorischen Reporting.

Vorstände müssen die Abhängigkeiten des Unternehmens von bestimmten Technologieplattformen, Cloud-Diensten und Drittanbietern verstehen und bewerten, ob diese Abhängigkeiten Konzentrationsrisiken, operative Fragilität oder Datenschutzlücken verursachen. Regulatorische Rahmenwerke verlangen, dass Vorstände die ICT-Risikobereitschaft definieren, Notfall- und Wiederherstellungspläne genehmigen und regelmäßige Berichte zu Cybervorfällen, Schwachstellenmanagement und Ergebnissen von Wiederherstellungstests erhalten.

Diese Verantwortlichkeit ist nicht auslagerbar. Regulatoren erwarten, dass Vorstände das Management hinsichtlich der Realisierbarkeit von Wiederherstellungszielen, der Angemessenheit von Backup-Systemen und der Vollständigkeit von Third-Party-Risk-Management-(TPRM)-Bewertungen herausfordern. Im Falle von ICT-Ausfällen müssen Vorstände nachweisen, dass sie die gebotene Sorgfalt angewendet, gezielte Fragen gestellt und sichergestellt haben, dass die Kontrollen den identifizierten Risiken angemessen sind.

Was Vorstände in der ICT-Risiko-Governance überwachen müssen

Effektive Aufsicht durch den Vorstand erfordert strukturierte Berichte zu mehreren operativen Bereichen. Vorstände benötigen Transparenz darüber, wie das Unternehmen kritische Funktionen klassifiziert, welche Technologiesysteme und Drittanbieterdienste diese Funktionen unterstützen und welche Wiederherstellungsfähigkeiten im Falle eines Systemausfalls bestehen.

Vorstände sollten Berichte über Häufigkeit und Schwere von Cybervorfällen, die Effektivität von Erkennungs- und Reaktionsfähigkeiten sowie darüber erhalten, ob Notfallpläne gegen realistische Szenarien getestet werden. Sie müssen das Risiko von Ransomware-Angriffen, Distributed-Denial-of-Service-Attacken und Supply-Chain-Komprimittierungen verstehen und bewerten, ob Sicherheitskontrollen die Wahrscheinlichkeit und Auswirkung dieser Bedrohungen reduzieren.

Das Management von Drittparteienrisiken erfordert die Aufmerksamkeit des Vorstands, da die Auslagerung kritischer Funktionen die regulatorische Verantwortung nicht überträgt. Vorstände sollten kritisch hinterfragen, ob das Unternehmen ausreichende Due Diligence bei Cloud-Anbietern, Zahlungsdienstleistern und Kernbankplattform-Anbietern durchführt – einschließlich Audit-Rechten, Exit-Strategien und vertraglichen Regelungen für Datenschutz und Vorfallbenachrichtigung.

Systemische Auswirkungen von Technologiestörungen auf den Bankbetrieb

Technische Ausfälle im Bankwesen bleiben nicht isolierte Vorfälle. Eine Störung der Zahlungsabwicklung beeinträchtigt den Kundenzugang zu Geldern, das Liquiditätsmanagement und den Interbanken-Ausgleich. Ein Datenschutzverstoß gefährdet die Vertraulichkeit von Kundendaten, löst regulatorische Untersuchungen aus und schädigt den Ruf des Instituts. Ein Ransomware-Angriff kann kritische Systeme lahmlegen, regulatorisches Reporting verzögern und den Rückgriff auf manuelle Prozesse erzwingen, die operative Fehler verursachen.

Die systemische Natur dieser Ausfälle bedeutet, dass Vorstände ICT-Risiken nicht als rein technische Fragestellung behandeln dürfen. Wenn ein Cloud-Service-Provider einen Ausfall erleidet, können mehrere Banken, die auf diesen Anbieter angewiesen sind, gleichzeitig den Zugang zu kundenorientierten Anwendungen verlieren. Wird eine Schwachstelle in weit verbreiteten Plattformen bekannt, müssen Institute ihre eigene Gefährdung bewerten, Patches priorisieren und prüfen, ob Gegenmaßnahmen neue Risiken einführen.

Vorstände müssen verstehen, wie schnell das Unternehmen Anomalien erkennen, kompromittierte Systeme isolieren und kritische Funktionen wiederherstellen kann. Kennzahlen wie Mean Time to Detect und Mean Time to Remediate zeigen, ob Security Operations Bedrohungen rechtzeitig identifizieren und Incident-Response-Teams Wiederherstellungspläne unter Druck umsetzen können.

