Finale ZAIT veröffentlicht

Am 16. August 2021 wurde von der BaFin das Rundschreiben „Zahlungsdiensteaufsichtliche Anforderungen an die IT“ (ZAIT) veröffentlicht. Damit werden die Anforderungen an die IT für Zahlungs- und E-Geld-Institute nach dem Zahlungsdiensteaufsichtsgesetz (ZAG) konkretisiert.

Die Vorgaben orientieren sich sehr eng an den „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) sowie den „Mindestanforderungen an das Risikomanagement der Banken“ (MaRisk) und beinhalten insbesondere die EBA Anforderungen aus den EBA Leitlinien für IKT- und Sicherheitsrisikomanagement (EBA GL 2019/04) sowie den EBA-Leitlinien zu Auslagerungen (EBA GL 2019/02). Die Anforderungen sind unmittelbar und ohne Übergangsfristen umzusetzen!

Zur Adressierung der wachsenden Bedrohung durch Cyberrisiken stehen insbesondere die aufsichtlichen Anforderungen an das Informationsrisiko- und Informationssicherheitsmanagement zur Stärkung der IT-Sicherheit im Vordergrund. Dies beinhaltet u.a. die Einrichtung eines wirksamen Risikomanagements zur zeitnahen Erkennung von Sicherheitsvorfällen sowie eine dem aktuellen Stand der Technik entsprechende IT-Ausstattung und regelmäßige Sicherheitsupgrades der Softwareanwendungen zur Vermeidung von IT-Sicherheitslücken.

Von hoher Bedeutung sind zudem die aufsichtlichen Anforderungen an die Auslagerung von IT-Prozessen oder IT-Aktivitäten auf ein anderes Unternehmen sowie die Nutzung von Cloud-Anbietern z.B. zur Abbildung von Geschäftsprozessen oder Datenspeicherung. So müssen die damit verbundenen Risiken analysiert und die Ordnungsmäßigkeit der Ausführung der Dienstleistung regelmäßig überwacht werden.

Die BaFin plant eine Überprüfung der Umsetzung der ZAIT im Rahmen aufsichtlicher IT-Prüfungen. Entsprechende Projekte zur Gap-Analyse und Implementierung der umfangreichen Anforderungen müssen daher schnellstmöglich aufgesetzt und umgesetzt werden.

Die Experten von RFC Professionals begleiten ihre Mandanten seit vielen Jahren erfolgreich bei der Umsetzung aufsichtsrechtlicher Anforderungen. Neben der regulatorischen Expertise verfügen wir über vielfältige Praxiskenntnisse zu Bankprozessen sowie der in den Prozessen eingesetzten IT-Systeme und ihrer Schnittstellen untereinander. Greifen Sie auf unser umfangreiches Umsetzungs- und Benchmark-Know-How bei der Umsetzung der BAIT zurück und kontaktieren Sie und gerne per Mail.

RFC-Veröffentlichungen zur BAIT-Novelle:

Ihre Ansprechpartner:

Matthias Oßmann

Matthias Oßmann

Sandra Schmolz

Sandra Schmolz

Dringlichkeit

Umsetzungsaufwand

Auswirkungen