SAMA CSF Compliance Framework: Vollständiger Leitfaden

Die Einhaltung der SAMA-Vorgaben in Saudi-Arabien markiert einen Wendepunkt in der Cybersicherheit und schützt den florierenden Finanzsektor vor komplexen Cyberbedrohungen. Im Zuge der digitalen Transformation Saudi-Arabiens im Rahmen der Vision 2030 hat die Saudi-Arabische Währungsbehörde (SAMA) den SAMA-Compliance-Rahmen eingeführt – ein umfassendes Regelwerk, das robuste Cybersicherheit für alle lizenzierten Finanzinstitute vorschreibt.

Was ist SAMA-Compliance? Im Kern handelt es sich um Saudi-Arabiens strategische Maßnahme zur Stärkung der Cybersicherheit von Banken, Versicherungen, Finanzinstituten und Finanzmarktinfrastrukturen. Das Rahmenwerk umfasst vier Schlüsselbereiche: Governance und Aufsicht, Cybersicherheitskontrollen (einschließlich Identitäts- und Zugriffsmanagement), Drittparteienrisikomanagement und Reaktion auf Sicherheitsvorfälle. Es ist seit 2020 in Kraft und wird regelmäßig aktualisiert. Organisationen müssen bestimmte Reifegrade erreichen, die durch jährliche Audits überprüft werden.

Dieser Leitfaden erläutert die SAMA-Compliance in Saudi-Arabien – von den Grundlagen bis hin zu einem praktischen Fahrplan. Egal, ob Sie eine Checkliste zur SAMA-Compliance erstellen oder Beratung benötigen: Die Lösungen von miniOrange für Identitätsmanagement und privilegierte Identitäten sind nahtlos integriert und beschleunigen Ihre Compliance-Prozesse.

SAMA-Compliance-Rahmen verstehen

Das SAMA-Compliance-Framework bildet das Fundament der SAMA-Konformität in Saudi-Arabien und bietet einen strukturierten Leitfaden für Cybersicherheitsresilienz. Es orientiert sich an globalen Standards wie NIST CSF, ISO 27001, den Richtlinien des Basler Ausschusses und PCI DSS und gewährleistet so, dass Finanzinstitute im Königreich in kritischen Bereichen ein hohes Maß an Reife aufweisen. Die SAMA-Konformität im Bereich Cybersicherheit betont proaktive Abwehrmaßnahmen und ist daher unerlässlich für den Schutz sensibler Kundendaten und Geschäftsprozesse.

Was ist SAMA-Compliance?

Die Einhaltung der SAMA-Vorgaben im Bereich Cybersicherheit bietet einen einheitlichen Ansatz für das Cyberrisikomanagement und fördert optimale Sicherheitskontrollen bei gleichzeitigem Schutz des gesamten Finanzsystems. Im Gegensatz zu generischen Standards ist dieser Ansatz auf die regulatorischen Gegebenheiten Saudi-Arabiens zugeschnitten und integriert, wo anwendbar, Scharia-Prinzipien. Das Rahmenwerk definiert 20 Kontrollziele in verschiedenen Bereichen, die auf einer Reifegradskala von 1 bis 5 bewertet werden. Für die meisten Banken ist mindestens Stufe 3 erforderlich.

Wer muss die SAMA-Compliance-Vorschriften einhalten?

Die Einhaltung der SAMA-Vorschriften in Saudi-Arabien schreibt die Befolgung dieser Vorschriften für die folgenden SAMA-lizenzierten Unternehmen vor:

• Banken und Bankinstitute (vollständiger Rahmen erforderlich)
• Versicherungs- und Rückversicherungsunternehmen (risikobasierte Umsetzung)
• Finanzierungsgesellschaften und Geldwechsler (Schwerpunkt Cybersicherheit/Drittanbieter)
• Infrastrukturen der Finanzmärkte (z. B. Börsen, Clearingstellen)
• Fintech-Unternehmen und Digitalbanken (Nachweis der Lizenzierung erforderlich)
• Ausländische Niederlassungen/Tochtergesellschaften (vorbehaltlich Vor-Ort-Inspektionen)

SAMA-Kernprinzipien für die Einhaltung der Vorschriften und interne Kontrollen

Die SAMA-Compliance-Grundsätze und das interne Kontrollsystem steuern die Umsetzung durch diese Säulen:

• Vom Vorstand gebilligte Cybersicherheits-Governance (Strategiegenehmigung, KPIs)
• Risikomanagement integriert in Unternehmensprozesse (jährliche Bedrohungsmodellierung)
• Betriebliche Kontrollen für Informationsbestände (IAMPAM, Verschlüsselung, Schwachstellenmanagement)
• Sicherheit durch Dritte (Anbieterbewertungen, SLAs, Recht auf Audits)

Folgen der Nichteinhaltung

Die Nichteinhaltung der Vorschriften zieht gemäß den SAMA-Richtlinien eskalierende Strafen nach sich. Die Geldbußen können bis zu 5 Millionen SAR pro Verstoß betragen (z. B. mehr als 100 SAR für …). IAM Neben Sicherheitslücken drohen auch operative Einschränkungen wie die Aussetzung von Dienstleistungen. Schwere Fälle führen zum Lizenzentzug, zur Veröffentlichung von Informationen und zur Haftung der Führungskräfte gemäß den saudischen Cybersicherheitsgesetzen. Im Jahr 2025 verhängte die SAMA Strafen in Höhe von über 20 Millionen SAR für mehr als 50 Verstöße.

