Hintergrund:
Hintergrund der neuen EBA-Leitlinien zum Umgang mit Sicherheitsrisiken der Informations- und Kommunikationstechnologie (IKT) – der „EBA Guidelines on ICT and security risk management“ (EBA/GL/2019/04) – ist die stetig wachsende Bedeutung von IT und Kommunikationstechnologie für Finanzdienstleistungsinstitute. Bisher hat die European Banking Authority (EBA) die Leitlinien am 28. November 2019 nur in englischer Sprache veröffentlicht.
Die Leitlinien treten am 30. Juni 2020 für die nationalen Aufsichtsbehörden in Kraft und heben die bisherigen EBA-Leitlinien zum Risikomanagement von Zahlungsdiensten (EBA/GL/2017/17) auf. Aktuell ist davon auszugehen, dass die Inhalte der neuen Leitlinien Eingang in die MaRisk oder BAIT finden werden.
Auf welche neuen Anforderungen sollten Sie sich vorbereiten?
Die neuen EBA-Leitlinien enthalten Anforderungen zu den folgenden Themengebieten:
- Governance und Strategie
- IKT-Risikomanagement
- Informationssicherheitsmanagement
- IKT-Betrieb
- IKT-Projekt und -Changemanagement
- Notfallmanagement
- Kommunikation mit Zahlungsdienstnutzern (payment service user: PSU) – relevant für Anbieter von Zahlungsdienstleistungen
Die EBA-Leitlinien zum Umgang mit Sicherheitsrisiken der Informations- und Kommunikationstechnologie bringen für Anwender der BAIT auf den ersten Blick wenig grundlegende Neuerungen mit sich. Thematisch gibt es in vielen Bereichen Überschneidungen zwischen MaRisk/BAIT und den EBA-Leitlinien, aber Unterschiede in der Detailtiefe:
- So machen die EBA-Leitlinien in einigen Abschnitten, wie z. B. im Bereich des Informationsrisikomanagements, deutlich detailliertere Vorgaben als die BAIT .
- Auch die Anforderungen an das Notfallmanagement sind in den EBA-Leitlinien deutlich konkreter formuliert als bisher in den MaRisk. Dabei wird der Schwerpunkt besonders auf das Notfallmanagement von IKT-Systemen gelegt.
- In anderen Fällen, wie z. B. in Bezug auf die Mindestinhalte einer IT-Strategie, sind wiederum die BAIT genauer ausgestaltet.
- Völlig neue Anforderungen werden auf Anbieter von Zahlungsverkehrsdienstleistungen zukommen: Diese werden verpflichtet, ihre Kunden über die Risiken des digitalen Zahlungsverkehrs aufzuklären. Damit sollen die Kunden entsprechend sensibilisiert werden und zukünftig selbst Entscheidungen zur Limitierung des eigenen Zahlungsverkehrs treffen können.
Fazit:
Für die Institute bleibt abzuwarten, in welcher Form die Leitlinien auf nationaler Ebene umgesetzt werden.
Auf der BaFin-Konferenz „IT-Aufsicht bei Banken“ am 12. September 2019 in Bonn wurde bereits angedeutet, dass diese EBA-Leitlinien möglicherweise eine Ergänzung der BAIT mit sich bringen werden. Ein vorbereitender Blick in die neuen EBA-Leitlinien lohnt sich also vorab.
Handlungsbedarf:
- Schätzen Sie den Bedarf zur Erfüllung möglicher neuer Anforderungen an Ihre IKT-Systeme auf Basis der EBA-Leitlinien rechtzeitig ein. (Hinweis: Die bisherigen BAIT galten ohne Umsetzungsfrist.)
- Prüfen Sie den Umsetzungsgrad der aktuellen BAIT, damit der Fokus ab Juli 2020 auf den neuen Anforderungen an IKT-Systeme liegen kann.
