Verfahren zum Schutz von Informationen bei der Übermittlung (Art. 14 RTS RMF)
Gemäß Art. 14 der delegierten Verordnung (RTS RMF) müssen Finanzunternehmen formalisierte Verfahren, Protokolle und Tools einführen, um die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit aller übermittelten Informationen sicherzustellen. Diese Pflicht gilt für interne und externe Datenübertragungen – etwa zu IKT-Drittdienstleistern, Kunden oder Behörden.
Kernanforderungen aus Art. 14 RTS RMF
| Anforderung | Umsetzungspflicht |
|---|---|
| a) Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit bei der Datenübertragung sicherstellen | z. B. durch Transportverschlüsselung (TLS 1.3), VPN-Tunnel, Authentifizierung, Hash-Verfahren |
| b) Datenlecks verhindern und erkennen | z. B. durch DLP-Tools (Data Loss Prevention), Mail-Gateway-Inspektion, sichere Dateifreigaben |
| c) Vertraulichkeitsvereinbarungen mit Mitarbeitenden & Dritten dokumentieren und regelmäßig prüfen | z. B. NDAs, Schulungsnachweise, Audittrail, Review-Zyklen |
Die Auswahl der Verfahren und Tools muss auf einer zugelassenen Datenklassifizierung und der individuellen IKT-Risikobewertung basieren. Das bedeutet: Je sensibler die Daten und je höher das Risiko, desto intensiver müssen die Schutzmaßnahmen sein.
Technische & organisatorische Maßnahmen (Beispiele)
| Kategorie | Tools / Verfahren | Beispiele |
|---|---|---|
| Transportverschlüsselung | TLS / VPN / IPsec / SFTP | OpenVPN, Cisco AnyConnect, HTTPS-Only Policies |
| Datenleck-Prävention | DLP-Systeme | Microsoft Purview DLP, Forcepoint, Symantec DLP |
| Identitäts- & Zugriffskontrolle | MTA-Richtlinien, DMARC, S/MIME | Zentrale Mail-Richtlinien, Zwei-Faktor-Authentisierung |
| Externe Datenweitergabe | Dateiportale, NDA-Audits | FTAPI, Tresorit Send, revisionssichere Zustellung |
| Rechts- & Vertragsmanagement | NDAs, Geheimhaltungsrichtlinien | Review- und Re-Zertifizierungsprozesse im HR & Einkauf |