Die vier Domänen des SAMA-Compliance-Rahmenwerks

Das SAMA-Compliance-Framework strukturiert die Cybersicherheitsanforderungen in vier miteinander verbundene Bereiche, die gemeinsam das Finanzökosystem Saudi-Arabiens stärken. Jeder Bereich adressiert spezifische Risikobereiche und stellt gleichzeitig sicher, dass Unternehmen reifeoptimierte Sicherheitskontrollen erreichen, die mit den SAMA-Compliance-Prinzipien und internen Kontrollstandards übereinstimmen. Hier die detaillierte Aufschlüsselung:

Führung und Governance im Bereich Cybersicherheit

Die Rechenschaftspflicht des Vorstands ist unabdingbar. Dieser grundlegende Bereich erfordert das Engagement der Führungsebene durch eine vom Vorstand gebilligte Cybersicherheits-Governance-Struktur, die die Verantwortung im gesamten Unternehmen verteilt. Unternehmen müssen Folgendes festlegen:

• Dokumentierte Cybersicherheitsstrategie, die mit den Geschäftszielen der Vision 2030 übereinstimmt
• Die unternehmensweite Cybersicherheitsrichtlinie wurde allen Mitarbeitern mitgeteilt.
• Klare Rollen- und Verantwortlichkeitsmatrix gemäß den internen Prüfungsgrundsätzen der SAMA.
• Cybersicherheits-Governance in Projektmanagement-Frameworks integriert

Das Ergebnis: Ein bedeutender Wandel von isolierter IT-Sicherheit hin zu unternehmensweiter Risikoverantwortung. Die Vorstände sind der SAMA direkt für ihren Reifegrad im Bereich Cybersicherheit verantwortlich, wodurch sichergestellt wird, dass die Compliance-Prinzipien der SAMA die Unternehmenskultur prägen.

Cybersicherheitsrisikomanagement und Compliance

Von reaktiver Brandbekämpfung zu proaktivem Risikomanagement. Dieser Bereich erfordert unternehmensweite, risikoorientierte Cybersicherheitsprozesse, die Bedrohungen systematisch identifizieren, bewerten, priorisieren und abwehren. Zu den wichtigsten Anforderungen gehören:

• Cybersicherheitsrisikomanagementprozess integriert in unternehmensweite Risikomanagement-Frameworks
• Überwachung der Einhaltung regulatorischer Vorgaben für PCI-DSS, EMV-Standards und SWIFT CSCF
• Kontinuierliche Risikoüberwachung mit dokumentierten Risikoregistern
• Einhaltung internationaler Standards (NIST, ISO 27001, Basler Komitee)

Geschäftliche Auswirkungen: Cybersicherheit wird vom Kostenfaktor zum strategischen Vorteil. Die Einhaltung der SAMA-Gesetze und -Vorschriften wird zu einer automatisierten, auditbereiten Routine anstatt eines jährlichen Wettlaufs. Risikomanager erhalten Einblick in die Bedrohungen, die die Finanzstabilität gefährden.

Cybersicherheitsoperationen und -technologie

Wo technische Kontrollen auf die Geschäftsrealität treffen. Domain 3 bietet über 17 operative Kontrollen zum Schutz von Informationswerten über den gesamten Technologie-Stack hinweg:

Realitätscheck: Banken verlangen 100%ige Konformität mit Domäne 3. Fintechs priorisieren 1.3.5. IAM Mit Abschnitt 1.3.12 Zahlungen. Die Einhaltung der SAMA-Vorgaben im Bereich Cybersicherheit erfordert praxisnahe Kontrollen, keine theoretischen Richtlinien. Dieser Bereich bildet die technische Grundlage, die den SAMA-Prüfern die organisatorische Reife belegt.

Cybersicherheit von Drittanbietern

Ihr schwächster Lieferant ist Ihr größtes Risiko. Domäne 4 erweitert die Grenzen der SAMA-Compliance über die Unternehmensgrenzen hinaus und schreibt Folgendes vor:

• Cybersicherheitsklauseln in Lieferantenverträgen mit Prüfrechten
• Risikobewertungen von Drittanbietern vor der Beauftragung
• Outsourcing-Richtlinie mit Sicherheitsausstiegskriterien
• IAM Durchsetzung des Partnerzugriffs (Control 1.3.5-Erweiterung)

Die Herausforderung: Über 70 % der Finanzbetrugsfälle in Saudi-Arabien lassen sich auf Kompromittierung durch Dritte zurückführen. Die Einhaltung der SAMA-Vorschriften in Saudi-Arabien macht Sie für Sicherheitslücken Ihrer Lieferanten verantwortlich. Unternehmen müssen gleichwertige Sicherheitsmaßnahmen nachweisen, die sich auf alle externen Geschäftsbeziehungen erstrecken.

Kritische SAMA-Compliance-Kontrollen

Während die vier Domänen den strategischen Rahmen bilden, hängt die SAMA-Konformitätszertifizierung in Saudi-Arabien vollständig von der Implementierung und Dokumentation spezifischer technischer Kontrollen ab, die von den SAMA-Prüfern im Rahmen der obligatorischen jährlichen Selbstbewertungen überprüft werden.

