Feedback

Gepostet am 24. Juni 2021 von  Axel Becker, Senior Manager bei ORO Services GmbH

Die IT-Risiken als Schwerpunktthema im Fokus der aufsichtlichen Prüfungen - die BAIT-Novellierung ist das Top-Thema der Finanzindustrie

Neben der intensiven Prüfung der Adressenausfallrisiken, die Corona-bedingt ansteigen, hat die Aufsicht die IT-Risken als das Fokusthema der bankaufsichtlichen Prüfungen festgelegt.

Hierbei rückt die Novellierung der BAIT und die Umsetzungsaktivitäten klar in den Fokus der Finanzindustrie. Für die Zahlungsdienstleistungsinstitute wurde die neue ZAIT-Konsultation gestartet. Die BAIT sind nach Veröffentlichung sofort und ohne weitere Umsetzungsfrist anzuwenden. Damit stiegt der Umsetzungsdruck.

Mit der geplanten BAIT-Novelle übernimmt die BaFin die Leitlinien der Europäischen Bankenaufsichtsbehörde EBA für das Management von IT- und Sicherheitsrisiken (EBA/GL/2019/ 04) in die BAIT. Verschiedene Kapitel wurden inhaltlich neu strukturiert. Die IT-Regulatorik – welche über die EBA veröffentlicht wurde - ist damit zunehmend auch von den europäischen Mitwettbewerbern einzuhalten.

Weiterentwicklung der IT-Anforderungen

Die aktuelle Fassung der „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) wurde von der BaFin und der Deutschen Bundesbank völlig neu überarbeitet und den aktuellen IT-Erfordernissen der EBA angepasst. In einzelnen Präzisierungen/ Verschärfungen der neuen BAIT sind beobachtete Erkenntnisse aus den zahlreich durchgeführten Sonderprüfungen mit eingeflossen. Da IT-Risiken das Fokusthema der Aufsicht in der Prüfungssaison 2021 wird, ist mit intensiven BAIT-Prüfungen zu rechnen. Gerade die Umsetzung der neuen Anforderungen sowie noch offene IT-Feststellungen aus in- und externen Prüfungen werden hierbei bewertet. Die Cyber-Security und Cloud-Security sind im Blickfeld der Aufseher.

Strukturelle Änderungen in den BAIT

Organisatorisch wurde das frühere Kapitel 5 „Benutzerberechtigungsmanagement“ in die zwei neuen Kapitel 5 „Operative Informationssicherheit“ und Kapitel 6 „Identitäts- und Rechtemanagement“ aufgeteilt. Mit dem Kapitel 10 „IT-Notfallmanagement“ kommt ein neues Kapitel hinzu, welches die Ausführungen der MaRisk zur Notfallplanung ergänzt.

Wesentliche Änderungen beinhalten die neuen Anforderungen an das Informationsrisikomanagement (IRM) mit internen Kontrollen zur Überprüfung der Angemessenheit und Wirksamkeit der Maßnahmen zum Schutz der Informationen, welche zukünftig zu planen und durchzuführen sind.

Das Informationssicherheitsmanagement (ISM) muss in Zukunft unter anderem die Wirksamkeit der bestehenden Kontrollen aus der First-Line-of-Defence, d.h. der operativen Informationssicherheit, nachweisen. Auch für den IT-Betrieb steigen insgesamt die Anforderungen an eine notwendige Transparenz sowie den Dokumentationsbedarf der eingesetzten IT-Komponenten. Weiterhin ist auch die Verbesserung bestehender und die Etablierung zusätzlicher IT-Betriebsprozesse, etwa zur Steuerung von Verfügbarkeit und Kapazitäten, notwendig.

Bezüglich der Kundenbeziehungen mit Zahlungsdienstnutzern wird die Verlautbarung mit den „Zahlungsdienstaufsichtlichen Anforderungen an die IT“ (ZAIT) für die Zahlungsdienste nach § 1 Abs. 1 Satz 2 ZAG aktuell konsultiert. Mit einer finalen und zeitnahen Veröffentlichung ist für 2021 zu rechnen.

BAIT- keine Umsetzungsfrist geplant – schnelle Umsetzung gefordert

Die BAIT sind nach Veröffentlichung sofort und ohne weitere Umsetzungsfrist anzuwenden. Die BaFin begründet das Inkrafttreten ohne Umsetzungsfrist damit, dass grundsätzlich keine neuen Anforderungen an die Institute festgelegt würden, sondern lediglich die „übliche Praxis“ niedergeschrieben werde.

BAIT-Quick-Check – Wirkungsvolle Hilfestellung bei der Umsetzung

Durch die Neuregelungen resultiert für die betroffenen Institute erheblicher Handlungsbedarf in nahezu allen wesentlichen IT-Bereichen der Institute. Um schnell und zuverlässig einen transparenten Überblick über den erforderlichen Anpassungsbedarf aus der BAIT-Novelle zu erhalten, bieten Severn/ORO Services mit dem automatisiertem BAIT Quick-Check einen strukturierten und praxiserprobten Lösungsansatz. Severn/ORO kombinieren dabei fachliche IT-Expertise und methodische Erfahrung – nachgewiesen in zahlreichen Projekten für renommierte Banken und Finanzdienstleistungsgesellschaften.

 

Erfahren Sie mehr über unseren BAIT-Check.

Entstehung, Hintergrund und Ziele besser verstehen

Mit unserem Whitepaper "Rundschreiben zur BAIT-Novelle 2021: Neuerungen der IT-Regulierung“, das sich an alle Banken mit BAIT-Bezug wendet, möchten wir Ihnen das notwendige Rüstzeug für Ihre Umsetzungsfragen an die Hand geben.

Regupedia-Kunden finden das Whitepaper hier

Sind Sie kein Regupedia-Kunde? Dann kontaktieren Sie uns - wir senden Ihnen das Whitepaper kostenlos zu. 


Zum Kontaktformular


Login 

Passwort vergessen?

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.