Österreichs Finanzmarktaufsichtsbehörde (FMA) hat heute ihren Leitfaden IT-Sicherheit für Pensionskassen veröffentlicht. Sie weitet damit die hohen Aufsichtsstandards für IT- und Cyber-Sicherheit, die sie bereits in anderen Bereichen des Finanzmarkts etabliert hat, auch auf die Unternehmen der betrieblichen Altersvorsorge aus. Im Lauf des Jahres 2018 hat die FMA bereits vergleichbare Leitfäden für Banken, Versicherungen und Wertpapierdienstleister erlassen. Die Unternehmen am österreichischen Finanzmarkt profitieren somit von einheitlichen Rahmenbedingungen für die Digitalisierung ihrer Geschäftsmodelle.
Die Pensionskassen sind ein wichtiger Pfeiler der Altersvorsorge in Österreich. Mit dem Leitfaden IT-Sicherheit stellt die FMA sicher, dass dieser Pfeiler auch in einem digitalisierten Finanzmarkt weiter stabil ist. Wie relevant IT-und Cyber-Risiken am Finanzmarkt sind wurde zuletzt von einer Studie des Internationalen Währungsfonds IWF untermauert. Alleine durch Cyber-Angriffe entstehen demnach im globalen Finanzsystem jährlich Schäden in der Größenordnung von rund 100 Mrd. US-Dollar.
Vor diesem Hintergrund hat die FMA das Thema IT-Sicherheit bereits für das ablaufende Jahr zu einem ihrer Aufsichts- und Prüfschwerpunkte erklärt. Ende November hat sie angekündigt, diesen Schwerpunkt im Jahr 2019 beizubehalten. Der Fokus wird im neuen Jahr auf der praktischen Umsetzung der Leitfäden liegen. „Heuer haben wir uns mit der Theorie beschäftigt, im nächsten Jahr folgt die Praxis. Wir werden in die Unternehmen gehen und überprüfen, ob unsere Anforderungen auch eingehalten werden“, so die Vorstände der FMA, Helmut Ettl und Klaus Kumpfmüller.
Zentrales Element des Leitfadens ist die Einrichtung eines umfassenden IT-Risikomanagements und eines Informationssicherheitsmanagements. Die Pensionskassen haben dafür eine eigene IT-Strategie zu formulieren und eine IT-Governance einzurichten, die jeweils vom Vorstand zu verantworten sind. Dazu Helmut Ettl und Klaus Kumpfmüller: „Eine IT Strategie alleine reicht nicht. Papier kann sehr geduldig sein. Wir verlangen, dass das Thema in den Unternehmen tatsächlich höchste Priorität hat. IT-Sicherheit ist Chefsache.“
Abhängig von der Größe des Unternehmens und der individuellen Risikosituation kann daneben auch die Einrichtung eines Informationssicherheitsbeauftragten erforderlich sein, der die Integrität und Vertraulichkeit der im Unternehmen verwalteten Daten sicherzustellen hat. Die Pensionskassen bestimmen im Rahmen der FMA-Vorgaben in erster Linie selbst, welche Methoden, Systeme und Prozesse in Bezug auf die IT-Sicherheit angemessen sind. Damit folgt die FMA auch im Pensionskassenbereich konsequent dem Grundsatz der Proportionalität.
Den „FMA Leitfaden IT-Sicherheit Pensionskassen“ finden Sie auf der FMA-Website unter:
https://www.fma.gv.at/fma/fma-leitfaeden/
Rückfragehinweis für Journalisten:
Mag. Stefan Maier
+43/(0)1/24959-6001
+43/(0)676/882 49 426