Referenztabelle der prioritären SAMA-Compliance-Kontrollen

Häufige Herausforderungen bei der Erreichung der SAMA-Konformität

Akzeptanz der Unternehmensführung und Verantwortlichkeit der Führungskräfte

Die Vorstände behandeln Cybersicherheit als IT-Problem und nicht als unternehmensweites Risiko. Nur 42 % der saudischen Banken haben die von der SAMA geforderten, vom Vorstand gebilligten Governance-Strukturen implementiert. Budgets bleiben in den IT-Abteilungen gebunden, CISOs erhalten keine regelmäßigen Berichte an die Geschäftsleitung, und die Projektsteuerung ignoriert Sicherheitsanforderungen. Die SAMA lehnt Selbstbewertungen ab, die Kontrollpunkt 1.1.1 nicht erfüllen. Dies stellt ein erhebliches Hindernis für alle Organisationen dar. Fehlende Governance garantiert keine automatische Ablehnung durch die SAMA.

Technische Schulden und Altsysteme

65 % der Banken betreiben nicht mehr unterstützte Großrechner, die moderne Technologien blockieren. IAM Die Implementierung von Control 1.3.5 ist problematisch. Kundenspezifische Zahlungsgateways unterstützen die in Control 1.3.12 geforderte Tokenisierung nicht. Gemischte Betriebssystemumgebungen erfüllen die in Control 1.3.8 vorgeschriebenen Härtungsstandards nicht. Die Behebung dieser Probleme verzögert sich um 6 bis 18 Monate. Dies führt zu betrieblichen Einschränkungen während der Modernisierung unter Aufsicht der SAMA. Die Zertifizierungsfristen werden letztendlich von den bestehenden Systemen bestimmt.

Komplexität des Drittparteienrisikomanagements

Banken arbeiten im Durchschnitt mit über 200 Anbietern zusammen, doch 87 % von ihnen verfügen nicht über standardisierte Sicherheitsklauseln in ihren Verträgen. Organisationen versäumen es, Sicherheitsfragebögen von Anbietern einzusetzen. Offshore-Entwickler agieren außerhalb der Zuständigkeit der SAMA. SaaS-Plattformen bieten keine Prüfrechte. 70 % der Sicherheitsvorfälle gehen auf das Konto von Drittanbietern. Die SAMA zieht die verantwortlichen Institutionen dennoch uneingeschränkt zur Rechenschaft. Anbieterfehler führen direkt zu einem Scheitern Ihrer Prüfung.

Ressourcen- und Fachkräftemangel

Saudi-Arabien leidet unter einer 47%igen Lücke an Cybersicherheitsfachkräften, die die Umsetzung von Compliance-Vorgaben erheblich beeinträchtigt. Die Compliance-Teams bestehen aus 2-3 Vollzeitkräften, die 47 Kontrollen gleichzeitig verwalten. Banken fehlt es an spezialisierten Fachkräften. IAM Ingenieure, SIEM-Experten und Spezialisten für Drittanbieterrisiken. SAMA lehnt 60 % der Selbsteinschätzungen wegen Unvollständigkeit ab. Der Wettbewerb um Fachkräfte mit Aramco und NEOM verzögert die Einstellung, da auch die lokale Personalbeschaffung 6–9 Monate in Anspruch nimmt.

Lücken bei der Datenerhebung und -überwachung

Manuelle Zugriffsprüfungen beanspruchen vierteljährlich vier Wochen. Excel-basierte Anlageninventare sind ständig veraltet. Organisationen verfügen nicht über eine zentrale Protokollierung und somit nicht über die Event-Management-Funktionalität für Control 1.3.14. Der Reifegrad ist auf maximal Stufe 2 begrenzt. SAMA fordert kontinuierliche Messung anstelle einer einmaligen Implementierung. Manuelle Prozesse beschränken die Einhaltung der Vorschriften auf das Minimum.

Sich entwickelnde regulatorische Anforderungen

Die SAMA aktualisiert ihren Rahmen jährlich; für 2026 sind Überarbeitungen im Bereich Cloud und KI geplant. Statische Compliance-Richtlinien verlieren mitten in der Projektdurchführung ihre Gültigkeit. Organisationen fehlen Mechanismen zur Nachverfolgung von SAMA-Rundschreiben. Die Büros in Riad und Dschidda wenden unterschiedliche Auslegungen an. Diese sich ständig ändernden Vorgaben behindern die Umsetzung der Roadmap. Zusätzliche Kontrollen im laufenden Jahr erzwingen einen Neustart des Planungszyklus.

Wie miniOrange Maps die SAMA-Konformitätsanforderungen erfüllt

Saudi-arabische Finanzinstitute haben Jahr für Jahr mit denselben SAMA-Kontrollen zu kämpfen, insbesondere mit Kontrolle 3.3.5 Identitäts- und Zugriffsmanagement, die in über 60 % der Prüfberichte beanstandet wird. miniOrange bietet produktionsreife Lösungen, die speziell für die SAMA-Konformität entwickelt wurden. Identitäts- und Zugriffsmanagement (IAM) und Privilegierte Zugriffsverwaltung (PAM)Dieser Abschnitt beschreibt detailliert die genauen Kontrollzuordnungen mit der Generierung von für den Auditor geeigneten Nachweisen.

