Konsultation zur neuen BAIT veröffentlicht

Am 26. Oktober 2020 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Entwurf einer Neufassung des Rundschreibens 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT (BAIT) zur Konsultation veröffentlicht. Stellungnahmen zur Konsultation können bis Ende November bei der BaFin und der Deutschen Bundesbank abgegeben werden.

Der Entwurf der neuen BAIT setzt aktuelle Vorgaben der Europäischen Bankaufsichtsbehörde (European Banking Authority – EBA) um.  Konkret werden die Leitlinien der EBA zu ICT Risk (Guidelines on Information and Communication Technology and Security Risk Management ICT Guidelines) umgesetzt. Dieser Beitrag stellt die wesentlichen Neuerungen der BAIT aufgrund der Umsetzung der ICT Guidelines im Überblick vor.

Kurz erklärt: die BAIT und ihr Zusammenspiel mit der MaRisk

In der europäischen Bankenrichtlinie (CRD IV) sind allgemeine Regelungen zur Unternehmensführung und Organisationsstruktur von Instituten festlegt. Diese Regelungen werden in Deutschland insbesondere durch § 25a des Kreditwesengesetz (KWG) umgesetzt. Die MaRisk konkretisiert die Anforderungen des KWG an die Ausgestaltung des Riskmanagements und gibt somit einen qualitativen Rahmen für die praktische Umsetzung der genannten Regelungen vor. Auch die MaRisk wurde jüngst überarbeitet und an aktuelle europäische Vorgaben angepasst; darüber haben wir bereits hier berichtet. Die BAIT ergänzen und konkretisieren die Vorgaben der MaRisk und geben einen praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute, insbesondere für das Management der IT-Ressourcen und das IT-Risikomanagement vor. Durch die Umsetzung der ICT Guidelines wurden die BAIT um zwei neue Kapital zu der operativen Informationssicherheit und zum IT-Notfallmanagement ergänzt, deren wesentlichen Inhalt wir nachfolgend näher betrachten.

Operative Informationssicherheit

Institute müssen für IT-Risiken angemessene Überwachungs- und Steuerungsprozesse einrichten, die insbesondere die Festlegung von IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleitete Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung entsprechender Maßnahmen zur Risikobehandlung und -minderung umfassen. Damit soll der operative Geschäftsbetrieb jederzeit sicher und reibungslos aufrecht erhalten werden können. Nach der BAIT müssen Institute deshalb

  • operative Informationssicherheitsmaßnahmen und Prozesse implementieren; diese müssen z.B. ein Schwachstellenmanagement und die Verschlüsselung von Daten berücksichtigen,
  • Regeln zur Identifizierung sicherheitsrelevanter Ereignisse definieren, z.B. die Erkennung vermehrter nicht autorisierter Zugriffsversuche,
  • sicherheitsrelevante Ereignisse zeitnah analysieren und auf diese angemessen reagieren; dazu kann die Einrichtung einer ständig besetzten zentralen Stelle, z.B. in Form eines Security Operation Centers, erforderlich sein,
  • IT-Sicherheitssysteme regelmäßig überprüfen, wobei sich Turnus, Art und Umfang der Überprüfung am Schutzbedarf und der möglichen Angriffsflächen des IT-Systems orientieren müssen.

IT-Notfallmanagement

Allgemeine Anforderungen an das Notfallmanagement von Instituten finden sich in der MaRisk (AT 7.3.). Die Vorgaben der BAIT konkretisieren diese und formulieren spezielle Vorgaben für das IT-Notfallmanagement. In diesem Zusammenhang müssen Institute

  • auf Basis der Ziele des allgemeinen Notfallmanagements auch die Ziele und Rahmenbedingungen des IT-Notfallmanagements festlegen,
  • IT-Notfallpläne erstellen, die Wiederanlauf-, Notbetriebs-, und Wiederherstellungspläne sowie zu berücksichtigende Abhängigkeiten z.B. von externen IT-Dienstleistern, berücksichtigen,
  • ihre IT-Notfallpläne durch mindestens jährliche IT-Notfalltests überprüfen; zu diesem Zweck ist ein IT-Testkonzept zu entwickeln,
  • nachweisen können, dass bei Ausfall eines Rechenzentrums die zeitkritischen Aktivitäten und Prozesse von einem anderen Rechenzentrum für eine angemessene Zeit erbracht werden können.

