Richtlinien zum Schutz von Informationen bei der Übermittlung

Richtlinien zum Schutz von Informationen bei der Übermittlung (Art. 14 RTS RMF)

Die Richtlinie zum Schutz von Informationen bei der Übermittlung ist ein verpflichtendes Element des IKT-Risikomanagements nach DORA. Sie legt fest, wie Finanzunternehmen die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität sensibler Daten während der Übertragung – intern wie extern – sicherstellen.

Die rechtliche Grundlage bildet Art. 14 der technischen Regulierungsstandards (RTS RMF) zur Verordnung (EU) 2022/2554.

Ziel der Richtlinie

Ziel ist es, Risiken bei der elektronischen Übertragung von Informationen systematisch zu minimieren – insbesondere:

  • Datenverlust, Manipulation oder Abhören bei internen Netzwerken, Internetkommunikation oder Cloud-Anbindungen,
  • Verstöße gegen Datenschutz- und Vertraulichkeitspflichten,
  • ungesicherte Schnittstellen zu Drittdienstleistern.

Inhalte gemäß Art. 14 RTS RMF

1. Schutz während der Übermittlung

  • Sicherstellung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit aller übermittelten Daten
  • Etablierung technischer und organisatorischer Kontrollen zur Einhaltung dieser Schutzziele
  • Verfahren zur regelmäßigen Bewertung der Schutzmaßnahmen

2. Schutz vor Datenlecks

  • Maßnahmen zur Erkennung und Verhinderung von Lecks
  • Kontrolle des Informationsflusses zwischen:
    • Mitarbeitenden
    • verbundenen Unternehmen
    • Dienstleistern
    • Behörden und Kunden

3. Vertraulichkeitsvereinbarungen

  • Richtlinie muss regeln:
    • Wann Vertraulichkeits- oder Geheimhaltungsvereinbarungen (NDAs) abzuschließen sind
    • Welche Inhalte geregelt werden (z. B. Datenklassifizierung, Weitergabegrenzen)
    • Wer für Überprüfung, Erneuerung und Archivierung verantwortlich ist
  • Betrifft interne Mitarbeitende, externe Dienstleister, Projektpartner

Kontext: Datenklassifizierung und Risikobewertung

Die Richtlinie muss auf den Ergebnissen von:

  • genehmigten Datenklassifizierungen (z. B. öffentlich, vertraulich, streng vertraulich)
  • und der IKT-Risikobewertung

basieren. Je nach Sensibilität sind verschiedene Sicherheitsstufen bei der Übertragung erforderlich – z. B.:

KlassifizierungÜbertragungsanforderung
ÖffentlichStandardkommunikation (z. B. HTTPS)
VertraulichVerschlüsselung mit TLS 1.3 oder IPsec
Streng vertraulichEnde-zu-Ende-Verschlüsselung, internes VPN, Protokollierung der Übertragung

Technische Schutzmaßnahmen (Best Practices)

  • TLS/SSL, IPsec, SSH für Netzwerkverbindungen
  • Ende-zu-Ende-Verschlüsselung für besonders kritische Daten
  • Digital Signatures zur Sicherstellung der Authentizität
  • MFA für Dateizugriffe bei Übertragungen zwischen Netzen
  • Protokollierung und Monitoring aller Dateiübertragungen

Umsetzungspflicht bis 17. Januar 2025

Die Richtlinie muss bis spätestens zum 17. Januar 2025 implementiert und dokumentiert sein. Sie ist Teil des umfassenden Schutzkonzepts gemäß Art. 9 DORA („Schutz & Prävention“) und wird insbesondere bei IKT-Vorfällen und Resilienzprüfungen (TLPT) geprüft.