Konzentrationsrisiko durch Drittparteien- und Cloud-Abhängigkeiten

Britische Banken verlassen sich zunehmend auf eine kleine Zahl von Cloud-Anbietern, Betreibern von Zahlungsinfrastrukturen und Softwarelieferanten für kritische Funktionen. Diese Konzentration birgt systemische Risiken, da ein Ausfall bei einem einzelnen Anbieter mehrere Institute gleichzeitig beeinträchtigen, Ressourcen zur Vorfallreaktion überfordern und die Koordination mit Aufsichtsbehörden erschweren kann.

Vorstände müssen bewerten, ob die Drittparteien-Abhängigkeiten des Unternehmens diversifiziert sind, ob alternative Anbieter oder Backup-Systeme kritische Funktionen aufrechterhalten können und ob vertragliche Vereinbarungen Audit-Rechte, Exit-Mechanismen und Service-Level-Garantien bieten. Die Due Diligence bei Drittparteien umfasst die Bewertung ihres eigenen ICT-Risikomanagements, ihrer Cyber-Resilienz und Datenschutzkontrollen.

Konzentrationsrisiken betreffen auch den Datenschutz. Wenn sensible Kundendaten, Transaktionsaufzeichnungen oder regulatorische Berichte von Drittparteien verarbeitet oder gespeichert werden, müssen Vorstände sicherstellen, dass datenbewusste Kontrollen eine konsequente Verschlüsselung, Zugriffsbeschränkungen und Audit-Trails in allen Umgebungen durchsetzen. Kommt es bei einem Drittanbieter zu einem Datenschutzverstoß, bleibt das Institut gegenüber Regulatoren und Kunden verantwortlich.

Cyber-Resilienz und Wiederherstellungsfähigkeiten unter Beobachtung des Vorstands

Cyber-Resilienz umfasst die Fähigkeit des Unternehmens, Cybervorfälle zu verhindern, zu erkennen, darauf zu reagieren und sich davon zu erholen. Vorstände müssen überwachen, ob die Resilienzstrategie zur Risikobereitschaft passt, ob Wiederherstellungsfähigkeiten gegen realistische Szenarien getestet werden und ob Erkenntnisse aus Tests in operative Pläne einfließen.

Recovery Time Objectives und Recovery Point Objectives legen fest, wie schnell kritische Funktionen wiederhergestellt werden müssen und wie viel Datenverlust akzeptabel ist. Vorstände sollten kritisch hinterfragen, ob diese Ziele angesichts der Backup-Systeme, redundanter Infrastruktur und Ressourcen für Vorfallreaktionen erreichbar sind. Die Überprüfung dieser Fähigkeiten durch Simulationen und Notfallübungen liefert Nachweise, dass Wiederherstellungspläne auch unter Stress umsetzbar sind.

Die Einsatzbereitschaft für Vorfallreaktionen erfordert Koordination zwischen IT-Betrieb, Security-Teams, Rechtsabteilung, Compliance, Kommunikation und Geschäftsleitung. Vorstände müssen sicherstellen, dass Notfallpläne Rollen, Eskalationsschwellen, Kommunikationsprotokolle und Entscheidungsbefugnisse klar definieren und diese Pläne regelmäßig geübt werden.

Berichterstattung auf Vorstandsebene zu Cybervorfällen und Schwachstellenmanagement

Vorstände benötigen zeitnahe, präzise Berichte zu Cybervorfällen – einschließlich Art des Angriffs, betroffener Systeme, kompromittierter Daten, Effektivität der Erkennung und Eindämmung sowie Stand der Wiederherstellungsmaßnahmen. Die Berichterstattung sollte zwischen geringfügigen Sicherheitsereignissen und schwerwiegenden Vorfällen unterscheiden, die eine Benachrichtigung des Vorstands, regulatorische Meldung oder Kundenkommunikation erfordern.

Das Schwachstellenmanagement sollte den Vorstand über die Gefährdung durch bekannte Software-Schwachstellen, die Zeit bis zur Behebung kritischer Systeme und das Risiko durch Altsysteme informieren. Vorstände müssen wissen, ob das Unternehmen eine Inventarisierung der Technologie-Assets pflegt, Schwachstellen nach Schweregrad klassifiziert und die Behebung risikobasiert priorisiert.

Security Operations Center generieren große Mengen Telemetriedaten, aber Vorstände benötigen verdichtete Einblicke für fundierte Entscheidungen. Kennzahlen wie die Anzahl kritischer Schwachstellen, die über Fristen hinaus bestehen, der Prozentsatz aktuell gepatchter Systeme und die Häufigkeit erfolgreicher Phishing-Versuche liefern sinnvolle Indikatoren für die Sicherheitslage des Unternehmens.

