BaFin veröffentlicht „Bankaufsichtliche Anforderungen an die IT”
Die Regelungsinhalte
Die neuen Vorgaben regeln hauptsächlich die Berichts- und Informationspflicht zwischen dem neuen Informationssicherheitsbeauftragten und den Bankenvorständen. Weiterhin beinhalten sie Regeln zur Überprüfung der IT-Sicherheit im Alltagsbetrieb sowie zur Datensicherung und zur Anwendungsentwicklung von eigenen Projekten. Darüber hinaus schreibt das neue Regelwerk fest, wie die Auftragsdatenverarbeitung durch Dritte zu erfolgen hat. Im Wesentlichen verankern die BAIT folgende Maßnahmen:- IT-Strategie: Die IT-Strategie hat die Anforderung der MaRisk zu erfüllen. Dies beinhaltet insbesondere, dass die Geschäftsleitung eine nachhaltige IT-Strategie festlegt, in der die Ziele, sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden.
- IT-Sicherheit: Dies betrifft vor allem Maßnahmen zur Verbesserung der IT-Sicherheit, des IT Service Continuity Managements (ITSCM) und der IT-Infrastruktur. Zudem sind Regelungen zum Umgang mit neuen Medien klarer zu fassen.
- Informationsmanagement: Verbesserung des Informationsrisikomanagements durch Strukturanalysen, Risikoanalysen, SOLL/IST-Vergleiche, Schutzbedarfsfeststellung, Risikotracking und ein verbessertes und einheitliches Berichtswesen.
- Risikokultur: Schaffung einer Risikokultur und Ausbau des Bewusstseins der Mitarbeiter. Dies soll vor allem durch Schulungen oder Rundschreiben zur Verbesserung des Bewusstseins jedes Mitarbeiters in Bezug auf IT-Sicherheit und Risikomanagement umgesetzt werden.
- IT-Infrastruktur: Modernisierung und Optimierung der IT-Infrastruktur mit klaren Vorgaben zur Auslagerung sowie Revision der Qualität und Sicherheit von IT-Applikationen sowie Eigenentwicklungen.
- Informationssicherheitsbeauftragter: Eine wesentliche Neuerung ist die Einführung eines Informationssicherheitsbeaufragten. Dieser soll die IT-Sicherheit der Bank verantworten und muss über entsprechende Ressourcen verfügen.
Der Informationssicherheitsbeauftragte
Zu den Ressourcen des Sicherheitsbeauftragten gehört auch ein zweckgebundenes dediziertes Personal. Kleinere Bankinstitute können diese Aufgabe für mehrere Banken zusammenfassen. Laut Ziffer 4.18 der BAIT hat der Sicherheitsbeauftragte folgende Aufgaben:- Unterstützung der Geschäftsleitung beim Festlegen und Anpassen der Informationssicherheitsleitlinie und Beratung in allen Fragen der Informationssicherheit. Dies umfasst auch Hilfestellungen bei der Lösung von Zielkonflikten, zum Beispiel zwischen Wirtschaftlichkeit und Informationssicherheit.
- Erstellung von Informationssicherheitsrichtlinien und gegebenenfalls von weiteren einschlägigen Regelungen einschließlich der Kontrolle ihrer Einhaltung.
Zudem muss der Informationssicherheitsbeauftragte quartalsweise einen Bericht verfassen, der sämtliche Probleme und besondere Vorkommnisse auflistet. Dieser Bericht erfolgt an den Vorstand. Vorgeschlagene Maßnahmen zur Verbesserung der IT-Sicherheit muss der Vorstand erfüllen.
Weiterhin hat der Sicherheitsbeauftragte einige Vollmachten. Beispielsweise kann er unabhängig von den IT-Zyklen eine Datensicherung oder eine Überprüfung der Datenrestaurierung verfügen.
Verhältnis zu den MaRisk
Die seit dem 06.11.2017 geltenden BAIT ergänzen die schon existierenden Mindestanforderungen an das Risikomanagement der Banken (MaRisk) von Oktober 2017. Wie die BaFin in ihrem Anschreiben vom 06.11.2017 mitteilt, gelten die BAIT in einer Gesamtschau mit der MaRisk, soweit die BAIT auf dezidierte Textziffern der MaRisk verweisen. Die übrigen Textziffern der MaRisk bleiben danach unberührt. Dies gilt insbesondere für die Anwendung von AT 7.3 MaRisk (Notfallkonzept).Anforderungen an die IT im Finanzsektor | 29.03.2017 |
BaFin leitet öffentliche Konsultation zum Rundschreiben „Bankaufsichtliche Anforderungen an die IT“ (BAIT) ein | |
Sind die Anforderungen von § 25a Absatz 1 KWG in Bezug auf den IT-Einsatz hinreichend in den Mindestanforderungen an das Risikomanagement (MaRisk) abgebildet? Diese Frage wollen BaFin und Deutsche Bundesbank durch eine öffentliche Konsultation klären. mehr ... Rundschreiben 10/2017 (BA) vom 03.11.2017 |
Strategien für die regulatorischen Anforderungen der Zukunft |
Das Buch Risikomanagement und Frühwarnverfahren in Kreditinstituten, Aktuelle Anforderungen – Instrumente – Prüfung, von dem Experten-Team um Ulrich Bantleon und Axel Becker stellt Ihnen in der neu bearbeiteten Auflage aktuelle Entwicklungen und rechtliche Grundlagen für die Branche übersichtlich und verständlich vor. Die Autoren befassen sich unter anderem den Neuerungen der MaRisk, den bankaufsichtlichen Anforderungen an Frühwarnverfahren oder mit Krisenindikatoren bei Firmenkundenkrediten. Ausführungen zur bankaufsichtsrechtlichen Prüfung von Risikomanagement- und -controllingverfahren oder zur Prüfung von Risikoklassifizierungsverfahren runden das Werk ab, das auch als eBook lieferbar ist. |
(ESV/bp)
Programmbereich: Bank- und Kapitalmarktrecht