Öffentliche Konsultation der BAIT-Novelle 2020

Die BaFin hat am 26.10.2020 ihren bereits in den Fachgremien diskutierten Entwurf zur BAIT-Novelle 2020 (Konsultation 13/2020) bis 23.11.2020 zur öffentlichen Konsultation gestellt. Wir haben über die neue Struktur bereits in unserem Blog berichtet. Eine Finalisierung der BAIT ist für das erste Quartal 2021 geplant.

Die wichtigsten Ziele der BAIT-Novelle sind:

  • Stärkung der Verantwortlichkeiten auf Ebene des Top-Managements (Top-down)
  • Ganzheitlich Betrachtung der Auswirkungen auf alle Komponenten der IT inkl. dem Einbezug aller Dienstleister, wobei mit spezifischen Maßnahmen zielgerichtet auf die jeweiligen individuellen Bedrohungslagen zu reagieren ist.
  • Transparenz zum Umsetzungs-/Wirkungsgrad über regelmäßige Tests/Überprüfungen.

Um die o.g. Aspekte (ganzheitliche Betrachtung und erhöhte Transparenz) gewährleisten zu können, sind eine weiter steigende Automatisierung und Tool-Lösungen erforderlich.

Neue Herausforderungen:

  • IT-Notfallmanagement: Die strategischen Vorgaben für das IT-Notfallmanagement sind aus den Regelungen zum Notfallmanagement (gemäß AT 7.3 MaRisk) abzuleiten (bspw. Mindestumfang und Mindestinhalte von IT-Notfallplänen, Testkonzept und Notfallübungen). Notfalltests für alle zeitkritischen IT-Systeme sind entsprechend der bankindividuellen Bedrohungsszenarien mindestens jährlich durchzuführen. Hierbei sind auch die ausgelagerten Aktivitäten/IT-Ressourcen mit zu berücksichtigen.
  • Operative Informationssicherheit: Regelungen zum Umgang mit sicherheitsrelevanten Ereignissen und der frühzeitigen Identifikation von Gefährdungen des Informations-verbundes (Außen- und Innenabsicherung von Daten und IT-Systemen gegen aktuelle Bedrohungslagen) bilden hier den Schwerpunkt. Die Vorgaben fokussieren damit auf die Überprüfung und Ausweitung von Sicherheitsmaßnahmen (bspw. von Security Information and Event Management [SIEM] und Security Operation Center [SOC]).
  • Zahlungsdienstleister: Hier sollen die in den EBA Guidelines on ICT enthaltenen Anforderungen an das aktive Management der Beziehungen von Zahlungsdienstleistern mit den Zahlungsdienstnutzern in die BAIT integriert werden. Dieses Kapitel wird nach abschließender Behandlung im Rahmen einer separaten Konsultation zur ZAIT in die BAIT aufgenommen werden.

Erhebliche Anpassungen:

  • Klarstellung / Erweiterung der Definition des Informationsverbunds in AT 7.2. MaRisk (parallele Novellierung der MaRisk: Zu einem Informationsverbund gehören bspw. geschäftsrelevante Informationen, Geschäfts- und Unterstützungsprozesse, IT-Systeme und die zugehörigen IT-Prozesse sowie Netz- und Gebäudeinfrastrukturen).
  • Die Änderungen im Informationsrisikomanagement (IRM) und Informationssicherheits-management (ISM) fokussieren auf Kontrollen zur Überprüfung der Angemessenheit und Wirksamkeit (bspw. IRM: Maßnahmen zum Schutz der Informationen und ISM: Wirksamkeit der etablierten Kontrollen).
  • IT-Betrieb: Hier liegt der Themenfokus auf der Vollständigkeit, Transparenz und dem damit einhergehenden Dokumentationsbedarf im Kontext der verwendeten IT-Komponenten. Darüber hinaus sind IT-Prozesse zur Steuerung der Verfügbarkeit der IT-Systeme und IT-Kapazitäten zu prüfen bzw. etablieren.

Punktuelle Anpassungen wurden in den weiteren BAIT-Kapiteln IT-Strategie, Identitäts- und Rechtemanagement, IT-Projekte und Anwendungsentwicklung sowie Auslagerungen und sonstiger IT-Fremdbezug vorgenommen.

Um den resultierenden Aufwand zur Umsetzung der BAIT-Novelle (Maßnahmen und Ressourcen) bestimmen zu können, empfiehlt RFC eine umgehende GAP-Analyse durchzuführen. Diese sollte nicht nur auf die Neuerungen fokussieren, sondern auch den aktuellen Erfüllungsgrad der BAIT ganzheitlich betrachten und mögliche Erkenntnisse aus weiteren Prüfungshandlungen berücksichtigen. Die Bearbeitung der identifizierten GAPs sollte dann basierend auf dem möglichen Risikopotential erfolgen.

Eine Detailanalyse von Abweichungen kann dabei in wenigen Sekunden mit Hilfe des RFC Regulyzers erfolgen. Beispielhaft ist hier das Ergebnis des Abgleichs der BAIT Tz 4.2 (Informationssicherheits-management) zu sehen. Änderungen zum letzten Sachstand der BAIT vom September 2018 sind farblich markiert (Ergänzungen sind grün und Streichungen rot unterlegt):

 

Die Experten von RFC Professionals begleiten ihre Mandanten seit vielen Jahren erfolgreich bei der Umsetzung aufsichtsrechtlicher Anforderungen und Änderungen. Greifen Sie auf unsere umfangreiche Umsetzungserfahrung und unser Benchmark Know-how zurück. Kontaktieren Sie uns gerne per Mail.

Matthias Oßmann

Matthias Oßmann

Sandra Schmolz

Sandra Schmolz

Dringlichkeit

Umsetzungsaufwand

Auswirkungen