BAIT-Novelle 2020

Die BaFin überarbeitet aktuell die letztmalig am 14.09.2018 veröffentlichte Fassung der Bankaufsichtlichen Anforderungen an die IT (BAIT). Ein zweiter Entwurf wurde mit Verbänden und im Rahmen von Fachgremien Anfang Juni 2020 diskutiert. Eine Finalisierung ist noch im Jahr 2020 geplant. Die Anwendung der geänderten Vorgaben inkl. einer möglichen Übergangsfrist ist derzeit noch offen. Im Rahmen der Novelle sollen insbesondere die über die bisherigen Anforderungen hinausgehenden Regelungen der EBA Guidelines on ICT (weitere Informationen auch unter folgendem Link) integriert und auf diesem Weg in nationales Recht umgesetzt werden. Analog zu den EBA Guidelines on ICT sind auch spezifische Anforderungen an Zahlungsdienstleister enthalten.

Die grundlegende Struktur der BAIT ändert sich wie nachfolgend dargestellt:

 

Die dargestellten gelb unterlegten Kapitel werden dabei „neu“ eingeführt.

Wesentliche Änderungen

Der erste Abgleich mit unserem RFC Regulyzer zeigt neben der Aufnahme der drei neuen Kapitel auch Anpassungen insbesondere im Bereich Informationsrisikomanagement und Informationssicherheitsmanagement.

In der folgenden, mit dem RFC Regulyzer erzeugten „Heatmap“ weisen die blauen Bereiche auf die Neuerungen hin. Die gelb dargestellte Linie zeigt die Abschnitte und Regelungsbereiche mit hoher Übereinstimmung und damit (nahezu) unveränderten Textpassagen.

 

Basierend auf den EBA Guidelines on ICT werden mit dem neuen Kapitel IT-Notfallmanagement die Regelungen des AT 7.3 MaRisk um detaillierte Anforderungen zur Ableitung strategischer Vorgaben für das IT-Notfallmanagement sowie Mindestumfang und Mindestinhalten von IT-Notfallplänen, Testkonzept und Notfallübungen deutlich erweitert. Die Notfallpläne für alle zeitkritischen IT-Systeme sind dabei mindestens jährlich durch Notfalltests zu überprüfen.

Der zunehmenden Bedeutung der Informationssicherheit wird über zahlreiche neue Vorgaben – auf Basis der Regelungen in den EBA Guidelines on ICT sowie Erkenntnissen aus Prüfungshandlungen der vergangenen Jahre – im Rahmen des „(teilweise) neuen Kapitels“ operative Informationssicherheit sowie durch Erweiterungen der Kapitels Informationsrisiko- und Informationssicherheitsmanagement Rechnung getragen. Dabei stehen im Rahmen der operativen Informationssicherheit insbesondere Regelungen zum Umgang mit sicherheitsrelevanten Ereignissen und der frühzeitigen Identifikation von Gefährdungen des Informationsverbundes, der regelmäßigen Überprüfung der Sicherheit der IT Systeme sowie zusätzlichen Erläuterungen / Klarstellungen im Vordergrund.

Im Kapitel 3 – Informationsrisikomanagement – erfolgt bspw. eine Konkretisierung und Erweiterung des Informationsverbundes.

Im Informationssicherheitsmanagement sind neue Vorgaben zu den Mindestinhalten einer Informationssicherheits-Leitlinie sowie einer Richtlinie über Test und Überprüfung der Maßnahmen zum Schutz der Informationssicherheit, Anforderungen im Umgang mit wesentlichen Informationssicherheits-Risiken, erweiterten Berichtspflichten bei Informationssicherheitsvorfällen und insbesondere zur Einrichtung laufender Sensibilisierungs- und Schulungsprogramme für Informationssicherheit vorgesehen.

Im Kapitel Kundenbeziehungen mit Zahlungsdienstleistern werden die in den EBA Guidelines on ICT enthaltenen Anforderungen an das aktive Management der Beziehungen des Zahlungsdienstleistern mit den Zahlungsdienstnutzern in die BAIT integriert. Dabei steht die Sensibilisierung hinsichtlich möglicher Gefahren und Risiken im Vordergrund.

Auch in den weiteren Bereichen finden sich viele Erweiterungen und Konkretisierungen, die einen Handlungsbedarf hervorrufen (bspw. sind bereits bestehende schriftlich fixierte Ordnungen und Prozesse anzupassen).

Die Experten von RFC Professionals begleiten ihre Mandanten seit vielen Jahren erfolgreich bei der Umsetzung aufsichtsrechtlicher Anforderungen und Änderungen. Wir sind jederzeit gerne für Sie da! Ihre Ansprechpartner erreichen Sie per Mail.

Matthias Oßmann

Matthias Oßmann

Sandra Schmolz

Sandra Schmolz

Dringlichkeit

Umsetzungsaufwand

Auswirkungen