Novellierung der BAIT 2021– Die neuen Anforderungen an Kreditinstitute
Die Novellierung der BAIT für 2021 bedeutet neue Anforderungen für Kreditinstitute. Dagegen steht die BaFin vor der Herausforderung, die Guidelines on security measures for operational and security risks under the PSD2 und die Guidelines on ICT and security risk management der EBA in Deutschland umzusetzen. Das soll mit einer Novellierung der BAIT (Bankaufsichtliche Anforderungen an die IT) bis zum 31. Dezember 2020 abgeschlossen sein. Erste Entwürfe wurden bereits in den Instituten und Verbänden diskutiert und kommentiert.
BAIT 2021 rückt IT-Sicherheit in den Mittelpunkt
Mit einem eigenen und neuen Kapitel rückt die operative IT-Sicherheit weiter in den Mittelpunkt. Die dort formulierten Anforderungen sind nur mit einem Security Information and Event Management Systems (SIEM) zu erfüllen. Das umfasst auch die Einrichtung und den Betrieb eines Security Operations Centers (SOC). Operativ sind regelmäßige Überprüfungen gefordert. Dazu gehören:
- interne Abweichungsanalysen
- Schwachstellenscans
- Penetrationstests
- die Simulation von Angriffen („Red Teaming“)
Die neuen Anforderungen der BAIT 2021 münden im Aufbau einer professionellen Cyber-Security-Infrastruktur. Das bedeutet umfangreiche und von einander unabhängige interne Informationssicherheitsstrukturen.
Die Geschäftsleitung übernimmt die Gesamtverantwortung
Es fällt auf, dass schon der Entwurf nicht nur auf die Verantwortlichkeit der Geschäftsleitung verweist. Der Geschäftsleitung wird sogar die explizite Anerkenntnis der Gesamtverantwortung für die Informationssicherheit abverlangt. Dazu gehören auch die regelmäßige Information über deren Belange und die Entscheidung zum angemessenen Umgang mit Sicherheitsrisiken.
Anforderungen an das IT-Notfallmanagement werden konsolidiert
Weitere Änderungen erwarten wir im Bereich IT-Notfallmanagement. Die Anforderungen aus der BAIT werden mit denen aus Abschnitt AT7.3 der MaRisk konsolidiert. So entstehen einheitliche nationale Vorgaben. Außerdem rechnen wir mit einer Verschärfung und Präzisierung der Vorgaben hinsichtlich der Notfallplanung und –vorsorge, BCM, Desaster Recovery sowie die Backupstrategien. Auch das Outsourcing an Dienstleister wird aus unserer Sicht Gegenstand der Neufassung sein.
Kreditinstitute stehen vor großen Herausforderungen
Nach Einschätzung der SRC-Experten für Banken Compliance werden die zu erwartenden Änderungen die betroffenen Institute vor große Herausforderungen stellen. Das betrifft insbesondere das erforderliche Know-how und die begrenzten Ressourcen auf dem Arbeitsmarkt.