A. Lösungen für Identitäts- und Zugriffsmanagement

SAMA Control 3.3.5 schreibt vor, dass der Zugriff auf Informationsbestände auf Grundlage der geschäftlichen Anforderungen („Need-to-know“) beschränkt werden muss und nur autorisierte Benutzer über ausreichende Berechtigungen verfügen dürfen. miniOrange bietet umfassende IAM Ressourcen die diese Kontrolle und ihre Unteranforderungen direkt erfüllen.

Zentralisierte Identitätsplattform

miniOrange bietet eine zentrale Plattform für die Verwaltung von Identitäten und Zugriffsrechten über alle Unternehmensanwendungen, Infrastrukturkomponenten und Benutzergruppen hinweg – sowohl interne Mitarbeiter als auch externe Drittanbieter. Dadurch werden isolierte Zugriffsverwaltungssysteme vermieden, die zu Compliance-Lücken führen. Das zentrale Dashboard bietet SAMA-Prüfern sofortigen Einblick in die Zugriffsberechtigungen im gesamten Unternehmen und erfüllt somit die Anforderung an einheitliches Management (SAMA 3.3.5-1).

Rollenbasierte und attributbasierte Zugriffskontrolle

Die Plattform erzwingt beides Rollenbasierte Zugriffskontrolle (RBAC) und Attributbasierte Zugriffskontrolle (ABAC) Um Geschäftsrollen und Kontextattribute präzise Berechtigungen zuzuordnen, wird das Prinzip der minimalen Berechtigungen automatisch im gesamten Unternehmen durchgesetzt. So wird sichergestellt, dass Mitarbeiter nur auf die Systeme zugreifen können, die sie für ihre jeweiligen Aufgaben benötigen. Vierteljährliche Zugriffszertifizierungskampagnen generieren revisionssichere Berichte, die die fortlaufende Einhaltung der Need-to-know-Prinzipien der SAMA (SAMA 3.3.5-4a) belegen.

Automatisiertes Benutzer-Lebenszyklusmanagement

miniOrange integriert sich mit HR-Systemen, Active Directory und anderen maßgeblichen Datenquellen, um Prozesse zu automatisieren. BenutzerbereitstellungÄnderungen und die Aufhebung von Zugriffsrechten erfolgen automatisch gemäß vordefinierten Workflows, wenn Mitarbeitende dem Unternehmen beitreten, ihre Rolle wechseln oder es verlassen. Der Zugriff von externen Dienstleistern unterliegt denselben Lebenszykluskontrollen, um sicherzustellen, dass externe Nutzer niemals über die vertraglich vereinbarte Laufzeit hinaus Zugriff behalten (SAMA 3.3.5-4 b1–b3).

Multifaktor-Authentifizierung auf Unternehmensebene

Die Implementierung von MFA erweist sich als umfassend für alle sensiblen Systeme:

• Kernbankanwendungen: Hardware-Token, FIDO2 und Biometrie
• Zahlungsportale: SMS-OTP-Fallback mit adaptiver Authentifizierung
• Verwaltungskonsolen: Obligatorische Genehmigung von Push-Benachrichtigungen
• Fernzugriffskanäle: VPN, RDP, SSH und Citrix mit kontinuierlicher Reauthentifizierung

miniOrange unterstützt Mehr als 15 Authentifizierungsmethoden, um die von SAMA geforderte 100%ige MFA-Abdeckung für kritische und entfernte Systeme zu gewährleisten (SAMA 3.3.5-4e, 4f1a).

Föderiertes Single Sign-On

Die Unterstützung von SAML 2.0, OAuth 2.0, OpenID Connect und SCIM ermöglicht eine nahtlose Föderation von Cloud-, On-Premises- und Partneranwendungen. Die zentrale Richtliniendurchsetzung gewährleistet eine konsistente Authentifizierung und Autorisierung unabhängig vom Anwendungsstandort oder -inhaber und vereinfacht so die SAMA-Compliance in hybriden Umgebungen.

B. Lösungen für das Management privilegierter Zugriffe

SAMA schreibt ausdrücklich strenge Kontrollen für privilegierte und Remote-Konten vor und verlangt individuelle Verantwortlichkeit, regelmäßige Passwortrotation und Sitzungsüberwachung. Die PAM-Lösungen von miniOrange bieten umfassenden Schutz.

Automatisierte Erkennung privilegierter Konten

Die Plattform erkennt automatisch alle privilegierten Konten über die Ermittlung privilegierter Konten Funktionen wie lokale Administratoren, Domänenadministratoren, Dienstkonten, Datenbankbesitzer, Anmeldeinformationen für Netzwerkgeräte unter Windows, Linux, Unix, Datenbanken (Oracle, SQL Server, MySQL) und Cloud-Infrastruktur (AWS) IAM Rollen, Azure AD). Eine manuelle Bestandsaufnahme ist nicht erforderlich, wodurch die häufige Lücke bei der Überprüfung beseitigt wird, bei der Organisationen Dienstkonten übersehen (SAMA 3.3.5-4f1).

