Bafin veröffentlicht Digitalisierungsstrategie

Die fortschreitende Digitalisierung, sowie das Phänomen „Big Data und Artificial Intelligence“ (BDAI)“ haben große Auswirkungen auf die Finanzmärkte und verändern diese zusehend. Um sicherzustellen, dass trotz der derzeitigen großen Veränderungen das Vertrauen in die Funktionsfähigkeit, Stabilität und Integrität des Finanzmarktes gewährleistet bleibt, hat sich die BaFin im August 2018 eine Digitalisierungsstrategie gegeben und diese am 26.02.2019 veröffentlicht.

In der Digitalisierungsstrategie definiert die BaFin drei Handlungsfelder in der drei Grundfragen gestellt werden:

  1. Handlungsfeld „Aufsicht und Regulierung“ Wie ist aufsichtlich und regulatorisch mit den Marktveränderungen umzugehen, die durch die Digitalisierung ausgelöst werden?
  2. Handlungsfeld „IT-Aufsicht und -Sicherheit” Wie kann die BaFin sicherstellen, dass die innovativen Technologien und IT-Systeme sowie Daten, die bei den beaufsichtigten Unternehmen genutzt werden, sicher sind?
  3. Handlungsfeld „Transformation der BaFin“ Wie muss sich die BaFin angesichts der fortschreitenden Digitalisierung weiterentwickeln – intern und an den Schnittstellen zum Markt?

Pro Handlungsfeld wird die Ausgangslage skizziert, werden übergreifende Ziele definiert, der Status Quo (was hat die BaFin im Handlungsfeld erreicht) beschrieben und die nächsten Schritte aufgezeigt. Im Blog gehen wir pro Handlungsfeld auf die geplanten nächsten Schritte der BaFin ein und geben so einen Ausblick auf kommende Regulierungsinitiativen der BaFin, welche die Digitalisierung betreffen.

Handlungsfeld 1 „Aufsicht und Regulierung“

Im Bereich „Aufsicht und Regulierung“ zeichnet sich bei nachfolgenden Sachverhalten Änderungsbedarf ab und sind weitere Untersuchungen der BaFin angedacht:

  • Neue Geschäftsmodelle – Durch disruptive technologische Innovationen können neue Geschäftsmodelle entstehen, die bisher nicht erfasst sind und somit regulatorische Erweiterungen nach sich ziehen.
  • Verlagerung von Risiken – Durch die Verlagerung von Risiken bestehender Geschäftsmodelle bspw. durch die Auslagerung von Kernbankprozessen könnten nicht regulierte Marktteilnehmer diese Kundenschnittstelle besetzen. In diesem Zusammenhang ist auch die Frage zu klären, wie beaufsichtigte Unternehmen und deren Geschäftsleitung ihrer Gesamtverantwortung gerecht werden könnten, wenn sie selbst nicht mehr diese Kundenschnittstelle besetzen und daher selbst (nur noch) als ein (Infrastruktur) Anbieter in einem verteilten Wertschöpfungsnetz fungieren.
  • Big Data und Artificial Intelligence – Hier geht die BaFin nochmal auf die Punkte ein, auf die Sie bereits In ihrem Bericht „Big Data trifft auf künstliche Intelligenz – Herausforderungen und Implikationen für Aufsicht und Regulierung von Finanzdienstleistungen“ nennt. Details können in unseren Blog zu diesem Bericht nachgelesen werden.

Handlungsfeld 2 „IT-Aufsicht und IT-Sicherheit“

Die BaFin nennt im Bereich „IT-Aufsicht und IT-Sicherheit u.a. folgende konkrete Schritte bei der Weiterentwicklung der Aufsichtspraxis:

