Che cos'è MaRisk?

La gestione dei rischi è un aspetto critico della mitigazione della criminalità finanziaria e della protezione dei dati. BaFin è l'organismo di supervisione generale del settore finanziario tedesco, incentrato sulla gestione dei rischi, sulla continuità operativa, sulla riduzione dei rischi in outsourcing, sulla cooperazione con le autorità di regolamentazione, sulla gestione dei dati, sulla sicurezza dei dati e sulla riservatezza. MaRisk (Mindestanforderungen an das Risikomanagement, traduzione italiana: requisiti minimi per la gestione dei rischi) è un'iniziativa di BaFin che definisce i requisiti minimi per la conformità della gestione dei rischi.

Diagramma che illustra i requisiti per la gestione dei rischi MaRisk.

MaRisk si basa sulla Sezione 25a (1) della Legge tedesca sul sistema creditizio (Kreditwesengesetz, KWG), che disciplina "Particolari doveri organizzativi; autorità di emettere ordini". La sezione 25a è collegata all'articolo 88 della direttiva 2013/36/UE, che delinea le strutture di governance interna previste negli enti interessati nel settore dei servizi finanziari.

Che cos'è la conformità a MaRisk?

MaRisk è un documento normativo che costituisce un quadro per l'implementazione delle attività finanziarie in Germania. L'obiettivo è quello di eliminare i rischi delle attività del settore finanziario in Germania e di conseguenza in tutto il mondo, poiché gli istituti finanziari tedeschi (IF) operano a livello internazionale.

MaRisk si occupa di garantire il funzionamento sicuro e protetto e l'integrità del sistema finanziario in Germania. Si tratta di un regolamento amministrativo e funge da “Processo di revisione e valutazione prudenziale (SREP)” per le banche che rientrano nel Secondo Pilastro di Basilea III.

MaRisk è un quadro completo che include le aree di rischio finanziario nella gestione dei rischi interni e dei rischi di outsourcing. Le entità include sono sotto la supervisione di BaFin e comprendono banche, compagnie di assicurazione e titoli.

In che modo Akamai aiuta le organizzazioni a conformarsi a MaRisk

MaRisk fornisce un quadro completo per ridurre i rischi delle attività di un'organizzazione finanziaria. Ciò include la protezione dell'ambiente da malware, phishing e accessi non autorizzati. Le soluzioni per la sicurezza di Akamai forniscono intelligence e protezione end-to-end per proteggere i dati finanziari da violazioni ed esposizione accidentale, riducendo al minimo i rischi derivanti dai controlli di cybersicurezza di MaRisk. La piattaforma di sicurezza di Akamai offre la sicurezza dinamica necessaria per applicare i principi Zero Trust alla protezione dei dati nell'intera supply chain estesa. Akamai aiuta i vostri team di sicurezza a massimizzare l'efficacia e il ROI dei vostri investimenti nella sicurezza andando oltre il tradizionale rilevamento degli endpoint per fornire una potente soluzione Zero Trust per la sicurezza e la privacy dei dati.

Akamai offre:

Una piattaforma di sicurezza globale che applica la sicurezza Zero Trust con una copertura completa del vostro ambiente IT, IoT e OT
Una profonda visibilità su risorse, accessi e flussi di rete
Applicazione granulare della policy di sicurezza

Storia di MaRisk

MaRisk è stato pubblicato per la prima volta nel dicembre 2005, in conseguenza al quadro di Basilea II del Comitato di Basilea per la vigilanza bancaria. I principi di Basilea II, e ora di Basilea III, si riflettono nella sezione 25a (1) della Legge tedesca sul sistema creditizio (Kreditwesengesetz — KWG) e nello standard MaRisk.

MaRisk è stata un'iniziativa di BaFin per consolidare i precedenti quadri di gestione dei rischi in un unico quadro completo di gestione dei rischi. Inoltre, BaFin ha progettato MaRisk per modernizzare questi quadri più di nicchia, integrando le disposizioni di Basilea II e della Direttiva bancaria.

