Veröffentlichung des neuen BaFin-Rundschreibens zu den ZAIT
ǀ Im Zusammenhang mit der 6. MaRisk-Novelle (wir berichteten) und der neuen Fassung der BAIT (dazu hier) hat die BaFin am 16. August 2021 auch das neue Rundschreiben „Zahlungsdiensteaufsichtliche Anforderungen an die IT (ZAIT)“ veröffentlicht. Dieses Rundschreiben orientiert sich eng an den MaRisk und BAIT. Es beinhaltet insbesondere die Anforderungen aus den EBA-Leitlinien zum Management von IKT- und Sicherheitsrisiken EBA/GL/2019/04 sowie zu Auslagerungen (EBA/GL/2019/02), von denen einzelne auch in die MaRisk und BAIT aufgenommen wurden.
Den Anwenderkreis bilden alle Institute im Sinne des § 1 Abs. 3 Zahlungsdiensteaufsichtsgesetz (ZAG), das heißt Zahlungs- und E-Geld-Institute (Stand 6. September 2021: 93 Institute). Die ZAIT finden unmittelbar nach Veröffentlichung und somit ohne Übergangsfrist Anwendung, da sie die aufsichtlichen Anforderungen lediglich ergänzend interpretieren. Gleichwohl gelten die Übergangsfristen aus den EBA-Leitlinien entsprechend.
In dem Rundschreiben erläutert die BaFin, welche aufsichtlichen Anforderungen an eine ordnungsgemäße Geschäftsführung durch die Institute in Bezug auf den Einsatz von Informationstechnik und Cybersicherheit zu beachten sind. Da diese mit den Vorgaben aus dem ZAG abgestimmt sind, gibt es auch eine entsprechende Rechtssicherheit für die anzuwendenden Institute. Bisher wurden für die Zahlungs- und E-Geld-Institute die MaRisk i. V. m. den BAIT analog angewendet. Insofern ergänzen die ZAIT die aufsichtlichen Anforderungen an die IT, die es vergleichbar auch für die Versicherungs- und Kapitalverwaltungsgesellschaften (VAIT bzw. KAIT) gibt.
Die Anwendung des Grundsatzes der Proportionalität wirkt sich darauf aus, wie die Anforderungen erfüllt werden können. Das heißt, bei Instituten mit schwächer ausgeprägten Risiken sind vergleichsweise einfache Strukturen, IT-Systeme oder Prozesse ausreichend. Im Gegenzug sind bei stärker ausgeprägten Risiken aufwändigere Strukturen, IT-Systeme oder Prozesse erforderlich.
Die BaFin hat ein ZAG-Instituts-Register (hier) veröffentlicht, das täglich aktualisiert wird. Dort aufgeführt sind die inländischen ZAG-Institute, denen die BaFin eine Erlaubnis oder Registrierung nach dem ZAG erteilt hat.
Handlungsbedarf
- Prüfen Sie, ob das eigene Institut betroffen ist (ZAG-Instituts-Register).
