Sie haben folgende Möglichkeiten:
  1. zum Login.
  2. zur Navigation.
  3. zum Inhalt der Seite.
add_shopping_cart 0
Die bankenaufsichtlichen Anforderungen an die IT sollen präziser werden (Foto: Rawpixel.com/Fotolia.com)
Anforderungen an die IT im Finanzsektor

BaFin leitet öffentliche Konsultation zum Rundschreiben „Bankaufsichtliche Anforderungen an die IT“ (BAIT) ein

ESV-Redaktion Recht
29.03.2017
Sind die Anforderungen von § 25a Absatz 1 KWG in Bezug auf den IT-Einsatz hinreichend in den Mindestanforderungen an das Risikomanagement (MaRisk) abgebildet? Diese Frage wollen BaFin und Deutsche Bundesbank durch eine öffentliche Konsultation klären.
Wie die Finanzaufsichtsbehörde (BaFin) in ihrer Meldung vom 22.03.2017 mitteilte, hat sie in Zusammenarbeit mit der Deutschen Bundesbank einen Entwurf zum Rundschreiben „Bankaufsichtliche Anforderungen an die IT" (BAIT) in Form der Konsultation 02/2017 veröffentlicht. Den Entwurf haben Mitarbeiter von BaFin und Deutscher Bundesbank gemeinsam entwickelt. Unterstützung fanden sie hierbei von dem Fachgremium IT. Zu diesem Gremium gehören neben Vertretern der Aufsicht vor allem Vertreter großer und kleiner Institute, Vertreter von bedeutenden IT-Dienstleistern, Banken- und Prüfungsverbänden sowie Vertreter der Wissenschaft.  

Der Hintergrund

Hintergrund dieser Konsultation sind entsprechende Äußerungen aus den Reihen der Kreditwirtschaft. Danach müssen die Anforderungen an den IT-Ansatz im Finanzsektor angesichts der rasanten Entwicklungen in der Digitalisierung konkretisiert werden.

Die Themenbereiche der Konsultation
  • IT-Strategie  
  • IT-Governance 
  • Informationsrisikomanagement 
  • Informationssicherheitsmanagement 
  • Benutzerberechtigungsmanagement 
  • IT-Projekte, Anwendungsentwicklung einschließlich der Endbenutzer in den Fachbereichen 
  • IT-Betrieb einschließlich Datensicherung 
  • Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Welche Ziele das Rundschreiben zu den BAIT hat

Mit den „Bankaufsichtlichen Anforderungen an die IT“ (BAIT), die sich vor allem an die Geschäftsleitungen der Kreditinstitute richten, wollen Deutsche Bundesbank und BaFin die Erwartungshaltung der Aufsicht an die Institute transparenter darstellen. In dem Entwurf verweisen Leitsätze auf die jeweiligen Textziffern der MaRisk. Diese werden IT-spezifisch mit folgenden Zielen konkretisiert:
  • Praxisnaher Rahmen: Zentrales Ziel des Rundschreibens ist es, dem Management der Institute auf Basis von § 25a Absatz 1 KWG einen praxisnahen und flexiblen Rahmen für die Ausgestaltung der Informationstechnik ihrer Institute an die Hand zu geben. Dies gilt vor allem für das Management der IT-Ressourcen und für das IT-Risikomanagement. 
  • Konkretisierung von Anforderungen: Das Rundschreiben konkretisiert ferner die Anforderungen an das Risikomanagement auf Gruppenebene nach § 25a Absatz 3 KWG und die Auslagerung nach § 25b KWG.
  • Berücksichtigung des Proportionalitätsprinzips: Die prinzipienorientierten Anforderungen des Rundschreibens tragen dem Proportionalitätsprinzip Rechnung, und zwar analog zu den MaRisk.
Damit bleibt jedes Institut auch außerhalb der Konkretisierungen der BAIT nach § 25a Absatz 1 Nr. 4 KWG in Verbindung mit AT 7.2 Tz. 2 MaRisk dazu verpflichtet, bei seinem Einsatz der IT-Systeme grundsätzlich auf den Stand der Technik abzustellen.

Wie es weitergeht: Stellungnahmen bis 05.05.2017

Schriftliche Stellungnahmen zum Entwurf des Rundschreibens zu den BAIT können bis zum 05.05.2017 eingereicht werden. Das Ergebnis wird Gegenstand einer weiteren Sitzung des Fachgremiums IT sein.

Eingegangene Stellungnahmen sollen auf den Internetseiten von BaFin und Deutscher Bundesbank veröffentlicht werden, soweit die Verfasser der Stellungnahmen dagegen keine Einwände erheben. Zur Konsultaion 02/2017.

Weiterführende Literatur
Das Buch Risikomanagement und Frühwarnverfahren in Kreditinstituten, Aktuelle Anforderungen – Instrumente – Prüfung, von dem Experten-Team um Ulrich Bantleon und Axel Becker stellt Ihnen in der neu bearbeiteten Auflage aktuelle Entwicklungen und rechtliche Grundlagen für die Branche übersichtlich und verständlich vor. Die Autoren befassen sich unter anderem mit den Regelungen zu Basel III, den Neuerungen der MaRisk, den bankaufsichtlichen Anforderungen an Frühwarnverfahren oder mit Krisenindikatoren bei Firmenkundenkrediten. Ausführungen zur bankaufsichtsrechtlichen Prüfung von Risikomanagement- und -controllingverfahren, zur Prüfung von Risikoklassifizierungsverfahren sowie zur Prüfung der Adressenausfallrisikosteuerung runden das Werk ab, das auch als eBook lieferbar ist.

(ESV/bp)

Programmbereich: Bank- und Kapitalmarktrecht