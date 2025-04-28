Il rischio nel settore finanziario è sempre molto elevato: L'evidenza delle preoccupazioni relative al rischio proviene dal sondaggio della Banca d'Inghilterra, che ha identificato gli attacchi informatici come il rischio più preoccupante per il sistema finanziario del Regno Unito (79% degli intervistati). MaRisk tenta di porre rimedio a questo problema fornendo un quadro per aiutare il settore bancario e le società associate a ridurre i rischi delle proprie attività.

Banche e MaRisk

Le banche tedesche hanno subito significative violazioni dei dati negli ultimi anni, un esempio è l'attacco informatico del 2022 contro Deutsche Bank,, che ha provocato il furto di 60 GB di dati dei clienti. Le banche e altri enti del settore finanziario rientrano nell'ambito normativo della legge bancaria tedesca, della BaFin e di MaRisk. Nell'ambito di MaRisk, il documento "Requisiti di vigilanza per l'IT negli istituti finanziari" definisce le misure necessarie per soddisfare i requisiti di cybersicurezza per le banche. Inoltre, MaRisk richiede alle banche tedesche di proteggere i propri flussi di dati, e una delle ultime modifiche al regolamento ha incluso l'aumento della sicurezza per il "commercio interno" che richiede uno standard minimo di sicurezza IT per garantire la riservatezza dei dati. I principi Zero Trust del privilegio minimo impongono controlli degli accessi da tutte le sedi, compresi gli home office.

Fornitori di servizi cloud alle banche

La supply chain dei fornitori di servizi cloud al settore bancario in Germania rientra nella regolamentazione MaRisk. I fornitori di servizi cloud devono seguire i requisiti di vigilanza per l'IT per garantire che un cliente (banca o altro istituto finanziario) implementi il controllo del rischio per conformarsi. Una valutazione del rischio dovrebbe dimostrare che vengono attuate misure di gestione dei rischi per le informazioni, di sicurezza delle informazioni e di risposta alle emergenze e che sono conformi a MaRisk e a BAIT e BaFin associati. I fornitori di servizi cloud e IT in genere includono queste valutazioni nei contratti con i clienti. I fornitori di servizi cloud dovrebbero valutare approcci Zero Trust per rigorosi controlli degli accessi in un'architettura di servizi distribuiti.