Sichere Aufbewahrung von Anmeldeinformationen

Mit der Enterprise-Passwort-Tresor-LösungAlle ermittelten privilegierten Zugangsdaten werden in einem verschlüsselten Tresor gespeichert. Administratoren kennen niemals die tatsächlichen Passwörter, wodurch die Risiken der Passwortweitergabe und Insiderbedrohungen ausgeschlossen werden. Check-in/Check-in-Workflows gewährleisten den Schutz der Zugangsdaten und ermöglichen gleichzeitig legitime administrative Aufgaben (SAMA 3.3.5-4f4a).

Automatisierte Passwortrotation

Ein nicht-personenbezogenes privilegiertes Konto automatisiert die PasswortrotationGemäß konfigurierbaren Richtlinien: Tägliche Rotation: Dienstkonten, Anwendungskonten. Rotation nach der Sitzung: Administratorkonten mit erhöhten Rechten. Vordefinierte Zeitpläne: Anmeldeinformationen für Datenbanken und Netzwerkgeräte.

Rotationsereignisse erzeugen unveränderliche Prüfprotokolle, die die Einhaltung der SAMA-Vorgaben belegen. Passwort-Management Anforderungen (SAMA 3.3.5-4f4c).

Umfassendes Sitzungsmanagement

Alle privilegierten Sitzungen werden über miniOrange geleitet mit:

• Tastatur-/Videoaufzeichnung zur forensischen Analyse
• Echtzeit-Sitzungsüberwachung mit Beendigungsfunktionen
• Vollständige Befehlsprotokollierung mit Kontextmetadaten
• RDP/SSH/VNC-Gateway, das den direkten Serverzugriff überflüssig macht

Die Sitzungsverwaltung Mit miniOrange PAM erhalten SAMA-Prüfer direkten Nachweis über privilegierte Aktivitäten, die Ausführenden der Aktionen und die Einhaltung der betrieblichen Richtlinien (SAMA 3.3.5-4f1–f3).

Privilegienerhöhung zum richtigen Zeitpunkt

Ständige Administratorrechte werden überflüssig. Just-in-Time-ZugriffBenutzer beantragen temporäre, erweiterte Zugriffsrechte für bestimmte Systeme mit definierter Dauer und festgelegtem Umfang. Genehmigungsworkflows, risikobasierte Multi-Faktor-Authentifizierung (MFA) und die automatische Entzugsberechtigungen gewährleisten, dass Berechtigungen nur dann bestehen, wenn sie geschäftlich gerechtfertigt sind, und erfüllen damit das Prinzip der minimalen Berechtigungen der SAMA.

Durchsetzung der individuellen Verantwortlichkeit

Jede privilegierte Aktion lässt sich einer bestimmten Person zuordnen, nicht gemeinsam genutzten Konten. Die Integration mit Unternehmensverzeichnissen gewährleistet, dass Aktionen mit verifizierbaren Benutzeridentitäten verknüpft sind. Audit-Logs enthalten vollständige Nachvollziehbarkeitsketten, die belegen, welcher Benutzer welche Aktionen auf welchen Systemen zu welchen Zeiten durchgeführt hat.

Notzugang bei Glasbruch

Gesteuert Glasbruch-Konto Die Szenarien unterstützen MFA-Workflows mit mehreren Genehmigern, umfassende Sitzungsaufzeichnung und obligatorische Nachbesprechungen von Vorfällen. Jede Nutzung der Notfallfunktion generiert sofortige Benachrichtigungen an die Führungsebene und detaillierte forensische Beweise für die Meldepflichten gegenüber der SAMA.

Erstellung von prüfungsfähigen Nachweisen

miniOrange generiert automatisch SAMA-Selbstbewertungsunterlagen:

• Zugriffszertifizierungsberichte, die die Wirksamkeit von Control 3.3.5 belegen
• Protokolle privilegierter Sitzungen mit vollständigen Nachvollziehbarkeitsketten
• Prüfprotokolle zur Passwortrotation über den gesamten Lebenszyklus der Anmeldeinformationen
• Statistiken zur Durchsetzung der Multi-Faktor-Authentifizierung in allen abgedeckten Systemen
• Verwaltung des Benutzerlebenszyklus Berichte, die die Bereitstellung/Entfernung von Ressourcen dokumentieren

Zentrale Dashboards liefern Echtzeitdaten zum Compliance-Status aller 3.3.5 Unterkontrollen und eliminieren so die monatelange manuelle Beweissammlung, die bei herkömmlichen Ansätzen üblich war.

Leitfaden zur SAMA-Konformität: Ihr 6-stufiger Zertifizierungsweg

Dieser Fahrplan geht auf die dokumentierten Herausforderungen ein, die sich aus Governance-Lücken, veralteten Systemen und Ressourcenengpässen ergeben, und bietet gleichzeitig klare Meilensteine ​​für die Einreichung der Selbsteinschätzung.

Schritt 1: Rahmenverständnis und Lückenanalyse

Beginnen Sie mit dem Verständnis der SAMA-Gesetze und -Vorschriften sowie der Ziele für das Management von Cybersicherheitsrisiken in Ihrem spezifischen organisatorischen Kontext. Überprüfen Sie alle vier Bereiche – Governance, Risikomanagement, Betrieb und Drittanbietersicherheit – und ermitteln Sie, welche Kontrollen je nach Art Ihres Instituts gelten. Banken unterliegen der verpflichtenden Einhaltung aller 47 Kontrollen. Fintechs priorisieren Kontrolle 3.3.5. IAM und 3.3.12 Zahlungssysteme. Versicherungsunternehmen konzentrieren sich auf die Bereiche Governance und Risikomanagement.