  • BAIT und VAIT – Die BaFin wird die beiden Regelwerke sukzessive zum zentralen IT-Anforderungskatalog für Banken bzw. Versicherungen ausbauen. Exemplarisch hierfür steht das neu integrierte Modul für Betreiber kritischer Infrastrukturen (siehe auch unseren Blog dazu). Darüber hinaus sollen diese zentralen IT-Anforderungskataloge um die internationalen und nationalen Vorgaben zur Gestaltung und Durchführung von Notfalltests (eher technischer Natur) und Cyber-Krisenübungen (organisatorisch-prozessual)erweiter werden.
  • Asset Management – Für die Wertpapieraufsicht prüft die BaFin aktuell, welche Anforderungen für den Bereich des Asset Management zu definieren sind. Eine Umsetzung ist für Mitte 2019 geplant.
  • Cloud-Dienstleistungen – Hier hat die BaFin bereits eine Orientierungshilfe zu den aufsichtlichen Anforderungen an die Nutzung von Cloud-Dienstleistungen veröffentlicht (siehe hierzu unseren Blog).
  • Mehrmandantendienstleister unter Aufsicht? – Die BaFin wird die Fragestellung beleuchten, , ob Mehrmandantendienstleister, die mehr oder weniger standardisierte IT-Dienstleistungen für eine Vielzahl von Instituten und Unternehmen erbringen, der direkten Überwachung der BaFin unterworfen werden sollten. Eine Umsetzung erfolgt voraussichtlich bis Ende 2019.
  • Einführung von Rahmenwerk für kontrolliertes Hacking prüfen – Die Einführung und Fortschreibung eines Rahmenwerks für kontrollierte Cyber-Hacking-Angriffe auf Basis von Threat Intelligence (Threat Intelligence-based Ethical Red Teaming – TIBER) wird durch die BAFin geprüft. Mit kontrollierten Hacking-Angriffen soll zudem die Widerstandsfähigkeit von Finanzmarktakteurengetestet werden. Mitte 2019 sollen die ersten Umsetzungen fertig sein.
  • Objektivierbare Kriterien für API-Lösungen für den Zugang zu Zahlungskonten entwickeln – Im Zuge der weiteren Umsetzung der PSD 2 entwickelt die BaFin präzise und objektivierbare Kriterien zur Beurteilung einer PSD 2 konformen Umsetzung von API-Lösungen für den Zugang zu Zahlungskonten. Ergebnisse dazu werden Mitte 2019 erwartet.

Handlungsfeld 3 „Transformation der BaFin“

Der Bereich „Transformation der BaFin“ beschreibt, wie sich die BaFin als Behörde weiter digitalisieren möchte. Hier werden einige interne Prozesse angesprochen. Des Weiteren sollen aber auch die Aufsichts- und Unterstützungsprozesse digitalisiert werden.

Die BaFin will bestehende elektronische Verfahren weiterentwickeln, vernetzen und in eine serviceorientierte portalbasierte Zielarchitektur integrieren. Es soll eine möglichst medienbruchfreie Arbeit ermöglicht werden – von der Entgegennahme einer Meldung/Information bis hin zum Abschluss des aufsichtlichen Verfahrens. Informationssicherheit und Standardisierung stehen dabei ebenso im Fokus wie die Steigerung der Effizienz. Durch die sukzessive Vernetzung von Daten und Informationen aus unterschiedlichen Geschäftsbereichen will die BaFin neue Möglichkeiten der Auswertungen und Analysen schaffen.

Parallel laufen derzeit in der BaFin einige Projekte, die Verbesserungen in folgenden Bereichen bringen sollen:

  • Verbesserung von Informationsgewinnung und Schnittstellen – Schon heute werden immer größere Datenmengen zwischen Aufsichtsbehörden, Beaufsichtigten und Meldepflichtigen übermittelt. Die BaFin wird die Datenqualität verbessern und den Übertragungsaufwand verringern, indem sie elektronische Schnittstellen etabliert und die Datenübertragung automatisiert.
  • Vorhaben zur Verbesserung der Informationsanalyse – Eine Herausforderung der Zukunft bei der Informationsanalyse wird darin bestehen, auf Basis vorhandener Informationen Muster zu erkennen und weiterführende Fragen zu stellen. Methoden wie Data Mining möchte die BaFin zukünftig einsetzen.
  • Vorhaben zur Verbesserung der Unterstützung von Aufsichtshandlungen – Das Aufgabenspektrum der Finanzaufsicht reicht von Routineverfahren mit hohen Fallzahlen bis hin zu komplexen Einzelmaßnahmen, bei denen große Mengen an Daten und Dokumenten zu bearbeiten sind. In beiden Fällen soll die Digitalisierung dazu beitragen, das Wesentliche im Blick zu behalten.

Fazit

Mit der Digitalisierungsstrategie will die BaFin aufzeigen, wie Sie die Weichen in den drei genannten Handlungsfeldern stellen will und transparent darlegen welche nächsten Schritte sie plant. Es bleibt spannend zu beobachten, wie sich die rasante Fortentwicklung der Digitalisierung in der Regulierung niederschlagen wird. RFC Professionals wird diesen Prozess weiter eng begleiten und über Neuerungen zeitnah informieren. Die Experten von RFC Professionals begleiten seit vielen Jahren die aufsichtsrechtlichen Entwicklungen und unterstützen ihre Kunden bei der erfolgreichen Umsetzung. Ein Schwerpunkt liegt hierbei auf der digitalen Transformation.

Ihre Ansprechpartner erreichen Sie jederzeit gerne per Mail.

Torsten Lindlahr

Torsten Lindlahr

Matthias Oßmann

Matthias Oßmann

Volker Oostendorp

Volker Oostendorp

Dringlichkeit

Umsetzungsaufwand

Auswirkungen