Novellierung der Bankaufsichtlichen Anforderungen an die IT
Am 16. August 2021 wurden die überarbeiteten „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) im Rundschreiben der BaFin veröffentlicht. Das Rundschreiben setzt die „Guidelines on security measures for operational and security risks under the PSD2” und die „Guidelines on ICT and security risk management” der EBA auf nationaler Ebene um. Parallel dazu wurden auch die „Mindestanforderungen an das Risikomanagement“ (MaRisk) sowie die „Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E‑Geld-Instituten“ (ZAIT) novelliert.
Verschärfte Anforderungen für Kreditinstitute
Mit der Novellierung der BAIT werden Kreditinstitute vor neue und verschärfte Anforderungen gestellt. Insbesondere gibt es drei neue Kapitel.
Eine wesentliche Änderung ist die verstärkte Berücksichtigung der operativen IT-Sicherheit. Mit einem eigenen und neuen Kapitel rückt diese weiter in den Mittelpunkt. Die Umsetzung der dort formulierten Anforderungen verlangt praktisch den Betrieb eines Security Information and Event Management Systems (SIEM). Das umfasst auch die Einrichtung und den Betrieb eines Security Operations Centers (SOC). Operativ sind regelmäßige Überprüfungen durchzuführen, wie z.B. Abweichungsanalysen („Gapanalysen“), Schwachstellenscans, Penetrationstests und die Simulation von Angriffen („Red Teaming“). Die neuen Anforderungen münden im Aufbau einer professionellen Cyber-Security-Infrastruktur und umfangreicher, unabhängiger interner Informationssicherheitsstrukturen.
Weiterhin erhält auch das IT-Notfallmanagement ein eigenes, neues Kapitel. In diesem werden die Anforderungen mit denen aus Abschnitt AT 7.3 der MaRisk konsolidiert, um einheitliche nationale Vorgaben zu erhalten. Außerdem werden die Vorgaben hinsichtlich der Notfallplanung und –vorsorge, BCM, Desaster Recovery sowie die Backupstrategien, auch unter Einbeziehung von Dienstleistern, verschärft bzw. präzisiert.
Das dritte neue Kapitel ist das Kapitel zum Management mit Zahlungsdienstnutzern, welches der novellierten ZAIT entstammt. In diesem werden Anforderungen an Institute beschrieben, um deren Zahlungsdienstnutzer aktiv in Bezug auf sicherheitsrelevante Risiken, insbesondere zum Thema Betrug, zu unterstützen und zu beraten.
Neue Herausforderungen gemeinsam meistern
Die Änderungen stellen die betroffenen Institute vor große Herausforderungen. Das betrifft insbesondere das erforderliche Know-how und die begrenzten Ressourcen auf dem Arbeitsmarkt. Gerne beraten und unterstützen wir Sie bei der Umsetzung der aufsichtsrechtlichen Anforderungen zur Informationssicherheit sowie bei der Erstellung geforderter Nachweise.
