Hintergrund
ǀ Zeitgleich mit den Veröffentlichungen der sechsten MaRisk-Novelle (wir berichteten) und des neuen Rundschreibens Zahlungsdiensteaufsichtliche Anforderungen an die IT – ZAIT – hat die BaFin am 16. August 2021 eine Novelle der Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht (vgl. hier).
Wie die im Oktober 2020 dazu veröffentlichte Konsultation bereits andeutete, enthält die BAIT-Novelle neben neuen Abschnitten insbesondere Konkretisierungen der bisherigen Anforderungen. Dabei handelt es sich größtenteils um bereits bekannte Anforderungen und Maßstäbe, die sich beispielsweise aus den gängigen IT-Standards im Sinne des AT 7.2 MaRisk (z. B. ISO/IEC 2700x und BSI IT-Grundschutz) ableiten und nunmehr als konkrete aufsichtsrechtliche Anforderungen formuliert sind.
Hintergrund der Neuerungen und Konkretisierungen ist die Umsetzung der im November 2019 veröffentlichten EBA-Leitlinien zum Management von IKT- (Informations- und Kommunikationstechnik) und Sicherheitsrisiken (EBA/GL/2019/04) in nationales Recht.
Die neuen BAIT haben keine Umsetzungsfrist und treten ab sofort in Kraft.
Inhalte
Die neuen BAIT beinhalten drei neue Abschnitte, die sich aus den o. g. EBA-Leitlinien zu IKT und Sicherheitsrisikomanagement ableiten und von denen zwei Abschnitte schon Bestandteil der Konsultationsfassung (aus Oktober 2020) waren.
Operative Informationssicherheit:
Die Umsetzung der Anforderungen aus dem Informationssicherheitsmanagement in angemessene und wirksame IT-Sicherheitsmaßnahmen sind nun als konkretes aufsichtsrechtliches Erfordernis beschrieben. Vollkommen neu sind die Anforderungen nicht; sie ergeben sich bereits größtenteils aus den gängigen IT-Standards, an denen sich die Institute orientieren müssen. Eine Herausforderung für viele Häuser bildet allerdings die Einführung eines Security-information-and-event-management-Systems (SIEM) zur laufenden Überwachung von IT-Sicherheits-relevanten Ereignissen.
IT-Notfallmanagement:
Die bisherigen Anforderungen aus AT 7.3 MaRisk zum Notfallmanagement wurden nun in Bezug auf IT-Notfallmanagement konkretisiert. In diesem Zuge werden erhöhte Anforderungen an IT-Notfallpläne und die Durchführung von IT-Notfallübungen gestellt.
Management der Beziehungen mit Zahlungsdienstnutzern:
Die Inhalte dieses Abschnitts waren nicht Gegenstand der Konsultationsfassung. Der Abschnitt richtet sich an Institute, die Zahlungsdienstleistungen im Sinne des Zahlungsdiensteaufsichtsgesetzes (ZAG) anbieten und konkretisiert im Wesentlichen die Anforderungen zu Risikominderungsmaßnahmen nach § 53 ZAG. Dabei haben Institute „verbraucherschutzähnliche“ Anforderungen in Zusammenhang mit Zahlungsdienstleistungen umzusetzen, die ihre Kunden insbesondere vor Betrugsrisiken schützen sollen.
Darüber hinaus finden sich in den bisherigen Abschnitten der BAIT u. a. die nachfolgend aufgeführten Neuerungen.
- Es gibt Konkretisierungen in den Formulierungen zum Informationssicherheitsmanagements, welche die Anforderungen an den Umgang mit Informationssicherheitsvorfällen, die Tätigkeiten des Informationssicherheitsbeauftragten oder das Durchführen von Informationssicherheitsschulungen erhöhen.
- Des Weiteren bezieht sich das Benutzerberechtigungsmanagement – neu: „Identitäts- und Rechtemanagement“ – in Zukunft auch auf physische Infrastrukturen wie bspw. Zutrittsregelungen zu Räumlichkeiten.
- Besonders hervorzuheben sind aus unserer Sicht die neuen Anforderungen an das Informationsrisikomanagement, da dieses unserer Erfahrung nach in vielen Instituten bisher die größte Herausforderung der BAIT-Umsetzung darstellt. Die Anforderungen an einen Informationsverbund sind nämlich auf Unterstützungsprozesse und externe Dienstleister ausgeweitet worden und es gilt, dass Institute sich regelmäßig über Schwachstellen des Informationsverbunds zu informieren haben. Als neue Anforderung ist künftig außerdem ein „zentrales Informationsrisikomanagement“ einzurichten, das die Durchführung von Struktur-, Schutzbedarfs- und Informationsrisikoanalysen zentral steuert und kontrolliert.
Fazit
Bis auf singuläre Ausnahmen beinhalten die neuen BAIT mit ihren vielen Konkretisierungen nur wenige gänzlich neue und den Instituten noch unbekannte Anforderungen. Viele ergeben sich bereits aus den gängigen IT-Standards oder wurden von der Aufsicht nur noch einmal konkretisierend ausgeführt, um Missverständnisse zu vermeiden. Orientiert sich Ihr Institut also bereits streng an gängigen IT-Standards (z. B. an ISO/IEC 2700x oder BSI IT-Grundschutz), sollte es nur vereinzelt zu größeren Anpassungsnotwendigkeiten in Ihrem Hause kommen.
Mit Ausnahme der Veröffentlichung von Abschnitt 11– „Kundenbeziehung mit Zahlungsdiensten“ – enthält die finale Veröffentlichung der Novelle keine grundlegenden Abweichungen zur bereits bekannten BAIT-Konsultation vom Oktober 2020.
In Kraft treten die neuen BAIT ab sofort und ohne Übergangsfrist.
Handlungsbedarf
- Analysieren Sie, in welchen Bereichen allgemein noch Handlungsbedarf bei der Umsetzung besteht.
- Überprüfen Sie, ob die neuen Anforderungen aus Abschnitt 11 „Kundenbeziehungen mit Zahlungsdiensten“ für Ihr Haus relevant sind, wenn Sie in den Anwendungsbereich des ZAG fallen.