BAIT veröffentlicht – Das Wichtigste auf einen Blick

BAIT veröffentlicht – Das Wichtigste auf einen Blick – Die BAIT wurden am 06.11.2017 mit Rundschreiben 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT(BAIT) veröffentlicht. Hier kommen Sie direkt zur BaFin-Verlautbarung BAIT.

 

BAIT veröffentlicht

Informationssicherheit bekommt gleichen Stellenwert wie Kapitalausstattung und Liquiditätssteuerung

In einer globalisierten Finanzwelt, in der immer mehr Menschen digital bezahlen bzw. Geld transferieren und in der viele Anleger ihre Geldanlage online bestreiten, haben IT-Governance und Informationssicherheit für die Aufsicht inzwischen den gleichen Stellenwert wie die Ausstattung der Institute mit Kapital und Liquidität.

Die Informationstechnik ist die Basisinfrastruktur für sämtliche fachlichen, aber auch alle nichtfachlichen Prozesse bei Banken.

 

BAIT nunmehr der zentrale Baustein für die IT-Aufsicht im Bankensektor – BAIT veröffentlicht – Das Wichtigste auf einen Blick

Um Vorständen und Geschäftsführern die Erwartungen der Bankenaufsicht hinsichtlich der sicheren Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse sowie die diesbezüglichen Anforderungen an die IT-Governance transparent zu machen, hat die BaFin nun Bankaufsichtliche Anforderungen an die IT (BAIT) veröffentlicht.

Keine Umsetzungsfrist. Die BAIT sind ab sofort in Kraft und nunmehr zentraler Baustein für die IT-Aufsicht über den Bankensektor in Deutschland.

Wie die Mindestanforderungen an das Risikomanagement der Banken (MaRisk), deren neueste Fassung die BaFin Ende Oktober veröffentlicht hat, interpretieren auch die BAIT die gesetzlichen Anforderungen des § 25a Absatz 1 Satz 3 Nr. 4 und 5 Kreditwesengesetz (KWG).

Die Aufsicht erläutert mit den MaRisk, was sie unter einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme versteht. Dabei werden die Anforderungen an die Informationssicherheit sowie an ein angemessenes Notfallkonzept berücksichtigt. Da die Institute zunehmend IT-Dienstleistungen von Dritten beziehen, wird auch der § 25b KWG in diese Interpretation einbezogen und präzisiert. Schnittstellen zu den aufsichtsrechtlichen Anforderungen an Auslagerungen sind auch berücksichtigt.

Soweit auf dezidierte Textziffern der MaRisk referenziert wird, sind diese in einer Gesamtschau mit den einschlägigen Textziffern in den BAIT anzuwenden. Die übrigen Textziffern der MaRisk bleiben unberührt. Dies gilt insbesondere für die Anwendung von AT7.3 MaRisk (Notfallkonzept).

Die modulare Struktur der BAIT eröffnet die notwendige Flexibilität für künftig erforderliche Anpassungen oder Ergänzungen. des Gesamtwerks. Derzeit werden beispielsweise Anpassungen im Hinblick auf die Umsetzung der „G7 – Fundamental Elements of Cybersecurity“ geprüft.

Die Unternehmen bleiben auch jenseits der Konkretisierungen in diesem Rundschreiben gemäß § 25a Abs. 1 Satz 3 Nr. 4 KWG i. V. m. AT 7.2 Tz. 2 MaRisk verpflichtet, bei der Ausgestaltung der IT-Systeme und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen. Zu diesen zählen beispielsweise die IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik und der internationale Sicherheitsstandard ISO/IEC 2700X der International Organization for Standardization.

 

IT-Sicherheitsgesetz – Modul Kritische Infrastruktur ist in Vorbereitung – BAIT veröffentlicht – Das Wichtigste auf einen Blick

In Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik wird ebenfalls geprüft, ein spezielles Modul „Kritische Infrastrukturen“ zu erarbeiten und in die BAIT zu überführen. Dies soll ausschließlich für die Kritis-Betreiber des Sektors Finanz- und Versicherungswesen im Sinne des § 2 Abs. 10 BSI-Gesetz die notwendigen Anforderungen beinhalten, um den einschlägigen Vorgaben des BSI-Gesetzes nachzukommen.

 

BAIT veröffentlicht – Das Wichtigste auf einen Blick

Die BAIT umfassen Regelungen zu folgenden Schwerpunkten:

  1. IT-Strategie
  2. IT-Governance
  3. Informationsrisikomanagement
  4. Informationssicherheitsmanagement
  5. Benutzerberechtigungsmanagement
  6. IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
  7. IT-Betrieb (inkl. Datensicherung)
  8. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

 

BAIT – IT-Strategie – BAIT veröffentlicht – Das Wichtigste auf einen Blick

Die Geschäftsleitung hat eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen. Mindestinhalte der IT-Strategie sind:

  1. a) Strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation des Instituts sowie der Auslagerungen von IT-Dienstleistungen
  2. b) Zuordnung der gängigen Standards, an denen sich das Institut orientiert, auf die Bereiche der IT
  3. c) Zuständigkeiten und Einbindung der Informationssicherheit in die Organisation
  4. d) Strategische Entwicklung der IT-Architektur
  5. e) Aussagen zum Notfallmanagement unter Berücksichtigung der IT-Belange
  6. f) Aussagen zu den in den Fachbereichen selbst betriebenen bzw. entwickelten IT-Systemen (Hardware- und Software-Komponenten)

 

BAIT – IT-Governance – BAIT veröffentlicht – Das Wichtigste auf einen Blick

Die IT-Governance ist die Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse auf Basis der IT-Strategie.

Hierfür maßgeblich sind insbesondere die Regelungen zur IT-Aufbau- und IT-Ablauforganisation (vgl. AT 4.3.1 MaRisk), zum Informationsrisiko- sowie Informationssicherheitsmanagement (vgl. AT 4.3.2 MaRisk, AT 7.2 Tzn. 2 und 4 MaRisk), zur quantitativ und qualitativ angemessenen Personalausstattung der IT (vgl. AT 7.1 MaRisk) sowie zum Umfang und zur Qualität der technisch-organisatorischen Ausstattung (vgl. AT 7.2 Tz. 1 MaRisk).

Regelungen für die IT-Aufbau- und IT-Ablauforganisation sind bei Veränderungen der Aktivitäten und Prozesse zeitnah anzupassen (vgl. AT 5 Tzn. 1 und 2 MaRisk).

BAIT veröffentlicht
Markiert in:         

Kommentare sind geschlossen.