- Anzeigen -

MiFID I-Repetitorium: Anforderungen an die IT

MiFID: Höhere Anforderungen an Informationssicherheit und Risikomanagement
Betriebliche und organisatorische Anforderungen mit Auswirkungen auf die Sicherheit von Informationen

Von Daniel J. Langin*

(08.02.07) - Die Gründung der Europäischen Union hat den Bürgern der EU-Mitgliedsstaaten zahlreiche Vorteile gebracht. Einer davon ist die schnellere und unbürokratischere Abfertigung an den Landesgrenzen, die es den Bürgern praktisch ermöglicht, in der gesamten EU mit einem einzigen Reisepass bzw. Personalausweis auszukommen.

Auch für die im EU-Raum tätigen Unternehmen haben sich ähnliche Vorteile ergeben. So erhalten Wertpapierfirmen durch die EU-Richtlinie über Märkte für Finanzinstrumente (2004/39/EG, "Markets in Financial Instruments", abgekürzt: MiFID Directive) die Möglichkeit, in sämtlichen EU-Mitgliedsstaaten tätig zu sein, sobald sie auf der Grundlage des Single-Passport-Verfahrens eine entsprechende Zulassung in ihrem jeweiligen Mitgliedsstaat erhalten haben.

Diese Einmalzulassung hat jedoch ihren Preis. Wertpapierfirmen (und Banken, die im Wertpapiersektor tätig sind), geregelte Wertpapierbörsen und alternative Märkte müssen die von der MiFID-Richtlinie vorgegebenen betrieblichen Voraussetzungen erfüllen und den entsprechenden Überwachungs- und Informationspflichten nachkommen. Viele MiFID-Bestimmungen stellen die Unternehmen vor höhere Anforderungen im Hinblick auf Informationssicherheit, Risikomanagement und interne Kontrollen und fordern von ihnen strengere Maßnahmen zur Überwachung der Einhaltung der Richtlinie sowie zur Aufbewahrung, zum Schutz und zur Offenlegung von Daten.

Wie Unternehmen die Einhaltung der MiFID-Richtlinie mit Tripwire sicherstellen können
Tripwire Enterprise 6.0 erkennt sämtliche Konfigurationsänderungen über die gesamte IT-Infrastruktur des Unternehmens hinweg, egal ob Änderun­gen von Servern, Netzgeräten, Datenbanken und Verzeichnisdiensten. Identifiziert werden auch Policy-Übertretungen und Sicherheitsverstöße.

Überblick - Was ist MiFID?
Wie die Vorgängerrichtlinie von 1993 (93/22/EEC) handelt es sich bei MiFID um eine EU-Richtlinie, mit der versucht wird, Bedingungen zu schaffen, unter denen Wertpapierfirmen und im Wertpapiergeschäft tätige Banken auf der Grundlage der Zulassung und unter der Aufsicht ihres jeweiligen Herkunftslands entsprechende Dienstleistungen erbringen oder Niederlassungen in anderen EU-Mitgliedsstaaten gründen können. Die MiFID-Richtlinie soll die Vorgängerrichtlinie 93/22/EEC ablösen, weil Investoren inzwischen ein deutlich komplexeres Angebot an Anlagemöglichkeiten und Investment-Dienstleistungen zur Verfügung steht, deren Inanspruchnahme durch Technologien wie Online-Handel, PDAs und andere mobile Geräte ebenfalls an Komplexität zugenommen hat. Die beiden Ziele der MiFID-Richtlinie bestehen darin, "bei der Ausführung von Anlegeraufträgen [unabhängig von den für den Abschluss dieser Geschäfte verwendeten Handelsmethoden] eine hohe Qualität zu gewährleisten und die Integrität und Gesamteffizienz des Finanzsystems zu wahren". Anders ausgedrückt: Es soll sichergestellt werden, dass Geschäfte fair, effizient und vertrauenswürdig abgewickelt werden.

Die Bestimmungen der MiFID Richtlinie gelten für drei Arten von Rechtspersönlichkeiten:
>> Wertpapierfirmen (einschließlich Banken, die Wertpapierdienstleistungen anbieten)
>> Geregelte Märkte (im Wesentlichen zugelassene Börsen)
>> Multilaterale Handelssysteme (ein multilaterales System, das von einer Investmentgesellschaft oder einer anderen
>> Rechtspersönlichkeit mit börsenartiger Funktion betrieben wird)

Überblick über die MiFID-Anforderungen an die Sicherheit von Informationen
Wenngleich die Bestimmungen der MiFID-Richtlinie überwiegend im Jargon der Wertpapierbranche formuliert sind, enthält sie nicht nur eine Reihe sehr spezifischer Bestimmungen für die Sicherheit von Informationen, sondern auch weitere Bestimmungen, die mit Aspekten der Informationssicherheit verflochten sind. Wie aber können Unternehmen den Überblick über das komplexe Geflecht der MiFID-Sicherheitsanforderungen behalten und die für sie wichtigen Informationssicherheitsbestimmungen herausfiltern?

Hierzu ist es sinnvoll, die drei MiFID-Hauptkategorien im Hinblick auf die Sicherheit von Informationen näher zu betrachten.
So enthält die MiFID-Richtlinie:
1.
Betriebliche und organisatorische Anforderungen,
2. Überwachungspflichten und
3. Offenlegungsvorschriften

Wie Unternehmen die Einhaltung der MiFID-Richtlinie mit Tripwire sicherstellen können

Tripwire Enterprise 6.0 erkennt sämtliche Konfigurationsänderungen über die gesamte IT-Infrastruktur des Unternehmens hinweg, egal ob Änderun­gen von Servern, Netzgeräten, Datenbanken und Verzeichnisdiensten. Identifiziert werden auch Policy-Übertretungen und Sicherheitsverstöße.

Besuchen Sie auch unsere Schwerpunkte:
MiFID I-Repetitorium: Alles zum Thema MiFID
MiFID II-Repetitorium: Alles zum Thema MiFID