Dal 2005 sono stati apportati diversi emendamenti e inclusi nuovi requisiti, inclusi i recenti tre riportati di seguito:

I requisiti tecnici per l'aggregazione e gli aggiornamenti dei dati sui rischi si concentrano sui rischi dell'outsourcing con un nuovo requisito del sistema di gestione dell'outsourcing centrale. (Emendamento a MaRisk 2017)
Allineamento di MaRisk con le Linee guida EBAche includevano alcuni rischi per la cybersicurezza ICT (Emendamento a MaRisk 2021)

Integrazione dei requisiti di gestione dei rischi ESG nel quadro generale di gestione dei rischi. L'inclusione delle banche e degli istituti finanziari di piccole e medie dimensioni nell'ambito dei requisiti di monitoraggio dei prestiti e del credito di MaRisk ai sensi delle Linee guida dell'ABE (Emendamento a MaRisk 2022: attuale e settima versione di MaRisk)

MaRisk e outsourcing con gestione dei rischi

Gli attacchi alla supply chain e i rischi relativi ai dati sono un elemento centrale dell'inclusione di una gestione rigorosa dei rischi di outsourcing da parte di MaRisk. L'AT 9 sull'outsourcing di MaRisk (requisiti minimi per la gestione dei rischi) offre indicazioni agli intermediari finanziari su come soddisfare i requisiti normativi di outsourcing nella sezione 25b della Legge tedesca sul sistema creditizio (Kreditwesengesetz). La Legge tedesca sul sistema creditizio specifica che gli istituti finanziari devono adottare "ragionevoli misure precauzionali" per evitare rischi in caso di outsourcing di progetti e attività.

Tipi di organizzazioni che sono tenute a conformarsi allo standard MaRisk

Il rischio nel settore finanziario è sempre molto elevato: L'evidenza delle preoccupazioni relative al rischio proviene dal sondaggio della Banca d'Inghilterra, che ha identificato gli attacchi informatici come il rischio più preoccupante per il sistema finanziario del Regno Unito (79% degli intervistati). MaRisk tenta di porre rimedio a questo problema fornendo un quadro per aiutare il settore bancario e le società associate a ridurre i rischi delle proprie attività.

Banche e MaRisk

Le banche tedesche hanno subito significative violazioni dei dati negli ultimi anni, un esempio è l'attacco informatico del 2022 contro Deutsche Bank,, che ha provocato il furto di 60 GB di dati dei clienti. Le banche e altri enti del settore finanziario rientrano nell'ambito normativo della legge bancaria tedesca, della BaFin e di MaRisk. Nell'ambito di MaRisk, il documento "Requisiti di vigilanza per l'IT negli istituti finanziari" definisce le misure necessarie per soddisfare i requisiti di cybersicurezza per le banche. Inoltre, MaRisk richiede alle banche tedesche di proteggere i propri flussi di dati, e una delle ultime modifiche al regolamento ha incluso l'aumento della sicurezza per il "commercio interno" che richiede uno standard minimo di sicurezza IT per garantire la riservatezza dei dati. I principi Zero Trust del privilegio minimo impongono controlli degli accessi da tutte le sedi, compresi gli home office.

Fornitori di servizi cloud alle banche

La supply chain dei fornitori di servizi cloud al settore bancario in Germania rientra nella regolamentazione MaRisk. I fornitori di servizi cloud devono seguire i requisiti di vigilanza per l'IT per garantire che un cliente (banca o altro istituto finanziario) implementi il controllo del rischio per conformarsi. Una valutazione del rischio dovrebbe dimostrare che vengono attuate misure di gestione dei rischi per le informazioni, di sicurezza delle informazioni e di risposta alle emergenze e che sono conformi a MaRisk e a BAIT e BaFin associati. I fornitori di servizi cloud e IT in genere includono queste valutazioni nei contratti con i clienti. I fornitori di servizi cloud dovrebbero valutare approcci Zero Trust per rigorosi controlli degli accessi in un'architettura di servizi distribuiti.

MaRisk e BAIT

Gli istituti finanziari devono aderire a una serie completa di regolamenti sulla gestione del rischio in MaRisk, BAIT e altre iniziative BaFin: Basandosi su questi quadri, BaFin agisce controllare e gestire i rischi nel settore finanziario.

MaRisk è un regolamento gemello di BAIT, i requisiti di vigilanza per l'IT negli istituti finanziari (Bankaufsichtliche Anforderungen an die IT), con BAIT che si basa sui componenti di MaRisk. BAIT delinea le risorse tecniche e organizzative adeguate per i sistemi IT, in particolare la sicurezza delle informazioni e i piani di emergenza nel settore finanziario. Nel 2021, BAIT è stato aggiornato insieme alla versione 6 di MaRisk.

La conformità BAIT integra i requisiti delle Linee guida EBA per la gestione dei rischi ICT e per la sicurezza (EBA/GL/2019/04), entrate in vigore nel 2020. Le linee guida EBA hanno risposto ai crescenti volumi, complessità e livelli di minacce informatiche contro gli intermediari finanziari. Inoltre, nelle Linea guida EBA aggiornate è stata presa in considerazione anche l'interconnessione del settore bancario.

