O que é MaRisk?

O gerenciamento de riscos é um aspecto crítico da mitigação de crimes financeiros e da proteção de dados. A BaFin é o órgão de supervisão global do setor financeiro alemão, com foco em gerenciamento de riscos, continuidade dos negócios, terceirização da redução de riscos, cooperação com órgãos reguladores, gerenciamento de dados, segurança de dados e confidencialidade. MaRisk (Mindestanforderungen an das Risikomanagement, ou Requisitos mínimos para gerenciamento de riscos) é uma iniciativa da BaFin que define os requisitos mínimos para conformidade de gerenciamento de riscos.

O MaRisk baseia-se na Seção 25a (1) da Lei bancária alemã (Kreditwesengesetz, KWG), que abrange "Deveres organizacionais específicos; autoridade para emitir ordens". A seção 25a está relacionada com o artigo 88 da Diretiva 2013/36/UE, que descreve as estruturas de governança interna esperadas em entidades abrangidas no setor de serviços financeiros.

O MaRisk é um documento regulatório que forma uma estrutura para a implementação de negócios financeiros na Alemanha. O objetivo é reduzir o risco das atividades do setor financeiro na Alemanha e, consequentemente, em todo o mundo, à medida que as instituições financeiras alemãs trabalham internacionalmente. 

O MaRisk está preocupado em orientar o funcionamento seguro e a integridade do sistema financeiro na Alemanha. Trata-se de um regulamento administrativo e atua como um "Processo de avaliação e revisão supervisora (SREP)" para os bancos que se enquadram no segundo pilar do Acordo de Basileia III.

O MaRisk é uma estrutura abrangente que abrange áreas de risco financeiro em gerenciamento de risco interno e riscos de terceirização. As entidades abrangidas ficam sob a supervisão da BaFin e incluem bancos, companhias de seguros e títulos.

O MaRisk oferece uma estrutura abrangente para reduzir o risco das atividades de uma organização financeira. Isso inclui proteger seu ambiente contra malware, phishing e acesso não autorizado. As soluções de segurança da Akamai oferecem inteligência e proteção completa para proteger os dados financeiros contra violações e exposição acidental, minimizando os riscos seguindo os controles de cibersegurança do MaRisk. A plataforma de segurança da Akamai oferece a segurança dinâmica necessária para aplicar os princípios do Zero Trust à proteção de dados em toda a cadeia de fornecimento expandida. A Akamai ajuda suas equipes de segurança a maximizar a eficácia e o ROI de seus investimentos em segurança, indo além da detecção de endpoint tradicional para fornecer uma solução Zero Trust eficiente para a segurança e a privacidade dos dados. 

A Akamai oferece:

• Uma plataforma global que impõe uma segurança Zero Trust com cobertura abrangente de seu ambiente de TI
• Visibilidade profunda de ativos, acesso e fluxos de rede
• Aplicação granular de política de segurança

O MaRisk foi publicado pela primeira vez em dezembro de 2005. Isso ocorreu devido à estrutura do Acordo de Basileia II do Comitê de Supervisão Bancária do Acordo de Basileia II. Os princípios do Acordo de Basileia II, e agora do Acordo de Basileia III, estão refletidos na seção 25a (1) da Lei bancária alemã (Kreditwesengesetz - KWG) e do MaRisk.

O MaRisk foi uma iniciativa da BaFin para consolidar estruturas de gerenciamento de risco anteriores em uma estrutura de gerenciamento de risco abrangente. Além disso, a BaFin projetou o MaRisk para modernizar essas estruturas mais específicas, incorporando as disposições do Acordo de Basileia II e da Diretiva Bancária.

Desde 2005, houve várias alterações e novos requisitos, incluindo estes três últimos:

• Os requisitos técnicos para agregação e atualizações de dados de risco se concentram na terceirização de riscos com um novo requisito de sistema de gerenciamento de terceirização central. (Emenda MaRisk de 2017) 
• Alinhamento do risco do MaRisk com as Diretrizes da EBA que incluiu alguns riscos de cibersegurança da ICT. (Emenda MaRisk de 2021)

Integração dos requisitos de gerenciamento de riscos do ESG à estrutura de gerenciamento de riscos geral. A inclusão de bancos e instituições financeiras de pequeno e médio porte sob a exigência de controle de crédito e empréstimos do MaRisk Diretrizes da EBA (Emenda MaRisk de 2022: versão atual e sétima versão do MaRisk)

Os ataques à cadeia de fornecimento e os riscos de dados são um elemento central da inclusão do gerenciamento de risco de terceirização rigoroso pelo MaRisk. O artigo Marisk AT 9 – Terceirização (requisitos mínimos para o gerenciamento de riscos) oferece orientação às instituições financeiras sobre o cumprimento dos requisitos regulamentares de terceirização da seção 25b da Lei bancária alemã (Kreditwesengesetz). A Lei bancária alemã especifica que as instituições financeiras tomem "medidas de precaução razoáveis" para evitar riscos ao terceirizar projetos e tarefas.

