Bankaufsichtliche Anforderungen an die IT
BAIT Novelle 2021
Die 3 wichtigsten Änderungscluster der Bankaufsichtlichen Anforderungen an die IT
Das Zusammenspiel von IT, Sicherheit und Auswirkungen im Finanzbereich wird zunehmend ernster und wichtiger. Der Ausfall der IT eines Instituts kann nicht nur für einzelne Kunden, sondern für den ganzen Markt Folgen haben. Um sicher zu stellen, dass Institute einrn einheitlichen und konkreten Standard zur Ausgestaltung ihrer IT-Landschaft und die damit einher gehende Sicherheit erhalten, wurde im November 2017 erstmals die zur Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht. Die BAIT konkretisiert Artikel der Mindestanforderungen an das Risikomanagement (MaRisk) sowie die Paragrafen 25a und 25b des Kreditwesengesetzes (KWG).
Mit dem Rundschreiben vom 16.08.2021 novelliert die BaFin die im November 2017 erstmalig veröffentlichte schreiben zur BAIT. Die BAIT, die sich bisher Themen wie IT-Strategie, Betrieb und Governance sowie Auslagerung konkretisiert hat, wird dadurch um die Kapitel der Operativen Informationssicherheit und des IT-Notfallmanagements ergänzt. Außerdem wird der Anwenderkreis der BAIT durch das Kapitel Kundenbeziehungsmanagement mit Nutzern von Zahlungsdiensten auf Institute die Zahlungsdienste erbringen erweitert. Zu guter Letzt gibt es weitere Anpassungen und Konkretisierungen durch alle Kapitel der BAIT hinweg.
Erstgespräch anfragen
Tristan
Pötzsch
André
Rentschler
Inhalt der BAIT im Überblick:
In der neusten Novelle der BAIT umfasst diese 12 Kapitel. Zur besseren Übersicht der aktuellen Änderungen hier farblich kategorisiert:
Orange = Neue Kapitel; Hellblau= Kapitel mit umfangreichen Ergänzungen; Grau= kleinere Anpassungen; Weiß mit schwarzem Rahmen= Sonderkapitel für Betreiber Kritischer Infrastruktur
Neue Kapitel der BAIT-Novelle im Detail
Die Änderungen mit der letzten Novelle vom August 2021 können grob in 3 Cluster gegliedert werden, wie aus dem obigen Schaubild ersichtlich. Was sich in den einzelnen Kapiteln und Clustern geändert, führen wir im Detail im Folgenden auf:
- Zeitkritische Geschäftsprozessen müssen jährlich geprüft werden
- Etablierung eines regelmäßigen Reportings
- Rahmenbedingung müssen mit Unternehmensstrategie in Einklang stehen
- Notfallvorsorge und Konzept muss mit Dritten/ Dienstleistern abgestimmt sein
- Dritte werden mit in den Informationsverbund einbezogen
- Aufstellung eines Portfolios zur Identifizierung sicherheitsrelevanter Ereignisse
- Empfehlung zur Einrichtung eines Security Operation Center (SOC)
- Regelmäßig und anlassbezogene Prüfung
- Gerichtet an Institute, die Zahlungsdienste im Sinne des § 1 Abs. 1 Satz 2 Zahlungsdiensteaufsichtsgesetz (ZAG) erbringen
- Prozesse zur Unterstützung und Beratung
- Möglichkeit zur Deaktivierung von Zahlungsdiensten
- Einführung von Prozessen zur Erkennung von betrügerischen oder nicht autorisierten Nutzungen
Kapitel mit umfangreichen Ergänzungen der BAIT-Novelle im Detail
- Detailierung organisatorischen Grundlagen für IT-Projekte
- Anforderungen mit Test- und Akzeptanzkriterien verschärft
- Test / Maßnahmen zu Schutz der Informationen erhöht
- Rolle der Geschäftsleitung für Informationssicherheit erweitert und enger eingebunden
- Einführung von Richtlinien zur Überprüfung der Maßnahmen
- Einführung von Sensibilisierungs- und Schulungsprogrammen für Personal
- Zuordnung von Aufgaben zum Informationsrisikomanagement
- Regelmäßige Reevaluierung der Bedrohungslage und des Schutzbedarfs des Instituts
Kapitel mit kleineren Anpassungen und Ergänzungen der BAIT-Novelle im Detail
- Grundlegende Aussage zur Schuldung und Sensibilisierung zur Informationssicherheit
- Aufnahme der Informationssicherheit als Bestandteil der IT-Strategie
- Standardvorgehensweise zum Störungsmanagement
- Leistungs- und Kapazitätsbedarf der IT-Systeme
- Einhaltung von Zeitvorgaben bei der Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen
- Rein redaktionelle Änderungen
- Anpassung und Konkretisierung der Anforderungen an Zugriffsrechte und deren Management
- Redaktionelle Änderungen
- Ergänzung zu Vorgaben an den IT-Betrieb in Vereinbarungen und Verträgen mit Auslagerungspartnern
Handlungsbedarf durch dich Neuerungen
Auf Basis der neuen Kapitel und den zum Teil umfangreichen Änderungen, ist von einem mittleren bis großen Handlungsbedarf auszugehen. Insbesondere die Themen rund in der Informationsrisiko- und Sicherheit sowie das Notfallmanagement stehen im Fokus.
Beim Großteil der Institute werden diese Änderungen und Anpassungen von zentralen IT-Dienstleistern abgedeckt, allerdings werden Adaptionen von Maßnahmen, Prozesse und Verfahren auch direkt bei den Instituten zu Handlungsbedarf führen. Außerdem werden Beziehungen zu IT-Providern und Drittanbieter wie etwa Cloud Service Provider zu prüfen sein, um den regulatorischen Vorgaben gerecht zu werden.
Disclaimer: Bei der Erstellung des Inhalts ist die größtmögliche Sorgfalt verwendet worden, dennoch bleiben Änderungen, Irrtümer und Auslassungen vorbehalten. Die getroffenen Aussagen basieren auf Beurteilungen, historischen Daten und rechtlichen Einschätzungen zum Zeitpunkt der Erstellung des Inhalts. Alle Angaben erfolgen ohne Gewähr für die inhaltliche Richtigkeit und Vollständigkeit. Die Überlassung des Inhalts erfolgt nur für den internen Gebrauch des Empfängers. Die Aufbereitung stellt keine Rechts- oder Anlageberatung dar. Diese muss individuell unter Berücksichtigung der Umstände des Einzelfalls erfolgen.
Für eine bessere Lesbarkeit wird auf dieser Website das generische Maskulinum verwendet, wobei alle Geschlechter gleichermaßen gemeint sind.