Feedback

Gepostet am 26. Juni 2020 von  Tom Steyer, Senior Consultant ORO Services GmbH in IT-Sicherheit

BaFin verschärft erneut Anforderungen an die IT

Die Bankaufsichtlichen Anforderungen an die IT (BAIT) werden von der BaFin als Rundschreiben veröffentlicht und konkretisieren die Anforderungen der MaRisk auf einem detaillierten Level für die IT der Finanzinstitute. Ähnliche Dokumente veröffentlicht die BaFin auch für Versicherungen (Versicherungsaufsichtliche Anforderungen an die IT – VAIT) und für Kapitalverwaltungsgesellschaften (Kapitalverwaltungsaufsichtliche Anforderungen an die IT – KAIT).

Im Hintergrund arbeitet die BaFin bereits daran die nächste Verschärfung der BAIT zu veröffentlichen. Neben vielen redaktionellen Überarbeitungen der BAIT gibt es auch einige substanzielle inhaltliche Neuerungen. Dabei lehnt sich die BaFin mit ihren Anforderungen an die ICT-Guidelines der EBA an. So werden nun Anforderungen an das Notfallmanagement erstmalig direkt in der BAIT adressiert, ähnliche Vorgaben fanden sich bisher nur in der MaRisk. Den Vorstellungen der BaFin nach hat das Institut strategische Vorgaben für das IT-Notfallmanagement festzulegen und daraus Notfallpläne abzuleiten. Die Notfallpläne der IT sind mindestens jährlich durch Notfalltests zu überprüfen.

 

Besonders hebt die BaFin das Thema Informationssicherheit erneut hervor und ergänzt bestehende Regelungen um zahlreiche neue Vorgaben zur operativen IT Security. Die laufende Identifikation von Risiken für den Informationsverbund steht hier im Vordergrund, die BaFin setzt dabei auf regelbasierte Methoden, um Angriffe und Bedrohungen frühzeitig zu erkennen. Die Institute sollen so in die Lage versetzt werden, frühzeitig auf eine neue Bedrohungslage reagieren zu können. Es ist auffällig, dass ebenso zahlreiche Anforderungen resultierend aus Prüfungsfeststellungen der Vergangenheit in die Neuregelungen der BAIT eingeflossen sind. So fordert die Aufsicht strenge IT-Sicherheitsmaßnahmen wie Segmentierung von Netzwerken und Einführung eines mehrstufigen Schutzes vor Datenverlusten.

Auch das Thema Kundenbeziehung mit Zahlungsdienstnutzern hat die BaFin aus Europa übernommen. Die Bafin stellt die Beziehung des Zahlungsdienstleisters mit seinen Zahlungsdienstnutzern heraus und fordert hier ein aktives Management der Kundenbeziehung. So ist der Zahlungsdienstleister dazu angehalten seine Nutzer hinsichtlich der möglichen Gefahren und Risiken zu sensibilisieren.

 

Der Schutz von IT-Systemen und Daten ist nicht allein Aufgabe der IT-Verantwortlichen im Institut. Vielmehr betont die BaFin explizit die Gesamtverantwortung der Geschäftsleitung für das Thema Informationssicherheit.

Die Institute werden durch die neuen Vorgaben vor neue Herausforderungen gestellt. Die IT-Prozesse müssen stetig angepasst und weiterentwickelt werden, um den Anforderungen der Aufsicht gerecht zu werden.

Servern Consultancy unterstützt Sie beim Change Management Prozess und ist Ihr Ansprechpartner bei Fragen zu diesem Thema. Unsere praxiserprobte Checkliste gibt Ihnen einen schnellen Überblick zum Reifegrad der IT-Compliance in Ihrem Unternehmen.

Sprechen Sie uns an.


Zum Kontaktformular


Login 

Passwort vergessen?

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.