IT-Risikomanagement gemäß BAIT zum Teil noch unzulänglich

Spätestens mit Veröffentlichung der 5. MaRisk Novelle am 27.10.2017 und der BAIT – Bankaufsichtliche Anforderungen an die IT – am 06.11.2017 hat das Informationsrisikomanagement für Banken erheblich an Bedeutung gewonnen. Gemäß MaRisk AT 7.2 sind für IT-Risiken angemessene Überwachungs- und Steuerungsprozesse einzurichten, die insbesondere die Festlegung von IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleitete Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung entsprechender Maßnahmen zur Risikobehandlung und -minderung umfassen.

In die gleiche Richtung zielen die „Leitlinien für die IKT-Risikobewertung im Rahmen des aufsichtlichen Überprüfungs- und Bewertungsprozesses (SREP)“ der EBA vom 11. Mai 2017. Die Leitlinie erweitert den SREP-Prüfungskatalog, richtet sich primär an die europäischen Aufsichtsbehörden und sind von diesen seit dem 01.01.2018 bei Prüfungen zu beachten. Implizit entfalten die Vorgaben aber Wirkung auf die überwachten Institute und es lassen sich hieraus dedizierte Anforderungen an diese ableiten. Ein Schwerpunkt liegt dabei auf der Bewertung der Wirksamkeit des Information and Communication Technology (ICT) Risikomanagementrahmens und der Verfahren und Kontrollen zur Minderung dieser Risiken. Die EBA teilt die ICT-Risiken in die folgenden fünf Kategorien ein, nach denen sie klassifiziert und schließlich identifiziert, beurteilt und mitigiert werden sollen:

  • ICT Verfügbarkeits- und Kontinuitätsrisiko
  • ICT Sicherheitsrisiko
  • ICT Änderungsrisiko
  • ICT Datenintegritätsrisiko
  • ICT Auslagerungsrisiko

In den BAIT werden die Anforderungen an das Informationsrisikomanagement von Banken in Abschnitt II.3 konkretisiert: Die Institute haben die mit dem Management der Informationsrisiken verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikationswege zu definieren und aufeinander abzustimmen. Hierfür haben sie angemessene Überwachungs- und Steuerungsprozesse einzurichten.

Aus Sicht der Experten von RFC Professionals, die ihre Kunden bei der Umsetzung der BAIT im Rahmen von Gap-Analysen, Prüfungssimulationen und konkreten Implementierungsprojekten unterstützen, stehen gerade mittlere und kleinere Institute beim Thema Informationsrisikomanagement noch am Anfang. In diesem Zusammenhang bieten wir unseren Kunden die folgenden Leistungsbausteine basierend auf ISO 207001, BSI Grundschutzkatalog und Best-Practice-Ansätzen an:

  • Methodik zur Erhebung des Informationsverbunds,
  • Entwicklung der methodischen Grundlagen der Schutzbedarfsanalyse,
  • Erstellung des Soll-Maßnahmenkatalogs,
  • Methodik der Risikoanalyse und Verlinkung der Restrisiken zum operationellen Risikomanagement.

Die Experten von RFC Professionals begleiten seit vielen Jahren effizient und erfolgreich die Implementierung von MaRisk- und IT-Anforderungen sowie Prüfungen bei Banken, unterstützt durch bspw. das RFC-MaRisk / BAIT-Analyse-Tool. Sprechen Sie uns diesbezüglich gerne jederzeit an.


Ihre Ansprechpartner erreichen Sie gerne per Mail.

Volker Oostendorp

Volker
Oostendorp

Matthias Oßmann

Matthias
Oßmann

Dringlichkeit

Umsetzungsaufwand

Auswirkungen