Finale BAIT ohne Übergangsfrist veröffentlicht

Die BaFin hat am 16.08.2021 die finale Fassung der BAIT-Novelle veröffentlicht. Die geänderten Anforderungen treten mit sofortiger Wirkung in Kraft und sind unmittelbar anzuwenden.

Hierdurch entsteht ein hoher Umsetzungsdruck auf die einzelnen Institute, welcher durch nachfolgende Faktoren verstärkt wird:

  • Aktuelle bankaufsichtliche Sonderprüfungen fokussieren auf IT-/ Cybersicherheit und IT-/ Cyberrisiko Aspekte.
  • Im Rahmen der anstehenden Jahresabschlussprüfungen wird der Wirtschaftsprüfer Aussagen zum jeweiligen BAIT-Umsetzungsstand treffen müssen.

Gegenüber dem letzten Konsultationsstand vom Januar 2021 gibt es keine weiteren nennenswerten Anpassungen.

Die wichtigsten Änderungen gegenüber 2018 betreffen:

  • Definition des Informationsverbundes (im Rahmen der MaRisk),
  • Operative Informationssicherheit (z.B. Anforderungen an die Ausgestaltung von Wirksamkeitskontrollen für bereits umgesetzte Informationssicherheitsmaßnahmen in Form von Tests und Übungen als wesentlicher Bestandteil eines effektiven und nachhaltigen Informationsmanagementsystems),
  • IT-Notfallmanagement (Wiederanlauf-, Notbetriebs- und Wiederherstellungspläne für zeitkritische Prozesse und Aktivitäten mit jährlicher Wirksamkeitsprüfung auf Basis eines IT-Testkonzepts),
  • Informationsrisikomanagement (z.B. Informationen und Risikoanalysen zu externen und internen Bedrohungen und Schwachstellen) und Informationssicherheitsmanagement (z.B. Anforderungen an Logging und Monitoring sowie eine regelbasierte Erkennung und Analyse sicherheitsrelevanter Ereignisse),
  • Ausweitung des Scopes von IT-Sicherheit auf Informationssicherheit und damit den Schutz relevanter Informationen mit Auswirkung auf die Prozesse des Informationssicherheits- und Informationsrisikomanagements verbunden mit der Anforderung eines Programms zur Schulung und Sensibilisierung der Mitarbeiter zur Informationssicherheit sowie
  • Neue Anforderungen in verschiedenen Kapiteln zur Sicherstellung der physischen Sicherheit (z.B. Zutrittskontrollen und Perimeterschutz).

Final integriert wurden auch die Anforderungen an das „Management der Beziehungen mit Zahlungsdienstnutzern“ basierend auf dem zeitgleich von der BaFin veröffentlichten ZAIT-Rundschreiben (ZAIT: „Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geldinstituten“). Die Regelungen beinhalten u.a. Anforderungen an Risikominderungsmaßnahmen zur Beherrschung der operationellen und sicherheitsrelevanten Risiken im Rahmen der Beziehungen mit Zahlungsdienstenutzern.

Um die umfangreichen Anpassungen unmittelbar und effizient bewältigen zu können, bietet Ihnen RFC Professionals einen toolgestützten und prüfungsnahen BAIT-Check an, ergänzt um die Ableitung von Handlungsbedarfen sowie die Erstellung einer Umsetzungsroadmap.

Kritische Erfolgsfaktoren sind neben der regulatorischen Expertise vielfältige Praxiskenntnisse zu Bankprozessen sowie der in den Prozessen eingesetzten IT-Systeme und ihrer Schnittstellen untereinander.

Die Experten von RFC Professionals verfügen über diese kritischen Erfolgsfaktoren sowie ein umfangreiches Umsetzungs- und Benchmark Know-how. Greifen Sie hierauf zurück und kontaktieren Sie uns gerne per Mail.

RFC-Veröffentlichungen im Kontext der BAIT-Novelle:

Link zur finalen BaFin-Veröffentlichung der BAIT

Ihre Ansprechpartner:

Matthias Oßmann

Matthias Oßmann

Sandra Schmolz

Sandra Schmolz

Dringlichkeit

Umsetzungsaufwand

Auswirkungen