Neuerungen im PSD2-Umfeld – Sicherheitsrelevante PSD2 Mandate

Flaggen der Europäischen Union vor dem Berlaymont-Gebäude in Brüssel


In unserem Newsletter vom März 2017 hatten wir bereits darüber berichtet, dass die Europäische Bankenaufsichtsbehörde EBA ihren finalen Entwurf der technischen Regulierungsstandards (Regulatory Technical Standards, RTS) zur starken Kundenauthentifizierung und sicheren Kommunikation der Europäischen Kommission zur Annahme übersandt hat. Zwischenzeitlich hat die Kommission der EBA ihre Anmerkungen zu dem Entwurf zugesandt, zu denen die EBA wiederum Stellung genommen hat. Nunmehr hat die Kommission Ende November nach einer weiteren Überarbeitung der RTS diese an das Europäische Parlament und den Rat gesandt. Parlament und Rat haben jetzt drei Monate Zeit, ihr Votum zu den RTS abzugeben, d.h. sie können den RTS zustimmen oder sie ablehnen, eine Änderung ist nicht mehr möglich. Bei Bedarf können sie die Dreimonatsfrist auch noch um weitere drei Monate verlängern. Bei einer Zustimmung treten die RTS 20 Tage nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Die von der EU-Kommission übersandte, angepasste Version der RTS sieht gegenüber dem ursprünglichen Vorschlag der EBA sowohl Änderungen bei der starken Authentifizierung als auch der sicheren Kommunikation vor. So hat die Kommission für sichere Unternehmenszahlungen einen neuen Ausnahmetatbestand von der starken Authentifizierung eingeführt, sofern diese über dedizierte Zahlungsprozesse oder Protokolle initiiert werden, die zumindest dem mit der PSD2 geforderten Sicherheitsniveau entsprechen.

Eine weitere – die vielleicht weitreichendste – Änderung in den RTS ist die Forderung der Kommission nach Einrichtung einer Rückfalllösung durch die kontoführenden Institute. Diese sollen, sofern sie sich für die Implementierung einer dedizierten Schnittstelle (Application Programming Interface, API) als Zugang für Kontoinformations- und Zahlungsauslösedienste entscheiden, dafür Sorge tragen, dass diese Anbieter im Fall einer unzureichenden Performanz oder eines ungeplanten Ausfalls der API, über die entsprechend angepasste Kundenschnittstelle auf das jeweilige Kundenkonto zugreifen können. Wichtig hierbei ist, dass der Zugriff nur nach Identifizierung des Drittanbieters erfolgen darf. Um Kontoführer, die sich für die Implementierung einer API entscheiden, nicht übermäßig zu belasten, können diese durch ihre nationale Aufsichtsbehörde von der Einrichtung einer Rückfalllösung freigestellt werden, sofern die API erfolgreich getestet wurde und die gleiche Performanz aufweist wie die Kundenschnittstelle. Hierbei ist allerdings zu beachten, dass die Freistellung auch wieder zurückgezogen werden kann, wenn die API zwei Wochen in Folge den Anforderungen der RTS nicht genügt. In diesem Fall hat das kontoführende Institut die Rückfalllösung spätestens innerhalb von zwei Monaten zu implementieren.

Ein weiteres für die Sicherheit von Zahlungsdienstleistungen wichtiges EBA-Mandat der PSD2 sind die an alle Zahlungsdienstleister gerichteten Leitlinien der EBA zu Sicherheitsmaßnahmen bezüglich operationeller und sicherheitsrelevanter Risiken. Nach der öffentlichen Konsultation von Mai bis August diesen Jahres, auf die die EBA 43 Antworten von allen Seiten des Marktes erhielt, wurde der Entwurf der Leitlinien noch einmal überarbeitet und am 11. Dezember verabschiedet und sie treten am 13. Januar 2018 in Kraft. Anders als die RTS, die die Anbieter von Zahlungsdiensten direkt binden, richten sich die Leitlinien der EBA zwar auch an die Zahlungsdienstleister, greifen für diese aber erst dann, wenn sie durch die nationalen Aufsichtsbehörden in ihre jeweilige Aufsichtspraxis umgesetzt wurden. Hierfür unterhält die EBA einen so genannten comply or explain Prozess, im Rahmen dessen die Umsetzung durch die nationalen Behörden transparent gemacht wird. In Deutschland plant die BaFin – entsprechend dem Vorgehen bei den EBA Leitlinien zum sicheren Bezahlen im Internet, die mit den Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) umgesetzt wurden – erneut ein Rundschreiben an die Kreditinstitute zu erlassen.

Die Leitlinien enthalten Anforderungen an die Anbieter von Zahlungsdiensten, deren Einhaltung zur Abwehr von operationellen und sicherheitsrelevanten Risiken im Zusammenhang mit den erbrachten Dienstleistungen beitragen soll. Es geht dabei also nicht um Gegenmaßnahmen für ein umfassendes operationelles Risiko des gesamten Geschäftsbetriebs, wie es an anderer Stelle geregelt wird. Für die Leitlinien gilt das in der Bankenaufsicht übliche Proportionalitätsprinzip, wonach jeder Anbieter alle Leitlinien umzusetzen hat, die Art und Weise aber, wie die Anforderungen erfüllt werden, vom Risikoprofil des jeweiligen Anbieters abhängt. Aufgrund der sehr unterschiedlichen Strukturen bei den einzelnen Anbietern von Zahlungsdiensten wurde dieses Prinzip konkretisiert und als eigene Leitlinie formuliert.

Inhaltlich sind die Leitlinien eng an die MaSI angelehnt. Sie haben allerdings einen weiteren Anwendungskreis, da sie anders als die MaSI für alle PSD2-relevante Zahlungsdienste aller der PSD2 unterliegenden Anbieter gelten. Ein wichtiger Aspekt der Leitlinien regelt das vom Zahlungsdienstleister zu erstellende Rahmenwerk für das Management operationeller und sicherheitsrelevanter Risiken, das – unter der Einbeziehung von Outsourcing – die Identifizierung sowie die Überwachung und Steuerung aller für die erbrachten Zahlungsdienste relevanten Risiken umfasst. Dabei ist das aus der IT-Sicherheit bereits bekannte Prinzip der "Three lines of defence" oder ein vergleichbares Modell zur Risikosteuerung zu berücksichtigen. Die darauf aufbauenden Schutzmaßnahmen sollen neben der Integrität und Vertraulichkeit von Daten und Systemen auch physische Sicherheitsmaßnahmen und Zugangskontrollen umfassen. Hinsichtlich der Business Continuity soll die entsprechende Planung auch unwahrscheinliche aber plausible Szenarien berücksichtigen. Regelmäßige Tests sollen die Funktion der entsprechenden Anwendung auch im Notfall sicherstellen. Einen weiteren Schwerpunkt der Leitlinien bildet die Forderung nach einem Rahmenwerk zum Test der Sicherheitsmaßnahmen: Schwachstellen- und Penetrationstests, die für kritische Systeme mindestens jährlich erfolgen, sollen der Einführung robuster und effektiver Sicherheitsmaßnahmen dienen. Schließlich sollen Anbieter von Zahlungsdiensten auch jederzeit angemessen auf eine geänderte Risikosituation reagieren können. Hierzu werden entsprechende Situationsanalysen und ein regelmäßiges Training des Personals gefordert. Ebenso sollen sie das Risikobewusstsein ihrer Kunden schärfen und diese über mögliche Gegenmaßnahmen informieren.