Datenschutz und Drittparteien-Governance als Vorstandspflichten

Der Schutz sensibler Daten ist eine regulatorische Vorgabe und ein Vertrauensfaktor, der die Aufsicht des Vorstands erfordert. Britische Banken verarbeiten personenbezogene Finanzdaten, Transaktionsaufzeichnungen, Bonitätsbewertungen und vertrauliche Geschäftskommunikation – all dies muss Ende-zu-Ende über interne Systeme und externe Kommunikation geschützt werden. Der Vorstand sollte sicherstellen, dass das Unternehmen AES-256-Verschlüsselung für ruhende Daten und TLS 1.3 für Daten während der Übertragung als Mindeststandard anwendet und diese Protokolle in allen internen und Drittparteien-Umgebungen konsequent durchsetzt.

Vorstände müssen sicherstellen, dass das Unternehmen datenbewusste Kontrollen implementiert, die Verschlüsselung, Zugriffskontrollen und Audit-Trails je nach Sensitivität und Klassifizierung der Daten erzwingen. Data Loss Prevention (DLP)-Technologien, Identity and Access Management (IAM)-Plattformen und Managed File Transfer-Lösungen sind Teil einer mehrschichtigen Verteidigung. Der Vorstand benötigt jedoch die Gewissheit, dass diese Tools korrekt konfiguriert, kontinuierlich überwacht und in die Incident-Response-Prozesse integriert sind.

Wenn britische Banken sensible Daten mit Drittanbietern teilen, muss der Vorstand sicherstellen, dass vertragliche Verpflichtungen, technische Kontrollen und Audit-Rechte ausreichen, um diese Daten zu schützen. Drittparteien-Bewertungen sollten prüfen, ob Anbieter Verschlüsselung, Zugriffskontrollen und Audit-Trails auf dem Niveau der eigenen Standards implementieren.

Vorstände sollten kritisch hinterfragen, ob das Unternehmen regelmäßige Überprüfungen der Sicherheitspraktiken von Drittanbietern durchführt, ob Anbieter das Unternehmen über Sicherheitsvorfälle mit geteilten Daten informieren und ob Verträge die Möglichkeit bieten, Beziehungen zu beenden, wenn Anbieter Datenschutzpflichten nicht erfüllen.

Die Datenschutz-Governance erstreckt sich auf E-Mail, Filesharing, Managed File Transfer (MFT) und APIs, die für den Datenaustausch mit externen Parteien genutzt werden. Der Vorstand benötigt die Gewissheit, dass diese Kommunikationskanäle datenbewusste Kontrollen durchsetzen, unbefugten Zugriff oder Datenabfluss verhindern und manipulationssichere Audit-Trails erzeugen, die regulatorisches Reporting und forensische Untersuchungen unterstützen.

Technische Kompetenz und Kontrollfähigkeit auf Vorstandsebene aufbauen

Effektive Aufsicht des ICT-Risikos durch den Vorstand erfordert, dass die Mitglieder über ausreichendes technisches Wissen verfügen, um das Management herauszufordern, Risikoabwägungen zu verstehen und fundierte strategische Entscheidungen zu treffen. Viele Vorstände rekrutieren Mitglieder mit Cybersecurity-, Technologie- oder operativem Risiko-Background oder bieten Schulungsprogramme an, um eine Grundkompetenz im gesamten Gremium aufzubauen.

Vorstände müssen keine technischen Experten werden, aber sie sollten grundlegende Konzepte wie Verschlüsselung, Multi-Faktor-Authentifizierung (MFA), zero trust-Architektur und Incident Response verstehen. Dieses Wissen befähigt sie, gezielte Fragen zu stellen – etwa, ob die Kontrollen des Unternehmens ausreichen, ob die Risikoanalysen des Managements realistisch sind und ob Investitionen in Resilienz den identifizierten Bedrohungen angemessen gegenüberstehen.

Kontrolle durch den Vorstand ist am effektivsten, wenn Mitglieder die Annahmen hinter den Risikoanalysen und Resilienzplänen des Managements hinterfragen. Wenn das Management beispielsweise behauptet, kritische Systeme könnten innerhalb von vier Stunden wiederhergestellt werden, sollte der Vorstand nachfragen, welche Abhängigkeiten, manuellen Prozesse oder Koordinationsanforderungen dieser Schätzung zugrunde liegen und ob diese Annahmen durch Tests validiert wurden.

