BaFin veröffentlicht Rundschreiben BAIT

Am 6. November 2017 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) das Rundschreiben 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT (BAIT) veröffentlicht. Kreditinstitute bzw. Finanzdienstleistungsinstitute müssen diese Anforderungen ab sofort berücksichtigen. Die Anforderungen ergänzen die bereits bestehenden Mindestanforderungen an das Risikomanagement (MaRisk) in der Neufassung (wir berichteten) vom 27. Oktober 2017.

Die Bankaufsichtliche Anforderungen an die IT regeln die Berichts- und Informationspflicht zwischen dem Informationssicherheitsbeauftragten und der Geschäftsleitung der Kreditinstitute bzw. Finanzdienstleistungsinstitute. Die BAIT stellt ferner die Erwartungshaltung der Aufsichtsbehörden in Bezug auf die IT-Sicherheit transparent dar.

Die BAIT-Anforderungen wurden vor dem Hintergrund veröffentlicht, dass Kreditinstitute bzw. Finanzdienstleistungsinstitute zunehmend Prozesse, die nicht zum Kerngeschäft gehören, an Dienstleister beziehungsweise Fintechs auslagern und somit der umfassende Blick auf die Informationssicherheit verlorengehen könnte. Insgesamt besteht die BAIT aus acht Anforderungsbereiche:

1. IT-Strategie

Die IT-Strategie hat die Anforderung nach der MaRisk zu erfüllen. Dies beinhaltet insbesondere, dass die Geschäftsleitung eine nachhaltige IT-Strategie festlegt, in der die Ziele, sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden.

2. IT-Governance

Die IT-Governance ist die Struktur zur Steuerung sowie Überwachung des Betriebs und die Fortentwicklung der IT-Systeme und der IT-Prozesse auf Basis der IT-Strategie.

3. Informationsrisikomanagement

Die Informationsverarbeitung und -weitergabe in Geschäfts- und Serviceprozessen wird durch datenverarbeitende IT-Systeme und zugehörige IT-Prozesse unterstützt. Deren Umfang und Qualität ist insbesondere an betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie an der Risikosituation zu orientieren. IT-Systeme und zugehörige IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Das Institut hat die mit dem Management der Informationsrisiken verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikationswege zu definieren und aufeinander abzustimmen Hierfür hat das Institut angemessene Überwachungs- und Steuerungsprozesse einzurichten und diesbezügliche Berichtspflichten zu definieren.

4. Informationssicherheitsmanagement

Das Informationssicherheitsmanagement macht Vorgaben zur Informationssicherheit, definiert Prozesse und steuert deren Umsetzung. Das Informationssicherheitsmanagement folgt einem fortlaufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung umfasst. Die inhaltlichen Berichtspflichten des Informationssicherheitsbeauftragten an die Geschäftsleitung sowie der Turnus der Berichterstattung orientieren sich an der MaRisk.

5. Benutzerberechtigungsmanagement

Das Benutzerberechtigungsmanagement stellt sicher, dass den Benutzern eingeräumte Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben des Instituts entspricht.

6. IT-Projekte, Anwendungsentwicklung

Wesentliche Veränderungen in den IT-Systemen im Rahmen von IT-Projekten, deren Auswirkung auf die IT-Aufbau- und IT-Ablauforganisation sowie die dazugehörigen IT-Prozesse sind im Rahmen einer Auswirkungsanalyse zu bewerten. Im Hinblick auf den erstmaligen Einsatz sowie wesentliche Veränderungen von IT-Systemen sind die Anforderungen der MaRisk zu erfüllen.

7. IT-Betrieb (Datensicherung)

Der IT-Betrieb hat die Erfüllung der Anforderungen, die sich aus der Umsetzung der Geschäftsstrategie sowie aus den IT-unterstützten Geschäftsprozessen ergeben, umzusetzen.

8. Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen

IT-Dienstleistungen umfassen alle Ausprägungen des Bezugs von IT; dazu zählen insbesondere die Bereitstellung von IT-Systemen, Projekte/Gewerke oder Personalgestellung. Die Auslagerungen der IT-Dienstleistungen haben die Anforderungen nach der MaRisk zu erfüllen. Dies gilt auch für Auslagerungen von IT-Dienstleistungen, die dem Institut durch ein Dienstleistungsunternehmen über ein Netz bereitgestellt werden und deren Angebot, Nutzung und Abrechnung dynamisch und an den Bedarf angepasst über definierte technische Schnittstellen sowie Protokolle erfolgen.

Die in den MaRisk definierten Vorgaben bleiben unberührt und sind weiterhin umzusetzen. Mit BAIT und MaRisk zusammen sind für Kreditinstitute bzw. Finanzdienstleistungsinstitute neue Anforderungen im Wesentlichen in Bezug auf die IT entstanden, welche durch entsprechende technische und organisatorische Maßnahmen von neu zu definierenden Verantwortlichen umzusetzen sind. Zur Umsetzung der neuen Anforderungen aus BAIT und MaRisk sind Prozesse und Standards anzupassen bzw. neu zu implementieren. Dies wird für Kreditinstitute bzw. Finanzdienstleistungsinstitute nur durch die Schaffung neuer Verantwortlichkeiten in Bezug auf die IT-Sicherheit und der Erhöhung des IT-Budgets zu gewährleisten sein.

Sehr gerne beraten wir Sie zu allen bankaufsichtsrechtlichen Fragen, aber auch solchen im Zusammenhang mit unserem Projekt Unternehmenssicherheit 2018.