Nell'aggiornamento di BAIT sono state incluse due nuove aree:

Sicurezza delle informazioni operative: requisiti per il monitoraggio e i controlli della sicurezza delle informazioni
Gestione della continuità dei servizi IT: requisiti minimi per la gestione della continuità operativa in linea con MaRisk AT 7.3

MaRisk 7.3 "Gestione della continuità operativa" comprende i guasti dei sistemi IT causati da attacchi informatici.

BaFin lavora per garantire l'interconnessione dei requisiti di EBA, BAIT e MaRisk. Ad esempio, le estensioni dell'ultima versione di MaRisk comprendono la guida all'outsourcing; pertanto, la gestione dei rischi ICT si estende ai fornitori della supply chain di fornitura finanziaria.

Quali soluzioni Akamai aiutano le organizzazioni a conformarsi a MaRisk?

La serie di regolamenti dell'autorità tedesca BaFin si sovrappone in molti settori, inclusa la protezione dei sistemi e dei dati IT. La gestione del rischio è un pilastro centrale di un sistema di cybersicurezza solido. Mantenere sicuri i sistemi finanziari è essenziale per un approccio basato sulla gestione dei rischi alle infrastrutture e ai dati finanziari. La suite di soluzioni antifrode, per i test di conformità alle normative e la sicurezza di Akamai fornisce gli strumenti per adempiere ai requisiti di MaRisk. La suite di pluripremiate soluzioni per la sicurezza di Akamai include:

Protezione delle applicazioni e delle API: consente di prevenire gli attacchi DDoS e salvaguardare le risorse.
Akamai Account Protector: consente di identificare e bloccare in modo proattivo attività umane fraudolente e il controllo degli account utilizzando l'apprendimento automatico avanzato, l'analisi comportamentale e l'euristica della reputazione.
Accesso e autorizzazione: l'architettura Zero Trust fornisce una semplificazione della conformità.

Domande frequenti (FAQ)

MaRisk, o requisiti minimi per la gestione del rischio, è un mandato emesso dall'Autorità federale tedesca di vigilanza finanziaria (BaFin) che fornisce un quadro per la gestione di tutti i rischi significativi riscontrati dagli istituti finanziari in Germania.

Tutte le banche e gli istituti finanziari tedeschi, compresi gli istituti di credito, sono tenuti a conformarsi a MaRisk. Indirettamente, MaRisk ha un impatto anche sui fornitori di servizi cloud e altri fornitori IT

I componenti principali di MaRisk includono strategia di rischio, identificazione del rischio, misurazione e valutazione del rischio, limitazione e monitoraggio del rischio, segnalazione del rischio, sistema di controllo interno e verifica interna.

Perché i clienti scelgono Akamai

Akamai è l'azienda di cybersecurity e cloud computing che abilita e protegge il business online. Le nostre soluzioni di sicurezza leader del settore, la nostra innovativa intelligence sulle minacce e il nostro team operativo su scala globale forniscono una difesa approfondita in grado di proteggere i dati e le applicazioni aziendali ovunque. Le soluzioni complete di cloud computing offerte da Akamai assicurano performance elevate e notevoli risparmi, grazie alla piattaforma più distribuita al mondo. Le maggiori aziende internazionali si affidano ad Akamai per ottenere la protezione, la scalabilità e le competenze leader del settore di cui hanno bisogno per far crescere la loro attività senza rischi.

Prodotti correlati

Akamai Guardicore Segmentation

Visualizzazione, protezione e segmentazione di ambienti on-premise, cloud e ibridi.

Ulteriori informazioni

La sicurezza Zero Trust

Copertura completa della sicurezza informatica unita a visibilità completa e controllo granulare

Ulteriori informazioni

Risorse aggiuntive

Semplificazione della conformità con il modello Zero Trust

Scoprite come un'architettura di sicurezza Zero Trust semplifica la conformità a un'ampia gamma di requisiti di conformità.

Guarda il video

Descrizione del Digital Operational Resilience Act

Digital Operational Resilience Act - Preparare le istituzioni finanziarie alla conformità al DORA con Akamai

Scoprite come Akamai può aiutare le istituzioni finanziarie a gestire in modo efficace i problemi di conformità.

Ulteriori informazioni

Accelerazione della conformità PCI e convalida continua con Akamai Guardicore Segmentation

Akamai Guardicore Segmentation soddisfa diversi requisiti PCI DSS con un unico strumento, fornendo visibilità ai revisori e aiutando i team di risposta agli incidenti a rilevare eventuali violazioni.

Ulteriori informazioni

Semplificazione della conformità NERC CIP con Akamai Guardicore Segmentation

Un piano per la creazione di un'architettura Zero Trust

La soluzione Akamai Guardicore Segmentation può aiutare le organizzazioni già conformi allo standard NERC CIP, semplificando e migliorando il loro approccio alla conformità.

Ulteriori informazioni