Vorstände sollten kritisch prüfen, ob die Risikobereitschaft für ICT-Störungen zu den Kundenerwartungen, regulatorischen Vorgaben und der Wettbewerbsposition passt. Dies gilt auch für Investitionsentscheidungen: Der Vorstand sollte hinterfragen, ob vorgeschlagene Technologieinvestitionen Risiken reduzieren, die Resilienz verbessern oder lediglich Komplexität erhöhen.

Operationalisierung der ICT-Risiko-Governance in Vorstandsstrukturen

Die Übersetzung des ICT-Risikomanagements in eine Governance auf Vorstandsebene erfordert strukturierte Berichte, klare Eskalationsschwellen und Verantwortlichkeitsrahmen, die technische Abläufe mit der strategischen Aufsicht verbinden. Der Vorstand sollte definieren, was ein wesentliches ICT-Risikoereignis darstellt, Meldefristen für Vorfälle festlegen und vom Management Root-Cause-Analysen und Maßnahmenpläne einfordern.

Risikobereitschaftserklärungen für ICT sollten akzeptable Ausfallzeiten, Datenverluste und Drittparteien-Konzentration definieren sowie Kennzahlen zur Messung der Zielerreichung festlegen. Der Vorstand sollte die Risikobereitschaft jährlich überprüfen und an Veränderungen der Bedrohungslage, regulatorische Erwartungen oder die Geschäftsstrategie anpassen.

Operative Kennzahlen wie der Prozentsatz aktuell gepatchter Systeme, die Anzahl kritischer Schwachstellen über Fristen hinaus und die Häufigkeit von Wiederherstellungstests liefern Frühindikatoren für die Resilienz des Unternehmens. Der Vorstand sollte diese Kennzahlen über die Zeit verfolgen, Trends identifizieren und das Management bei Leistungsverschlechterungen herausfordern.

ICT-Risiken dürfen nicht isoliert von Kredit-, Markt-, operationellen oder Compliance-Risiken betrachtet werden. Der Vorstand muss sicherstellen, dass ICT-Risiken in das Enterprise Risk Management des Unternehmens integriert sind – mit klaren Verantwortlichkeiten, Berichtswegen und Eskalationsprotokollen. Diese Integration ermöglicht es, zu bewerten, wie technologische Abhängigkeiten andere Risikokategorien beeinflussen. Die interne Revision sollte die Wirksamkeit der ICT-Risikokontrollen prüfen, die konsistente Umsetzung der Richtlinien testen und dem Vorstand unabhängige Sicherheit geben.

Fazit

Das Management von ICT-Risiken ist zu einer Governance-Disziplin auf Vorstandsebene geworden, die dieselbe strukturierte Kontrolle erfordert wie Kreditrisiken, Kapitalausstattung und Compliance. Britische Bankvorstände, die Technologierisiken als reine IT-Angelegenheit delegieren, sind regulatorischen Risiken, operativer Fragilität und Reputationsverlusten ausgesetzt. Effektive Governance verlangt, dass Vorstände Cyber-Resilienz überwachen, die Angemessenheit von Drittparteikontrollen hinterfragen, Datenschutzstandards Ende-zu-Ende durchsetzen und Wiederherstellungsfähigkeiten aufbauen, die getestet, validiert und den kritischen Funktionsabhängigkeiten angemessen sind.

Die regulatorische Entwicklung für britische Banken geht in Richtung immer spezifischerer und durchsetzbarer Anforderungen an die operative Resilienz. Während das Vereinigte Königreich sein eigenes Rahmenwerk für operative Resilienz vorantreibt – angelehnt an Prinzipien der EU-Digital Operational Resilience Act (DORA) – verankern FCA und PRA ICT-Risiken als Prüfungspriorität in ihren Bewertungsprozessen. Sie erwarten, dass Vorstände nicht nur Richtlinien vorweisen, sondern auch aktive, informierte Kontrolle auf höchster Ebene nachweisen. Vorstände, die echte technische Kontrollfähigkeit aufbauen, ICT-Risiken in das Enterprise Risk Management integrieren und in Resilienztests investieren, sind besser aufgestellt, um regulatorische Prüfungen zu bestehen und die operative Kontinuität sowie das Kundenvertrauen zu sichern.

