Bankaufsichtliche Anforderungen an die IT (BAIT)

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlichte im November 2017 neue Bankaufsichtliche Anforderungen an die IT (BAIT) und brachte damit langerwartete Klarheit in die digitalen Anforderungen der MaRisk. Mit den BAIT erfolgte die Konkretisierung der MaRisk-Themen im Kontext der Informationstechnologie, womit z.B. der IT-Sicherheit und der IT-Governance der gleiche Stellenwert zugeschrieben wird wie Themen der Kapitalausstattung und Liquiditätssteuerung.

Mit der Bekanntgabe der BaFin treten die Anforderungen direkt in Kraft, ohne eine Umsetzungsfrist oder Vorbereitungszeit zu bieten. Dabei konkretisieren die BAIT die gesetzlichen Anforderungen des § 25a Absatz 1 Satz 3 Nr. 4 und 5 Kreditwesengesetz ebenso wie die Mindestanforderungen an das Risikomanagement der Banken. Mit der Anforderung "Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen" der BAIT in Verbindung mit der vermehrten Auslagerung der Aktivitäten und Prozessen von Finanzinstituten wird § 25b des KWGs ebenfalls eine steigende Bedeutung beigemessen.

Dadurch werden sich die Ansprüche an Audits ab 2018 mit sofortiger Wirkung an den BAIT orientieren, woraus sich erneut eine Verschärfung in der Prüfungspraxis ergeben dürfte. Im modularen Aufbau der BAIT sind die Anforderungen an die Informationstechnologie wie folgt zusammengefasst:

Aus den dargestellten Anforderungen ergeben sich unterschiedliche Bedarfs- und Handlungsfelder. In den Abschnitten Governance und Steuerung steigt der Bedarf unter anderem im Hinblick darauf, dass Informationssicherheitssysteme (ISMS) zu implementieren sind, eine Risikoberichterstattung (z. B. nach BCBS 239) aufzubauen ist, sowie IT-Auslagerungen und der Umgang mit individueller Datenverarbeitung detailliert zu regeln sind. Darauf aufbauend folgt die Operationalisierung der Themen in der Aufbauorganisation. Insbesondere entsteht hierbei der Handlungsbedarf, vorhandene IT-Prozesse zu überprüfen, ggf. anzupassen oder neu aufzubauen und durch interne Kontrollsysteme (IKS) auf ihre Wirksamkeit hin zu prüfen. Daraus resultiert in Teilen auch der Bedarf, Anpassungen an der IT-Landschaft vorzunehmen, besonders im Hinblick auf Security-Themen und Datenschutz (DSGVO).

Unternehmen bleiben bei der Ausgestaltung ihrer IT-Systeme und den dazugehörigen IT-Prozessen ebenso dazu verpflichtet, weiterhin die üblichen Standards zu erfüllen. Neben dem IT-Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik zählen dazu die ISO/IEC 27000-Reihe der International Organization for Standardization und der International Electrotechnical Commission (IEC) oder die Prüfungsstandards PS 951.

Der derzeitige Stand der Anforderungen ist jedoch nur eine Momentaufnahme. Eine Weiterentwicklung des modularen Aufbaus der BAIT wurde durch die BaFin bereits bekanntgegeben. Darin stehen Themen, wie Notfallmanagement, BCM oder Cybersecurity (G7 – Fundamental Elements of Cybersecurity) im Fokus. Ferner soll eine Erweiterung in Bezug auf die Internationalisierung erfolgen und die Themen Security measures for operational and security risks der PSD2-Richtlinie und die Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV) behandelt werden.

SKS kann Sie in diesem komplexen und anspruchsvollen Themenfeld unterstützen, indem wir unser umfassendes regulatorisches Prozess-Know-How mit unseren umfangreichen Erfahrungen im Bereich der IT-Prüfung und der Prozessimplementierung kombinieren, z.B.:

  • Quickcheck zur BAIT-Konformität (Umsetzungsempfehlungen und Implementierung)
  • Umsetzung der Informationssicherheit (ISMS) nach BAIT-Anforderungen 
  • BAIT-konforme Anpassung der IT-Prozesse und maßgeschneiderter Aufbau des internen Kontrollsystems (IKS), sowie zugrundeliegender Prozesse mit einer standardisierten Reporting-Struktur
  • Aufbau und Anpassung eines BAIT konformen Berechtigungsmanagements

Unsere umfangreiche Erfahrung in der Implementierung, Optimierung und Prüfung von IT-Prozessen, -Kontrollen und -Organisationen versetzt uns in die Lage die jeweils optimale Lösung für Sie zu finden.