Führen Sie eine erste Gap-Analyse durch, um den aktuellen Sicherheitsstatus mit den SAMA-Anforderungen zu vergleichen. Dokumentieren Sie bestehende Kontrollen, identifizieren Sie fehlende Funktionen und schätzen Sie den Aufwand für deren Behebung ab. Diese Bewertung dient als Grundlage für Präsentationen vor der Geschäftsleitung und sichert das notwendige Budget sowie die Zustimmung des Aufsichtsrats. Ziehen Sie externe SAMA-Compliance-Beratung hinzu, falls die interne Expertise nicht ausreicht; frühzeitige Expertenberatung verhindert kostspielige Kurskorrekturen während des Projekts.

Schritt 2: Definition des Geltungsbereichs und Verantwortlichkeit des CISO

Der Chief Information Security Officer (CISO) muss die Compliance-Anforderungen formell festlegen und alle obligatorischen Kontrollen mit klar definierten Geltungsbereichen und begründeten Ausnahmen dokumentieren. Erstellen Sie den Compliance-Projektauftrag, der Folgendes definiert:

Systeme im Geltungsbereich: Kernbankensysteme, Zahlungsportale, Kundendatenbanken und administrative Infrastruktur. Systeme außerhalb des Geltungsbereichs: Begründete Ausnahmen mit von der Geschäftsleitung unterzeichneter Risikoakzeptanzdokumentation. Kontrollanwendbarkeitsmatrix: Zuordnung aller 47 SAMA-Kontrollen zu den Organisationsressourcen mit Priorisierung der Implementierung. Ressourcenallokation: Dedizierte Vollzeitkräfte, externe Berater und Technologiebudgets für einen Implementierungszeitraum von 12–18 Monaten.

Schritt 3: Einrichtung der Governance-Grundlage

Die Implementierung von Domäne 1 beginnt sofort, da die Governance die Autorisierungsstruktur für alle nachfolgenden technischen Implementierungen bereitstellt. Ohne die Zustimmung des Vorstands bleibt Cybersicherheit ein IT-Projekt ohne unternehmensweites Engagement.

Definieren Sie die vom Vorstand genehmigte Governance-Struktur für Cybersicherheit. Richten Sie einen Cybersicherheitsausschuss mit unabhängiger, hochrangiger Führung ein, die direkt an den Vorstand berichtet. Legen Sie regelmäßige Treffen (mindestens vierteljährlich) mit dokumentierten Protokollen fest, die eine aktive Überwachung belegen. Definieren Sie Eskalationswege, um sicherzustellen, dass Cybervorfälle innerhalb vorgegebener Fristen dem Vorstand gemeldet werden.

Entwickeln Sie eine umfassende Cybersicherheitsstrategie, die mit den Geschäftszielen der Vision 2030 und der Risikotoleranz des Unternehmens übereinstimmt. Die Strategiedokumente müssen einen dreijährigen Fahrplan zur Entwicklung des Cybersicherheits-Reifegrads, Budgetprognosen, Pläne zur Technologiemodernisierung und die Integration in unternehmensweite Risikomanagement-Frameworks beinhalten.

Dokumentieren und kommunizieren Sie die unternehmensweite Cybersicherheitsrichtlinie. Diese muss die Einhaltung durch die Mitarbeitenden vorschreiben, Standards für die zulässige Nutzung definieren, Konsequenzen bei Verstößen festlegen und die Verantwortlichkeiten für Cybersicherheit in die Arbeitsverträge integrieren. Führen Sie eine unternehmensweite Kampagne zur Bestätigung der Richtlinie durch, wobei unterzeichnete Bestätigungen als Nachweis für Audits dienen.

Definieren Sie Rollen und Verantwortlichkeiten gemäß den internen Prüfungsgrundsätzen der SAMA. Erstellen Sie eine RACI-Matrix, die klarstellt, wer für welche Kontrollen zuständig ist, wer die technischen Anforderungen umsetzt, wer Beratung leistet und wer Statusinformationen erhält. Governance ohne Verantwortlichkeit scheitert sofort.

Schritt 4: Umsetzung der operativen Kontrolle

Die technischen Kontrollen im Bereich 3 stellen den größten Aufwand für die Einhaltung der Vorschriften dar und beanspruchen 60–70 % des gesamten Projektaufwands. Hier setzen die Lösungen von miniOrange direkt an und beschleunigen die SAMA-Konformität.

Phase 4A: Identitäts- und Zugriffsmanagement (Kontrolle 3.3.5)

Setzen Sie die miniOrange ein IAM Plattform zur Implementierung des Need-to-know-Zugriffsprinzips für alle Unternehmensanwendungen. Konfiguration der rollenbasierten Zugriffskontrolle (RBAC) durch Zuordnung von Geschäftsrollen zu Systemberechtigungen. Integration mit HR-Systemen zur automatisierten Bereitstellung und Deaktivierung von Berechtigungen. Bereitstellung Multi-Faktor-Authentifizierung im gesamten KernbankensystemZahlungssysteme, Verwaltungskonsolen und Fernzugriffskanäle. Vierteljährliche Zertifizierungskampagnen für Zugriffsrechte durchführen und auditfähige Compliance-Berichte erstellen. Kontrolle 3.3.5 hat die höchste Auditpriorität.

