BaFin veröffentlicht finale Fassung der BAIT

Am 06.11.2017 hat die BaFin die finale Version der bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht. Das Rundschreiben 10/2017 (BA) tritt mit seiner Veröffentlichung in Kraft. Da die BAIT aus Sicht der Aufsicht lediglich Klarstellungen ohnehin schon vorhandener Anforderungen und gelebter Prüfungspraxis darstellen, ist keine Umsetzungsfrist vorgesehen. Das Rundschreiben gibt auf der Grundlage des § 25a Abs. 1 des Kreditwesengesetzes einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement – vor. Insoweit sind die BAIT nunmehr der zentrale Baustein für die IT-Aufsicht im Bankensektor in Deutschland.

Vorausgegangen war eine öffentliche Konsultation des Entwurfs vom 23.02.2017. Die Inhalte und daraus resultierenden Handlungsfelder für die Institute hatten wir ausführlich in unserem Point of View dargestellt.

Die finale Fassung weist strukturell und inhaltlich nur wenige Änderungen zum Konsultationsentwurf auf. Im Wesentlichen sind eine Reihe von konstruktiven Lösungsansätzen aus den Diskussionen im Fachgremium IT mit Vertretern der Verbände, der Institute und der Wissenschaft in die Endfassung eingeflossen. Neben Nachschärfungen von Begrifflichkeiten beinhaltet die Endfassung in erster Linie die folgenden Änderungen:

Informationssicherheitsmanagement

Während im Entwurf lediglich kleine Institute die Funktion des Informationssicherheitsbeauftragten grundsätzlich mit anderen Funktionen im Institut kombinieren durften, wurde in der Endfassung diese Einschränkung aufgehoben.

Benutzerberechtigungsmanagement

Das Prinzip der minimalen Rechtevergabe wurde in Anlehnung an die MaRisk durch den Sparsamkeitsgrundsatz (Need-to-know-Prinzip) ersetzt.

Gestrichen wurde die Anforderung, dass die IT-Berechtigungskonzepte regelmäßig (mindestens jährlich) und anlassbezogen zu überprüfen und, soweit erforderlich, anzupassen und umzusetzen sind.

IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)

Es wird im Gegensatz zum Entwurf explizit erwähnt, dass die Ausgestaltung der Prozesse zur Anwendungsentwicklung risikoorientiert zu erfolgen hat.

Darüber hinaus werden nun auch agile Vorgehensweisen dadurch berücksichtigt, dass bei den Beispielen für die Anforderungsdokumente User Stories und Product Back-Logs hinzugefügt wurden. Gestrichen wurde die Anforderung, dass der Quellcode der eigenentwickelten Anwendung für sachkundige Dritte lesbar sowie dessen Struktur nachvollziehbar sein muss.

Die Forderung nach einer angemessenen Versionierung der erstellten Dokumente/Ergebnistypen während und nach der Anwendungsentwicklung wurde durch folgende Erläuterung ersetzt: Zur Nachvollziehbarkeit der Anwendungsentwicklung trägt beispielsweise eine Versionierung des Quellcodes und der Anforderungsdokumente bei.

IT-Betrieb (inkl. Datensicherung)

Die Anforderung, Verfahren zur Wiederherstellbarkeit und zur Lesbarkeit von Datensicherungen regelmäßig, mindestens jährlich, zu testen wurde durch den Zusatz „im Rahmen einer Stichprobe“ abgeschwächt.

Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Die Endfassung der BAIT enthält nun eine Definition von IT Dienstleistungen: IT Dienstleistungen umfassen alle Ausprägungen des Bezugs von IT; dazu zählen insbesondere die Bereitstellung von IT-Systemen, Projekte/Gewerke oder Personalgestellung.

Darüber hinaus wird bei der Steuerung des sonstigen Fremdbezugs von IT-Dienstleistungen stärker auf die Berücksichtigung der Risikobewertung des Instituts eingegangen.

Spätestens jetzt, mit Veröffentlichung der Endfassung der BAIT, sollten Institute ihre Gaps zu den aufsichtsrechtlichen Anforderungen analysieren und mit der Umsetzung der notwendigen Maßnahmen beginnen.

Die Experten von RFC Professionals begleiten seit vielen Jahren effizient und erfolgreich die Implementierung von MaRisk- und IT-Anforderungen bei Banken, unterstützt durch bspw. das RFC-MaRisk / BAIT-Analyse-Tool. Sprechen Sie uns diesbezüglich gerne jederzeit an.


Ihre Ansprechpartner erreichen Sie gerne per Mail.

Volker Oostendorp

Volker
Oostendorp

Matthias Oßmann

Matthias
Oßmann

Dringlichkeit

Umsetzungsaufwand

Auswirkungen