Hintergrund:
Die BaFin hat am 26. Oktober 2020 ihre Konsultation der neuen Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht [vgl. hier]. Im Verhältnis zur letzten Veröffentlichung enthält sie sowohl neue Abschnitte als auch Konkretisierungen zu bereits bestehenden Anforderungen.
Größtenteils handelt es sich bei den Anpassungen um Anforderungen, die bereits als Ableitung aus den gängigen IT-Standards nach AT 7.2 MaRisk (z. B. ISO/IEC 2700x und BSI IT-Grundschutz) bekannt sind und nun – nach Umsetzung der im November 2019 veröffentlichten EBA-Leitlinien für IKT und Sicherheitsrisikomanagement (EBA/GL/2019/04) in nationales Recht – konkret aufsichtsrechtlich formuliert wurden.
Eine Inkraftsetzung wird im Jahr 2021 erwartet.
Inhalte:
Die folgenden drei Abschnitte, die sich bereits aus den EBA-Leitlinien zu IKT und Sicherheitsrisikomanagement ableiten ließen, wurden in den BAIT neu ergänzt:
Operative Informationssicherheit:
- Die Umsetzung der Anforderungen aus dem Informationssicherheitsmanagement in angemessene und wirksame IT-Sicherheitsmaßnahmen sind nun als konkretes aufsichtsrechtliches Erfordernis beschrieben. Vollkommen neu sind die Anforderungen jedoch nicht, da diese sich bereits größtenteils aus den gängigen IT-Standards ergeben, an denen sich die Institute ohnehin zu orientieren haben. Als neue Herausforderung für viele Häuser ergibt sich hieraus allerdings die Einführung eines sogenannten Security-information-and-event-management-Systems (SIEM), eines Systems zur laufenden Überwachung von IT-Sicherheits-relevanten Ereignissen.
IT-Notfallmanagement:
- Die bisherigen Anforderungen aus AT 7.3 MaRisk zum Notfallmanagement werden künftig in Bezug auf das IT-Notfallmanagement konkretisiert. In diesem Zuge werden erhöhte Anforderungen an IT-Notfallpläne und die Durchführung von IT-Notfallübungen gestellt.
Kundenbeziehungen mit Zahlungsdienstnutzern:
- Die Inhalte dieses Abschnitts sind in der Konsultationsfassung noch nicht enthalten. Sie werden sich in Zukunft aus den „Zahlungsdienstaufsichtlichen Anforderungen an die IT“ (ZAIT) ergeben und betreffen Zahlungsdienste nach § 1 Abs. 1 Satz 2 ZAG. Die EBA-Leitlinien zu IKT und Sicherheitsrisikomanagement geben bereits Hinweise auf entsprechende „verbraucherschutzähnliche“ Anforderungen an Zahlungsdienstleister.
Über diese drei Abschnitte hinaus ergeben sich aus der Konsultation weitere Neuerungen in den bisherigen Abschnitten der BAIT. Beispielsweise gibt es Konkretisierungen in den Formulierungen zum Informationssicherheitsmanagements, welche die Anforderungen an den Umgang mit Informationssicherheitsvorfällen, die Tätigkeiten des Informationssicherheitsbeauftragten oder das Durchführen von Informationssicherheitsschulungen erhöhen. Weiterhin bezieht sich z. B. das Benutzerberechtigungsmanagement (NEU: „Identitäts- und Rechtemanagement“) künftig auch auf physische Infrastrukturen wie Zutrittsregelungen zu Räumlichkeiten.
Hervorzuheben sind aus unserer Sicht allerdings die neuen Anforderungen des Informationsrisikomanagements, da dieses nach unserer Erfahrung in vielen Instituten bisher die größte Herausforderung der BAIT darstellt. Die Anforderungen an einen Informationsverbund werden beispielsweise auf Unterstützungsprozesse und externe Dienstleister ausgeweitet und das Institut hat sich regelmäßig über Schwachstellen dieses umfassenden Informationsverbunds zu informieren. Als neue Anforderung ist zukünftig auch ein „zentrales Informationsrisikomanagement“ einzurichten, das die Durchführung von Struktur-, Schutzbedarfs- und Informationsrisikoanalysen steuert und kontrolliert.
Fazit:
Bis auf wenige Ausnahmen stellt die neue BAIT-Konsultation mit ihren vielen Konkretisierungen nur wenige neue und bisher unbekannte Anforderungen an die Institute. Viele Anforderungen ergeben sich aus den gängigen IT-Standards oder konkretisieren diese, um Missverständnisse zu vermeiden.
Daher gilt: Orientiert sich Ihr Institut bereits streng an gängigen IT-Standards (z. B. an ISO/IEC 2700x oder BSI IT-Grundschutz), sollten die neuen Anforderungen nur vereinzelt zu Herausforderungen führen.
Informieren Sie sich dennoch rechtzeitig über die Neuerungen und Konkretisierungen der BAIT und ermitteln Sie bereits vor finaler Veröffentlichung den Handlungsbedarf für Ihr Haus. Denken Sie daran, sich frühzeitig mit der Materie zu beschäftigen, auch wenn für die finale Veröffentlichung noch kein Datum festgelegt wurde. Auf die vergangenen BAIT-Veröffentlichungen zurückblickend ist kein langfristiger Umsetzungszeitraum zu erwarten, sodass Sie frühestmöglich mit der Planung und Umsetzung beginnen sollten.
Handlungsbedarf:
- Analysieren Sie den Handlungsbedarf für die Umsetzung der neuen Anforderungen in Ihrem Hause.
- Überprüfen Sie, ob die Anforderungen aus Abschnitt 11 „Kundenbeziehungen mit Zahlungsdienstnutzern“ für Ihr Haus relevant sein könnten (Stichwort „Zahlungsdienste nach § 1 Abs. 1 Satz 2 ZAG“).
- Ergreifen Sie die Initiative und beginnen Sie rechtzeitig mit der Implementierung von Neuerungen. Denken Sie an die kurzen Umsetzungszeiträume bei vergangenen BAIT-Veröffentlichungen.