Phase 4B: Privileged Access Management (Control 3.3.5 Unteranforderungen)

Implementieren Sie miniOrange PAM, um alle privilegierten Konten in der gesamten Infrastruktur zu ermitteln. Konfigurieren Sie eine sichere Speicherung von Anmeldeinformationen, um die Weitergabe von Passwörtern zu verhindern. Implementieren Sie die automatische Passwortrotation für Servicekonten und erhöhte Anmeldeinformationen. Aktivieren Sie die umfassende Sitzungsaufzeichnung für alle privilegierten Aktivitäten. Richten Sie bedarfsgerechten Zugriff ein und ersetzen Sie so die bestehenden Administratorrechte. Die PAM-Implementierung belegt die von SAMA-Prüfern geforderte individuelle Verantwortlichkeit.

Phase 4C: Infrastruktur- und Zahlungssicherheit (Kontrollen 3.3.8, 3.3.12)

Implementieren Sie die Härtungsstandards für die Infrastruktur gemäß den CIS-Benchmarks. Führen Sie Netzwerksegmentierung durch, um laterale Angriffe zu verhindern. Konfigurieren Sie die Datenbankzugriffskontrollen über die Anwendungsschicht hinaus. Validieren Sie für Zahlungssysteme die Ende-zu-Ende-Verschlüsselung, implementieren Sie die Transaktionsüberwachung, die Tokenisierung von Karteninhaberdaten und weisen Sie die PCI-DSS-Konformität nach. Ausfälle von Zahlungssystemen lösen ein sofortiges Eingreifen der SAMA aus – priorisieren Sie entsprechend.

Phase 4D: Ereignismanagement und Schwachstellenverfolgung

Implementieren Sie zentralisierte Protokollierungs- und SIEM-Funktionen, um Sicherheitsereignisse systemübergreifend zu erfassen. Legen Sie Verfahren zur Reaktion auf Sicherheitsvorfälle mit definierten Eskalationspfaden fest. Führen Sie kontinuierliche Schwachstellenscans mit definierten SLAs für die Behebung von Sicherheitslücken durch. Integrieren Sie Tools zur Schwachstellenanalyse, die systematische Identifizierungs- und Minderungsprozesse ermöglichen.

Schritt 5: Vorbereitung der Selbsteinschätzung und SAMA-Audit

SAMA verlangt jährliche Selbstbewertungen, die den Reifegrad der Cybersicherheit für alle implementierten Kontrollmaßnahmen messen. Organisationen reichen detaillierte Dokumentationen ein, die die Wirksamkeit der Kontrollen belegen, nicht nur deren Implementierung.

Führen Sie eine umfassende interne Selbstbewertung gemäß den internen Prüfungsgrundsätzen der SAMA durch. Bewerten Sie jede Kontrollmaßnahme anhand der Reifegrade (Anfangsstadium, Wiederholbar, Definiert, Managed, Optimiert). Streben Sie mindestens Reifegrad 3 (Definiert) mit dokumentierten Prozessen an. Sammeln Sie Nachweise zur Wirksamkeit: Zugriffsprüfungsberichte, Protokolle privilegierter Sitzungen, Prüfprotokolle zur Passwortrotation, MFA-Statistiken, Ergebnisse von Schwachstellenscans und Zeitpläne der Reaktion auf Sicherheitsvorfälle.

Erstellen Sie einen Selbstbewertungsbericht, der den aktuellen Reifegrad, identifizierte Lücken und Maßnahmenpläne mit Zeitvorgaben dokumentiert. miniOrange generiert die erforderlichen Dokumente automatisch. IAM und PAM-Nachweise, wodurch die bei Altsystemen übliche monatelange manuelle Protokollanalyse entfällt. Reichen Sie den Bericht innerhalb der vorgegebenen Fristen (in der Regel 90 Tage nach Ende des Geschäftsjahres) bei der SAMA ein.

Die Prüfer der SAMA validieren Selbsteinschätzungen durch die Prüfung von Nachweisen, technische Interviews und gegebenenfalls Vor-Ort-Inspektionen. Sie verifizieren die Authentizität der Kontrollumsetzung, testen die technischen Fähigkeiten und beurteilen die Unternehmenskultur. Auf die Prüfungsergebnisse folgen formelle Antworten mit Korrekturmaßnahmenplänen für die festgestellten Mängel.

Schritt 6: Kontinuierliche Einhaltung und Verbesserung

Die Einhaltung der SAMA-Vorgaben erfordert ein kontinuierliches Engagement und ist keine einmalige Zertifizierung. Organisationen müssen die Konformität durch ständige Überwachung, regelmäßige Aktualisierungen und die Verankerung der Vorgaben in der Unternehmenskultur sicherstellen.