Ausblick ZAIT und Fazit

Die BAIT soll zukünftig zudem um ein Kapitel „Kundenbeziehungen mit Zahlungsdienstnutzern“ ergänzt werden, das sich eigens an Institute richten wird, die Zahlungsdienste im Sinne des Zahlungsdiensteaufsichtsgesetz (ZAG) erbringen. Die Inhalte dieses Kapitels werden im Rahmen der Konsultation des Rundschreibens „Zahlungsdiensteaufsichtliche Anforderungen an die IT“ (ZAIT) konsultiert und anschließend in die finale Fassung der BAIT einfließen.

Mit der nun zur Konsultation gestellten BAIT Novelle finden die europäische Vorgaben der ICT Guidelines nun auch endlich Einzug in die nationalen aufsichtsrechtlichen Vorgaben zum (IT-) Risikomanagement. Institute erhalten damit wertvolle Guidance zur praktischen Umsetzung der europäischen Vorgaben und der Erwartungshaltung der BaFin. Erfahrungsgemäß ergeben sich im Rahmen der Konsultation kaum wesentliche Änderungen, sodass Institute sich bereits jetzt auf die neuen aufsichtsrechtlichen Anforderungen einstellen können.

Konsultation zur MaRisk Novelle veröffentlicht

Am 26. Oktober 2020 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Entwurf einer Neufassung des Rundschreibens 09/2017 (BA) – Mindestanforderungen an das Risikomanagement (MaRisk) zur Konsultation veröffentlicht. Stellungnahmen zur Konsultation können bis Anfang Dezember bei der BaFin und der Deutschen Bundesbank abgegeben werden.

Der Entwurf der neuen MaRisk setzt aktuelle europäische Vorgaben der Europäischen Bankaufsichtsbehörde (European Banking Authority – EBA) um.  Konkret werden die Leitlinien der EBA zu notleidenden und gestundeten Risikopositionen (Guidelines on management of non-performing and forborne exposuresNPL Guidelines), zu Auslagerungen (Guidelines on outsourcing arrangements Outsourcing Guidelines) und zu ICT Risk (Guidelines on Information and Communication Technology and Security Risk Management ICT Guidelines) umgesetzt. Dieser Beitrag stellt die wesentlichen Änderungen und Ergänzungen der MaRisk aufgrund der Umsetzung der NPL, der Outsourcing sowie der ICT Guidelines im Überblick vor.

Kurz erklärt: die MaRisk

In der europäischen Bankenrichtlinie (CRD IV) sind allgemeine Regelungen zur Unternehmensführung und Organisationsstruktur von Instituten festlegt. Diese Regelungen werden in Deutschland insbesondere durch § 25a des Kreditwesengesetz (KWG) umgesetzt. Die MaRisk konkretisiert die Anforderungen des KWG an die Ausgestaltung des Riskmanagements und gibt somit einen qualitativen Rahmen für die praktische Umsetzung der genannten Regelungen vor.

Umsetzung der NPL Guidelines

Die NPL Guidelines geben vor, wie notleidende und gestundete Risikopositionen von Instituten im Rahmen des Riskmanagements zu berücksichtigen sind. Institute sollten über einen angemessenen Rahmen zur Identifizierung, Messung, Verwaltung, Überwachung und Reduzierung von notleidenden Risikopositionen verfügen. Je mehr notleidende Risikopositionen ein Institut hat, desto strengere Anforderungen sind grundsätzlich zu erfüllen.

Deshalb ist zu unterscheiden: Einige Vorgaben gelten nur für solche Institute, die eine Quote notleidender Kredite von 5% oder mehr aufweisen (sog. High-NPL-Institute). High-NPL-Institute müssen

  • eine Strategie für notleidende Risikopositionen einführen, um letztlich einen Abbau der notleidenden Risikopositionen vornehmen zu können (AT 4.2 MaRisk),
  • besondere Anforderungen an die Risikocontrolling-Funktion erfüllen, indem z.B. NPE-bezogene Risiken (non-performing-exposures) überwacht und Auswirkungen auf die Eigenkapitalanforderungen berücksichtigt werden (AT 4.4 MaRisk).
  • Problemkredite sind anhand festgelegter Kriterien an eine Abwicklungs-. bzw. Sanierungseinheit des Instituts zu übergeben; nunmehr sind spezialisierte Abwicklungseinheiten (sog. NPE-Workout Units) einzurichten; (BTO 1.2 MaRisk),
  • in den Risikoberichten der Risikocontrolling-Funktion ist eine gesonderte Darstellung von notleidenden und gestundeten Risikopositionen aufnehmen (BT 3.2 MaRisk).