O risco no setor financeiro é sempre alto: A evidência de preocupações relacionadas ao risco vem da pesquisa do Bank of England, que identificou os ataques cibernéticos como os mais relacionados ao risco citado para o sistema financeiro do Reino Unido (79% dos entrevistados). O MaRisk tenta corrigir isso fornecendo uma estrutura para ajudar o setor bancário e as empresas associadas a reduzir os riscos de suas atividades.

Os bancos e o MaRisk

Os bancos alemães sofreram violações de dados significativas nos últimos anos, como, por exemplo, em 2022 o ataque cibernético no Deutsche Bank, que resultou em 60 GB de dados de clientes roubados. Os bancos e outras entidades do setor financeiro estão sob o guarda-chuva regulatório da Lei bancária alemã, BaFin e MaRisk. No âmbito do MaRisk, o documento "requisitos de supervisão para TI nas instituições financeiras" estabelece as medidas necessárias para satisfazer os requisitos de segurança de TI para os bancos. Além disso, o MaRisk exige que os bancos alemães protejam seus fluxos de dados, e uma das mais recentes alterações ao regulamento incluiu a adição de segurança à "negociação doméstica" que exige um padrão mínimo de segurança de TI para garantir a confidencialidade dos dados. Os princípios de Zero Trust de menor privilégio impõem controles de acesso de todos os locais, incluindo escritórios domésticos.

Fornecedores de serviços em nuvem para bancos

"A cadeia de fornecimento de provedores de serviços em nuvem para o setor bancário na Alemanha está sob a regulamentação do MaRisk. Os provedores de serviços em nuvem devem seguir os requisitos de supervisão de TI para ajudar a garantir que um cliente (banco ou outra instituição financeira) implemente o controle de risco para cumprir as exigências. Uma avaliação de riscos deve demonstrar que o gerenciamento de riscos de informações, a segurança das informações e as medidas de resposta a emergências estão em vigor e em conformidade com o MaRisk e o BAIT e a BaFin associados. Os provedores de serviços em nuvem e TI normalmente incluem essas avaliações nos contratos dos clientes. Os provedores de serviços em nuvem devem explorar as abordagens Zero Trust para controles de acesso robustos em uma arquitetura de serviço distribuído.

As instituições financeiras devem aderir a um conjunto abrangente de normas de gerenciamento de risco no MaRisk, no BAIT e em outras iniciativas da BaFin: Usando-as como estruturas, a BaFin atua para controlar e gerenciar riscos no setor financeiro.

O MaRisk é um regulamento irmão do BAIT, os Requisitos de Supervisão para TI em Instituições Financeiras (Bankaufsichtliche Anforderungen an die IT), sendo que o BAIT se baseia nos componentes do MaRisk. O BAIT descreve os recursos técnicos e organizacionais apropriados para sistemas de TI, particularmente segurança da informação e planos de contingência no setor financeiro. Em 2021, o BAIT foi atualizado juntamente com a versão do MaRisk 6. 

A conformidade com o BAIT incorpora requisitos das Diretrizes da EBA para o gerenciamento de riscos de segurança e ICT (EBA/GL/2019/04), que entrou em vigor em 2020. As diretrizes da EBA responderam aos crescentes volumes, complexidade e níveis de ameaças virtuais contra as instituições financeiras. Além disso, a interconexão do setor bancário também foi considerada nas diretrizes atualizadas da EBA.

Duas novas áreas foram incluídas na atualização para o BAIT:

• Segurança das informações operacionais: requisitos para monitoramento e controles de segurança das informações
• Gerenciamento de continuidade de serviços de TI: requisitos mínimos para gerenciamento de continuidade de negócios em conformidade com o Artigo MaRisk AT 7.3

O "Gerenciamento de continuidade de negócios" do Artigo MaRisk 7.3 inclui falhas de sistemas de TI causadas por ataques virtuais.

A BaFin trabalha para garantir a interconexão dos requisitos de EBA, BAIT e MaRisk. Por exemplo, as extensões mais recentes da versão do MaRisk abrangem a orientação de terceirização; portanto, o gerenciamento de riscos de ICT se estende aos fornecedores da cadeia de fornecimento financeiro.

O conjunto de normas da autoridade alemã BaFin sobrepõe-se em muitas áreas, incluindo a proteção de sistemas e dados de TI. O gerenciamento de riscos é um pilar central da cibersegurança robusta. A manutenção de sistemas financeiros seguros é essencial para uma abordagem gerenciada por risco para infraestruturas e dados financeiros. O conjunto de soluções de segurança, testes regulatórios e antifraude da Akamai fornece as ferramentas para atender à conformidade com o MaRisk. O conjunto de soluções de segurança premiadas da Akamai inclui o seguinte:

• Proteção de aplicações e APIs: Prevenir DDoS e proteger ativos.
• o Akamai Account Protector: Identifique e bloqueie proativamente atividades humanas fraudulentas e invasões de contas com base em machine learning avançado, análise comportamental e heurística de reputação. 
• Acesso e autorização: A arquitetura Zero Trust simplifica a conformidade.