Sensible Daten Ende-zu-Ende sichern – mit manipulationssicheren Audit-Trails und Zero Trust Enforcement

Britische Banken müssen die ICT-Risiko-Governance operationalisieren, indem sie Kontrollen implementieren, die sensible Daten während der Übertragung schützen, zero trust-Sicherheit und datenbewusste Richtlinien durchsetzen und manipulationssichere Audit-Trails erzeugen, die der regulatorischen Verteidigung dienen. Das Private Data Network ermöglicht es Instituten, E-Mail, Filesharing, Managed File Transfer, Web-Formulare und APIs über eine einheitliche Plattform abzusichern, die konsistente AES-256-Verschlüsselung für ruhende Daten und TLS 1.3 für Daten während der Übertragung über alle Kommunikationskanäle hinweg anwendet.

Kiteworks setzt zero trust-Prinzipien um, indem jede Zugriffsanfrage validiert, Berechtigungen nach Datenklassifizierung und Anwenderrolle eingeschränkt und unbefugtes Teilen oder Abfließen verhindert wird. Datenbewusste Kontrollen analysieren die Sensitivität von Inhalten in Echtzeit und wenden Verschlüsselung, Wasserzeichen oder Blockierungsrichtlinien gemäß vordefinierten Regeln an. So bleiben sensible Kundendaten, regulatorische Berichte und vertrauliche Geschäftskommunikation geschützt – unabhängig davon, ob sie intern, mit Drittparteien oder mit Aufsichtsbehörden geteilt werden.

Manipulationssichere Audit-Trails erfassen jeden Zugriff, jede Änderung und jedes Teilen von Daten und bieten forensische Transparenz darüber, wie sensible Daten sich im Unternehmen und darüber hinaus bewegen. Diese Protokolle integrieren sich mit Security Information and Event Management (SIEM), Security Orchestration, Automation and Response (SOAR) und ITSM-Plattformen, sodass Security Operations Center Anomalien erkennen, Vorfälle untersuchen und Remediation-Workflows automatisieren können.

Durch die Konsolidierung sensibler Datenkommunikation auf dem Kiteworks Private Data Network reduzieren britische Banken ihre Angriffsfläche, vereinfachen die Governance von Drittparteienrisiken und geben dem Vorstand die Sicherheit, dass Datenschutzkontrollen konsistent implementiert und kontinuierlich überwacht werden. Diese Transparenz unterstützt fundierte Kontrolle durch den Vorstand, regulatorische Compliance und operative Resilienz.

Erfahren Sie, wie das Kiteworks Private Data Network die ICT-Risiko-Governance und Datenschutzfähigkeiten Ihres Instituts stärken kann – vereinbaren Sie eine individuelle Demo, die auf Ihre regulatorischen und operativen Anforderungen zugeschnitten ist.

Häufig gestellte Fragen

Das Management von ICT-Risiken ist für britische Banken eine Vorstands-Priorität, da Regulatoren dies erwarten und Technologiestörungen systemische Auswirkungen haben. Der Vorstand ist verantwortlich für die Überwachung von Technologierisiken, die kritische Funktionen, Cyber-Resilienz und Drittparteien-Abhängigkeiten betreffen – da diese innerhalb weniger Stunden zu Betriebsstörungen, regulatorischer Prüfung und Reputationsschäden führen können.

Britische Finanzaufsichtsbehörden erwarten, dass Vorstände direkte Verantwortung für die ICT-Risiko-Governance übernehmen, statt diese an IT- oder Risikoausschüsse zu delegieren. Dazu gehört die Definition der ICT-Risikobereitschaft, die Genehmigung von Notfall- und Wiederherstellungsplänen sowie der regelmäßige Erhalt von Berichten zu Cybervorfällen, Schwachstellenmanagement und Ergebnissen von Wiederherstellungstests für eine fundierte Aufsicht.

Konzentrationsrisiken entstehen, wenn britische Banken auf wenige Drittanbieter wie Cloud-Services und Zahlungsdienstleister angewiesen sind. Ein Ausfall bei einem Anbieter kann mehrere Institute gleichzeitig beeinträchtigen und systemische Risiken verursachen. Der Vorstand muss Diversifizierung, Backup-Systeme und vertragliche Schutzmaßnahmen prüfen, um dieses Risiko zu mindern und die Betriebsfähigkeit zu sichern.

Der Vorstand muss die Cyber-Resilienz überwachen, indem er sicherstellt, dass das Unternehmen Cybervorfälle verhindern, erkennen, darauf reagieren und sich davon erholen kann. Dazu gehört das kritische Hinterfragen von Wiederherstellungszielen, das Testen von Wiederherstellungsfähigkeiten durch Simulationen und die Sicherstellung, dass Notfallpläne teamübergreifend koordiniert und regelmäßig geübt werden – im Einklang mit Risikobereitschaft und regulatorischen Vorgaben.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks