Der Bundesrat hat das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme am 10. Juli 2015 gebilligt. Es wird nun dem Bundespräsidenten zur Unterschrift vorgelegt und tritt in großen Teilen am Tag nach der Verkündung in Kraft.
Das Gesetz soll zu einer deutlichen Verbesserung der Sicherheit informationstechnischer Systeme führen. Um Defizite im Bereich der IT-Sicherheit abzubauen, verpflichtet es insbesondere Betreiber kritischer Infrastrukturen – wie zum Beispiel Einrichtungen der Energieversorgung oder des Gesundheitswesens – ein Mindestniveau an IT-Sicherheit einzuhalten. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind Sicherheitsvorfälle künftig zu melden. Zudem werden Hard- und Software-Hersteller zur Mitwirkung bei der Beseitigung von Sicherheitslücken verpflichtet. Das Gesetz verbessert auch den Schutz der Bürgerinnen und Bürger im Internet.
Link: www.bundesrat.de
Der Deutsche Bundestag hat heute in 2. und 3. Lesung den Entwurf der Bundesregierung für ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) abschließend beraten und mit großer Mehrheit angenommen. Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen damit künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Darüber hinaus werden zur Steigerung der IT-Sicherheit im Internet die Anforderungen an die Anbieter von Telekommunikations- und Telemediendiensten erhöht. Parallel dazu werden die Kompetenzen des BSI und der Bundesnetzagentur sowie die Ermittlungszuständigkeiten des Bundeskriminalamtes im Bereich der Computerdelikte ausgebaut.
Link: www.bmi.bund.de
Die DSAG hat zwei Handlungsempfehlungen mit Beispielszenarien und praktischen Tipps veröffentlicht. Zum einen wird erläutert, welche Risiken innerhalb von SAP ERP 6.0 lauern und wie die Wirksamkeit entsprechender Kontrollen am besten geprüft werden kann. Zum anderen beschreiben die Autoren, wie sich GRC Access Control sicher und wirksam einführen lässt. Dabei werden gesetzliche und fachliche Anforderungen im Rahmen eines optimalen Projektmanagements besonders hervorgehoben.
Link: www.dsag.de
Mit BMF-Schreiben vom 14. November 2014 – IV A 4 – S 0316/13/10003, BStBl I S. 1450 („Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeich-nungen und Unterlagen in elektronischer Form sowie zum Datenzugriff [GoBD]“), wurden die BMF-Schreiben vom 7. November 1995 – IV A 8 – S 0316 – 52/95, BStBl I S. 738 („Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme [GoBS]“), und vom 16. Juli 2001 – IV D 2 – S 0316 – 136/01, BStBl I S. 415 („Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen [GDPdU]“), das durch BMF-Schreiben vom 14. September 2012 – IV A 4 – S 0316/12/10001, BStBl I S. 930, geändert wurde – mit Wirkung zum 1. Januar 2015 außer Kraft gesetzt. Auf die vorgenannten BMF-Schreiben bzw. auf die „GoBS“ und „GDPdU“ wird im Umsatzsteuer-Anwendungserlass an verschiedenen Stellen Bezug genommen.
Link: www.bundesfinanzministerium.de
Donnerstag, 26. März 2015
Die Europäische Zentralbank (EZB) hat heute eine Verordnung über die Meldung aufsichtlicher Finanzinformationen veröffentlicht.
Die Verordnung legt die Regelungen und Verfahren für die Meldung aufsichtlicher Finanzinformationen durch beaufsichtigte Unternehmen an die nationalen zuständigen Behörden und die EZB fest. Institute, die die internationalen Rechnungslegungsstandards (International Financial Reporting Standards – IFRS) auf konsolidierter Ebene anwenden, sind bereits heute zur Meldung aufsichtlicher Finanzinformationen verpflichtet.
Link: www.bankingsupervision.europa.eu
Donnerstag, 19. März 2015
Ein vom Cyber-Sicherheitsrat Deutschland e.V. (CSRD e.V) bei der renommierten Berliner Anwaltskanzlei Knauthe in Auftrag gegebenes Gutachten offenbart alarmierende Zweifel an der Verfassungsmäßigkeit des Gesetzentwurfs der Bundesregierung. Die Verfassungsrechts-Experten Christoph Ahlhaus und Endrik Holzinger führen in einer umfassenden Stellungnahme detailliert sieben verfassungsrechtliche Bedenken auf, wie beispielsweise die fehlende Einbindung der informationstechnischen Strukturen des Bundes.
Link: www.cybersicherheitsrat.de
Die Auswirkungen der verschärften internationalen Eigenkapitalnormen und der neuen Liquiditätsstandards (Basel III) werden seit Anfang 2011 vom Baseler Ausschuss für Bankenaufsicht und von der Europäischen Bankenaufsichtsbehörde EBA auf halbjährlicher Basis im Rahmen des „Basel III-Monitoring“ beobachtet und analysiert. Heute werden die aktuellsten Ergebnisse dieser Studie veröffentlicht. Europaweit sind 148 Banken aus 18 EU-Mitgliedsländern daran beteiligt. Die Deutsche Bundesbank erhebt und prüft in diesem Zusammenhang die Daten von 44 deutschen Instituten. Dabei werden die Institute in zwei Gruppen eingeteilt: Zur Gruppe 1 zählen acht international tätige Institute mit einem Kernkapital von mindestens 3 Mrd. € gemäß aktueller Regulierung. Die übrigen 36 kleineren Institute werden der Gruppe 2 zugeordnet.
Link: www.bundesbank.de
Mittwoch, 4. Februar 2015
Entwurf eines Rundschreibens zu den Mindestanforderungen an die Sicherheit von Internetzahlungen
Die BaFin beabsichtigt, das in der Anlage befindliche Rundschreiben zu erlassen. Es betrifft Zahlungen im Internet, die von Kunden über Online-Banking ausgelöst werden können. Grundlage des Rundschreibens sind die Empfehlungen des European Forum on the Security of Retail Payments (SecuRe Pay Forum) vom 01.02.2013, die in dem Rundschreiben deckungsgleich übernommen wurden. Grundlage ist ferner eine ergänzende Empfehlung des SecuRe Pay Forums zur Umsetzung der Meldepflichten für kritische Sicherheitsvorfälle. Das Rundschreiben dient der Bekämpfung von Betrug im Zahlungsverkehr und soll das Vertrauen des Verbrauchers in Internetzahlungsdienste stärken. Es deckt wesentliche Aspekte der Sicherheit im Retail-Zahlungsverkehr ab, namentlich die Governance und das Risikomanagement sowie die Überwachung, Überprüfung und Dokumentation von Internet-Zahlungsvorgängen. Geschützt werden sowohl die Datensicherheit als auch der Kunde. Zentrale Regelungsgegenstände sind die Einführung einer starken Kundenauthentifizierung, der Schutz sensibler Zahlungsdaten und die Verbesserung des Kundenschutzes.
Link: www.bafin.de
Donnerstag, 1. Januar 2015
The Framework for Improving Critical Infrastructure Cybersecurity (“The Framework”) was issued on February 12, 2014, as directed by President Obama in Executive Order 13636. This voluntary framework – based on existing standards, guidelines, and practices – provides guidance for reducing cybersecurity risk for organizations within critical infrastructure sectors. The Framework was developed in a year-long, collaborative process in which NIST served as a convener for industry, academia, and government stakeholders. This collaboration continues as NIST works with stakeholders from across the country and around the world.
Link: www.nist.gov
Mittwoch, 10. Dezember 2014
Der Entwurf einer IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing (IDW ERS FAIT 5) wurde verabschiedet.
IDW ERS FAIT 5 konkretisiert die aus den §§ 238, 239 und 257 HGB resultierenden Anforderungen an die Führung der Handelsbücher mittels IT-gestützter Systeme bei der Auslagerung von rechnungslegungsrelevanten Dienstleistungen. Er verdeutlicht auch die beim Einsatz von Cloud Computing möglichen Risiken für die Einhaltung der Grundsätze ordnungsmäßiger Buchführung.
Link: www.idw.de