Zudem setzt die MaRisk Vorgaben der NPL Guidelines um, die nicht nur auf High-NPL-Institute, sondern auf alle Institute anwendbar sind. Neu sind dabei umfassende Vorgaben zur sog. Forbearance. Erfasst sind jede Art von Zugeständnissen, die zugunsten von Kreditnehmern aufgrund sich abzeichnender oder bereits eingetretener finanzieller Schwierigkeiten gemacht werden. Als anschauliches Beispiel dient die Stundung von Tilgungsraten. Ziel solcher Maßnahmen ist es, dass Risikopositionen nicht notleidend werden, sondern zurückgezahlt werden können.

  • Institute müssen eine Forbearance-Richtlinie entwickeln, die bspw. die Verfahren zur Gewährung von Forbearance-Maßnahmen sowie die Verfahren zur Entscheidungsfindung und eine Beschreibung verfügbarer Forbearance-Maßnahmen enthält (BTO 1.3 MaRisk).
  • Zudem sind Forbearance-Prozesse zu entwickeln, die z.B. Kriterien festzulegen, anhand derer eine Einstufung von Forbearance-Risikopositionen in notleidende Positionen erfolgt (BTO 1.3 MaRisk).

Umsetzung der Outsourcing Guidelines

Die MaRisk Novelle setzt auch die Anforderungen der EBA Outsourcing Guidelines um. Da das bisherige deutsche Auslagerungsrecht (anders als in anderen europäischen Mitgliedstaaten) bereits in weiten Teilen den Vorgaben der EBA Outsourcing Guidelines entspricht, werden vorwiegend Änderungen oder Ergänzungen auf Detailsebene vorgenommen. Gänzlich neue Regelungen gibt es hier wenige. Alle Änderungen und Ergänzungen werden unter AT 9 MaRisk vorgenommen. Wesentliche Neuerungen bzw. Ergänzungen sind:

  • Bei Auslagerungen an Unternehmen mit Sitz in anderen EU-Mitgliedsstaaten ist sicherzustellen, dass eine ggf. erforderliche Erlaubnis zur Erbringung der ausgelagerten Tätigkeit vorliegt. Bei Auslagerung auf ein Drittstaaten-Unternehmen (Brexit!) muss, sofern es sich um eine ausgelagerte Aktivität handelt, die innerhalb des EWR eine Erlaubnis erfordern würde, sichergestellt werden, dass das Auslagerungsunternehmen in dem Drittstaat einer Aufsicht unterliegt und zwischen den zuständigen Aufsichtsbehörden eine entsprechende Kooperationsvereinbarung besteht.
  • Bei wesentlichen Auslagerungen werden zusätzliche konkret erforderliche vertragliche Regelungen, wie z.B. Zugangs- und Kündigungsrechte vorgeschrieben.
  • Es ist ein zentraler Auslagerungsbeauftragter zu benennen; er wird durch ein zentrales Auslagerungsmanagement unterstützt.
  • Es ist ein aktuelles Auslagerungsregister mit Informationen über alle Auslagerungsvereinbarungen vorzuhalten. So soll ein Informationsverlust über ausgelagerte Tätigkeiten im Falle personeller Wechsel verhindert werden.

Umsetzung der ICT Guidelines

Aufgrund der EBA ICT Guidelines werden Anforderungen an das Notfallmanagement (AT 7.3 MaRisk) neu gefasst. Institute müssen grundsätzlich auf Notfallsituationen vorbereitet sein und insbesondere Notfallpläne für zeitkritische Aktivitäten und Prozesse vorhalten. Ein aktuelles und anschauliches Beispiel sind die Auswirkungen der Corona-Krise; die Banken schienen mit Standortschließungen aufgrund von Lockdown-Maßnahmen grundsätzlich gut umgehen und schnell auf Notfallpläne wie z.B. Split-Operations-Maßnahmen zurückgreifen zu können. Im Einzelnen müssen Institute

  • Eine Risikoanalyse zur Identifikation zeitkritischer Aktivitäten und Prozesse sowie hierfür notweniger IT-Systeme durchführen,
  • ein Notfallkonzept erarbeiten, das darstellt, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll.

Fazit

Mit der nun zur Konsultation gestellten MaRisk Novelle finden zahlreiche europäische Vorgaben nun auch endlich Einzug in die nationalen aufsichtsrechtlichen Vorgaben zum Risikomanagement. Institute erhalten damit wertvolle Guidance zur praktischen Umsetzung der europäischen Vorgaben und der Erwartungshaltung der BaFin. Erfahrungsgemäß ergeben sich im Rahmen der Konsultation kaum wesentliche Änderungen, sodass Institute sich bereits jetzt auf die neuen aufsichtsrechtlichen Anforderungen einstellen können.