Feedback

Gepostet am 22. November 2019 von  Norman Nehls, Partner der Severn Consultancy in Regularien

Verschärfte Anforderungen an die IT: Auch Spezialinstitute sind betroffen

Die BAIT konkretisieren die Anforderungen des KWG und der MaRisk. Dabei gibt es auch für Leasing- und Factoringgesellschaften keinen Verhandlungsspielraum.

BAIT konkretisieren bestehende Anforderungen an die IT

Die Informationstechnik stellt die Basisinfrastruktur für sämtliche Prozesse in den Finanzinstituten dar –  ist aber zugleich durch externe Bedrohungen störungsanfälliger denn je. Nicht zuletzt eine Vielzahl von Feststellungen aus internen und externen Prüfungen bestärkten im Jahr 2017 die Finanzaufsicht darin, die Anforderungen an die IT-Organisation von Instituten zu schärfen. Aufbauend auf den MaRisk konkretisieren <link info-center search-center detail-ansicht dokument>die bankaufsichtlichen Anforderungen an die IT (BAIT) den regulatorischen Rahmen für die Nutzung von IT-Services. Die BAIT, die im September 2018 um das Modul 9 (Kritische Infrastrukturen, KRITIS)-ergänzt wurde, stellen konkrete Anforderungen an die IT-Strategie und IT-Governance, das Informationsrisikomanagement, Informationssicherheitsmanagement, Benutzerberechtigungsmanagement, IT-Projekte und Anwendungsentwicklung einschließlich individueller Datenverarbeitung, IT-Betrieb (inkl. Datensicherung) und Auslagerungen - sonstiger Fremdbezug von IT-Dienstleistungen mit inbegriffen.

Kein Verhandlungsspielraum bei der Anwendung der BAIT

Aufgrund der spezialisierten Geschäftsmodelle von Leasing- und Factoringgesellschaften stellen sich verantwortliche Geschäftsleiter und Compliance-Verantwortliche häufig die Frage, ob ihre Organisationen überhaupt in den Regelungsbereich dieser doch umfänglichen IT-Anforderungen fallen. Die BaFin betont hingegen, dass die BAIT analog zur MaRisk die gesetzlichen Anforderungen des § 25a Abs. 1 Satz 3 Nr. 4 und 5 <link info-center search-center detail-ansicht dokument>KWG interpretieren. Darin wird auch von Spezialinstituten eine angemessene technisch-organisatorischen Ausstattung der IT-Systeme und besondere Berücksichtigung der Anforderungen an die Informationssicherheit verstanden. Sofern IT-Services durch Dritte bezogen werden, gilt hier analog § 25b KWG.

Mit Anwendung der BAIT verfolgt die Aufsicht das zentrale Ziel, das IT-Risikobewusstsein in allen Instituten und insbesondere auf Management-Ebene zu schärfen. Dies alles gilt auch für Leasing- und Factoringinstitute, zumal die IT auch dort eine zunehmende Bedeutung einnimmt.

Maßnahmen sind auf die konkrete Risikosituation abzustellen

Bei der Anwendung der BAIT werden allerdings Erleichterungen im Rahmen des Proportionalitätsgrundsatzes – das heißt bezogen auf die konkreten Risiken im Institut - gewährt.  Etablierte Best-Practice-Ansätze und standardisierte IT-Lösungen unterstützen dabei die Einhaltung dieser regulatorischen Anforderungen und halten Umsetzungsaufwände im vertretbaren Ausmaß. Gleichwohl zeigen die Erfahrungen, dass die Kosten für die Behebung von Feststellungen und bei Sicherheitsvorfällen steigen, sofern Mängel in der Umsetzung der Informationsrisiko- und Sicherheitsanforderungen zu Tage treten.

Checklisten ermitteln schnell Ihren Handlungsbedarf

Severn Consultancy und ORO Services  unterstützen Sie gerne mit erprobten Checklisten und Beratungsdienstleistungen in der Umsetzung der BAIT. Sprechen Sie uns einfach an!


Kontakt aufnehmen


Login 



Passwort vergessen?

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.