Die BaFin wird die Bankaufsichtlichen Anforderungen an die IT (BAIT) zeitnah um ein Modul zu Kritischen Infrastrukturen im Finanz- und Versicherungswesen ergänzen

Die BaFin hat am 03.08.2018 angekündigt, die BAIT zeitnah um ein spezielles Modul zu Kritischen Infrastrukturen im Finanz- und Versicherungswesen zu ergänzen. Details erarbeitet die BaFin derzeit in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

§ 7 der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung) konkretisiert § 10 Abs. 1 BSI-Gesetz und legt aufgrund der für das Funktionieren des Gemeinwesens kritische Dienstleistungen und damit Kritische Infrastrukturen für das Finanz- und Versicherungswesen wie folgt fest:

  1. die Bargeldversorgung;
  2. der kartengestützte Zahlungsverkehr;
  3. der konventionelle Zahlungsverkehr;
  4. die Verrechnung und die Abwicklung von Wertpapier- und Derivatgeschäften;
  5. Versicherungsdienstleistungen.

Anhang 6 Teil 3 der BSI-Kritisverordnung definiert für die oben aufgeführten Dienstleistungen Anlagekategorien, Bemessungskriterien und Schwellenwerte, ab wann man als Kritische Infrastruktur einzustufen ist. Die Geschäftsleitungen der betroffenen Unternehmen wurden durch die Präsidenten der BaFin und des BSI, in einem Schreiben über die Hintergründe bereits informiert.

§ 8a Abs. 1 BSI-Gesetz fordert dabei von Betreibern Kritischer Infrastrukturen, dass angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse festzulegen sind, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei ist der Stand der Technik entsprechend zu berücksichtigen. Dass die BAIT ergänzende KRITIS-Modul soll dabei detaillieren, welche zusätzlichen Anforderungen zu berücksichtigen sind, um den Nachweis der Erfüllung des § 8a Abs. 1 BSI-Gesetz zu erbringen. Gem. § 8a Abs. 3 BSI-Gesetz ist ein derartiger Nachweis mindestens alle zwei Jahre vorzulegen. Der Nachweis kann dabei grundsätzlich durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen.

Über Details des die BAIT ergänzenden KRITIS-Moduls werden wir nach deren Veröffentlichung entsprechend informieren, ebenso wie über die von der BaFin geplanten Anpassungen zu den Themen IT-Notfallmanagement und Cybersecurity.

Nutzen Sie die Expertise von RFC Professionals. Wir unterstützen unsere Mandanten erfolgreich bei der Analyse und Umsetzung der BAIT. Profitieren Sie dabei auch von unserer regulatorischen Expertise bei der Ausgestaltung von Auslegungs- und Umsetzungsspielräumen. Sprechen Sie uns jederzeit gerne per Mail an!

Weiterführende Details:

BaFin – Publikation: Kritische Infrastrukturen: BaFin wird BAIT um spezielles Modul ergänzen

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG) vom 23. Juni 2017

Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV) vom 21. Juni 2017


Matthias Oßmann

Matthias
Oßmann

Volker Oostendorp

Volker
Oostendorp

Dringlichkeit

Umsetzungsaufwand

Auswirkungen