Kontinuierliche Überwachung mithilfe von miniOrange Echtzeit-Dashboards einrichten IAM Effektivität, Nutzung privilegierter Zugriffe, MFA-Nutzung und Status der Zugriffszertifizierung. Konfigurieren Sie automatische Warnmeldungen für Richtlinienverstöße, die eine sofortige Untersuchung erfordern. Die kontinuierliche Beweissicherung vermeidet den jährlichen Prüfungsstress.

Führen Sie regelmäßige Überprüfungen des Rahmenwerks durch, da die SAMA die Anforderungen jährlich aktualisiert. Abonnieren Sie die SAMA-Rundschreiben, um über regulatorische Änderungen informiert zu bleiben. Passen Sie Richtlinien und technische Kontrollen an, um die Einhaltung der sich entwickelnden Standards zu gewährleisten. Die Cloud- und KI-Revisionen von 2026 erfordern proaktive Anpassungen der Roadmap.

Führen Sie umfassende Schulungen zur Sensibilisierung Ihrer Mitarbeiter für Cybersicherheit durch. Diese Schulungen umfassen Cybersicherheitsrichtlinien, Social-Engineering-Bedrohungen, Verfahren zur Meldung von Sicherheitsvorfällen und die individuellen Verantwortlichkeiten. Dokumentieren Sie die Teilnahme an den Schulungen anhand von Bestätigungen, die das unternehmensweite Bewusstsein belegen. Eine ausgeprägte Cybersicherheitskultur unterscheidet reife Unternehmen von Organisationen, die lediglich die Anforderungen erfüllen.

Führen Sie vierteljährliche interne Audits durch, um die Wirksamkeit der Kontrollen vor den SAMA-Prüfungen zu bestätigen. Identifizieren Sie Lücken frühzeitig, um eine Behebung ohne regulatorischen Druck zu ermöglichen. Nutzen Sie externe SAMA-Compliance-Beratung für regelmäßige unabhängige Bewertungen, die eine objektive Reifegradanalyse gewährleisten.

Zusammenfassend

Die Einhaltung der SAMA-Vorgaben in Saudi-Arabien erfordert von Finanzinstituten, die in der digitalen Wirtschaft der Vision 2030 tätig sind, einen hohen Reifegrad im Bereich Cybersicherheit. Dieser Fahrplan, der von der Etablierung von Governance-Strukturen über die Implementierung technischer Kontrollen bis hin zur kontinuierlichen Überwachung reicht, wandelt regulatorische Komplexität in strukturierte Umsetzung um. Angesichts einer Prüfungsquote von 68 % beim ersten Versuch benötigen Unternehmen bewährte Lösungen, um die Zertifizierung zu beschleunigen und gleichzeitig den Prüfungserfolg sowie die fortlaufende Einhaltung der Vorschriften sicherzustellen.

Häufig gestellte Fragen

Was bedeutet SAMA-Compliance in Saudi-Arabien?

Die SAMA-Konformität bezieht sich auf den von der saudi-arabischen Währungsbehörde (SAMA) vorgeschriebenen Cybersicherheitsrahmen (CSF) für alle Finanzinstitute. Er erfordert umfassende Cybersicherheitskontrollen in den Bereichen Unternehmensführung, Risikomanagement, Betrieb und Drittanbietersicherheit. Banken müssen die Vorgaben vollständig erfüllen; Fintechs wenden risikobasierte Kontrollen an.

Wie lange dauert die SAMA-Zertifizierung?

Banken benötigen durchschnittlich 18 Monate, Fintechs 12–18 Monate. Eine starke Governance verkürzt die Bearbeitungszeit auf 9–12 Monate. Legacy-Systeme verlängern die Bearbeitungszeit um 6–18 Monate. miniOrange reduziert die Nachweissammlung durch automatisierte Berichterstattung um 3–6 Monate.

Wie gewährleisten Standardarbeitsanweisungen die Einhaltung der SAMA-Vorschriften?

Standardarbeitsanweisungen (SOPs) dokumentieren die Implementierungsprozesse zur Kontrolle der SAMA-Reifestufe 3+. Die SOPs beschreiben detailliert die Arbeitsabläufe für Zugriffsanfragen (3.3.5), die Reaktion auf Vorfälle (3.3.14), die Lieferantenbewertungen (Domäne 4) und die Verfahren zur Erfassung von Nachweisen, die für Selbstbewertungen erforderlich sind.

Was geschieht im Falle eines Fehlschlags bei der SAMA-Prüfung?

Bei 68 % der Erstanmeldungen sind Nachbesserungen erforderlich. Die SAMA erstellt Korrekturmaßnahmenpläne (90–180 Tage). Wiederholte Verstöße ziehen finanzielle Strafen, betriebliche Einschränkungen und den Lizenzentzug nach sich. Externe Berater werden für die Nachbesserung empfohlen.

Besteht ein Zusammenhang zwischen ZATCA und der Einhaltung der SAMA-Vorschriften?

Die ZATCA (Zakat-, Steuer- und Zollbehörde) regelt die elektronische Rechnungsstellung und die Einhaltung der Steuervorschriften für saudische Unternehmen. Die SAMA reguliert speziell Finanzinstitute. Beide Behörden verlangen strenge Kontrollen. IAMZATCA konzentriert sich jedoch auf die Einhaltung der Steuervorschriften, während SAMA die Einhaltung des Cybersicherheitsrahmens betont.