Am 26. Oktober 2020 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Entwurf einer Neufassung des Rundschreibens 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT (BAIT) zur Konsultation veröffentlicht. Stellungnahmen zur Konsultation können bis Ende November bei der BaFin und der Deutschen Bundesbank abgegeben werden.
Der Entwurf der neuen BAIT setzt aktuelle Vorgaben der Europäischen Bankaufsichtsbehörde (European Banking Authority – EBA) um. Konkret werden die Leitlinien der EBA zu ICT Risk (Guidelines on Information and Communication Technology and Security Risk Management – ICT Guidelines) umgesetzt. Dieser Beitrag stellt die wesentlichen Neuerungen der BAIT aufgrund der Umsetzung der ICT Guidelines im Überblick vor.
Kurz erklärt: die BAIT und ihr Zusammenspiel mit der MaRisk
In der europäischen Bankenrichtlinie (CRD IV) sind allgemeine Regelungen zur Unternehmensführung und Organisationsstruktur von Instituten festlegt. Diese Regelungen werden in Deutschland insbesondere durch § 25a des Kreditwesengesetz (KWG) umgesetzt. Die MaRisk konkretisiert die Anforderungen des KWG an die Ausgestaltung des Riskmanagements und gibt somit einen qualitativen Rahmen für die praktische Umsetzung der genannten Regelungen vor. Auch die MaRisk wurde jüngst überarbeitet und an aktuelle europäische Vorgaben angepasst; darüber haben wir bereits hier berichtet. Die BAIT ergänzen und konkretisieren die Vorgaben der MaRisk und geben einen praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute, insbesondere für das Management der IT-Ressourcen und das IT-Risikomanagement vor. Durch die Umsetzung der ICT Guidelines wurden die BAIT um zwei neue Kapital zu der operativen Informationssicherheit und zum IT-Notfallmanagement ergänzt, deren wesentlichen Inhalt wir nachfolgend näher betrachten.
Operative Informationssicherheit
Institute müssen für IT-Risiken angemessene Überwachungs- und Steuerungsprozesse einrichten, die insbesondere die Festlegung von IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleitete Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung entsprechender Maßnahmen zur Risikobehandlung und -minderung umfassen. Damit soll der operative Geschäftsbetrieb jederzeit sicher und reibungslos aufrecht erhalten werden können. Nach der BAIT müssen Institute deshalb
- operative Informationssicherheitsmaßnahmen und Prozesse implementieren; diese müssen z.B. ein Schwachstellenmanagement und die Verschlüsselung von Daten berücksichtigen,
- Regeln zur Identifizierung sicherheitsrelevanter Ereignisse definieren, z.B. die Erkennung vermehrter nicht autorisierter Zugriffsversuche,
- sicherheitsrelevante Ereignisse zeitnah analysieren und auf diese angemessen reagieren; dazu kann die Einrichtung einer ständig besetzten zentralen Stelle, z.B. in Form eines Security Operation Centers, erforderlich sein,
- IT-Sicherheitssysteme regelmäßig überprüfen, wobei sich Turnus, Art und Umfang der Überprüfung am Schutzbedarf und der möglichen Angriffsflächen des IT-Systems orientieren müssen.
IT-Notfallmanagement
Allgemeine Anforderungen an das Notfallmanagement von Instituten finden sich in der MaRisk (AT 7.3.). Die Vorgaben der BAIT konkretisieren diese und formulieren spezielle Vorgaben für das IT-Notfallmanagement. In diesem Zusammenhang müssen Institute
- auf Basis der Ziele des allgemeinen Notfallmanagements auch die Ziele und Rahmenbedingungen des IT-Notfallmanagements festlegen,
- IT-Notfallpläne erstellen, die Wiederanlauf-, Notbetriebs-, und Wiederherstellungspläne sowie zu berücksichtigende Abhängigkeiten z.B. von externen IT-Dienstleistern, berücksichtigen,
- ihre IT-Notfallpläne durch mindestens jährliche IT-Notfalltests überprüfen; zu diesem Zweck ist ein IT-Testkonzept zu entwickeln,
- nachweisen können, dass bei Ausfall eines Rechenzentrums die zeitkritischen Aktivitäten und Prozesse von einem anderen Rechenzentrum für eine angemessene Zeit erbracht werden können.
Ausblick ZAIT und Fazit
Die BAIT soll zukünftig zudem um ein Kapitel „Kundenbeziehungen mit Zahlungsdienstnutzern“ ergänzt werden, das sich eigens an Institute richten wird, die Zahlungsdienste im Sinne des Zahlungsdiensteaufsichtsgesetz (ZAG) erbringen. Die Inhalte dieses Kapitels werden im Rahmen der Konsultation des Rundschreibens „Zahlungsdiensteaufsichtliche Anforderungen an die IT“ (ZAIT) konsultiert und anschließend in die finale Fassung der BAIT einfließen.
Mit der nun zur Konsultation gestellten BAIT Novelle finden die europäische Vorgaben der ICT Guidelines nun auch endlich Einzug in die nationalen aufsichtsrechtlichen Vorgaben zum (IT-) Risikomanagement. Institute erhalten damit wertvolle Guidance zur praktischen Umsetzung der europäischen Vorgaben und der Erwartungshaltung der BaFin. Erfahrungsgemäß ergeben sich im Rahmen der Konsultation kaum wesentliche Änderungen, sodass Institute sich bereits jetzt auf die neuen aufsichtsrechtlichen Anforderungen einstellen können.