19.12.2017: Die BAIT sind in Kraft getreten – ein Resümee.

Keyboard und Schloss

Es ist vollbracht. Mehr als acht Monate sind vergangen, seitdem die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den ersten Entwurf des Rundschreibens zu den bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht hat. In dieser Zeit stand das Papier zur Konsultation und Vertreter aus Kredit-, Immobilienwirtschaft und weiteren Interessenverbänden nutzten die Möglichkeit, Stellung zum Entwurf zu beziehen. In unserem Beitrag „Abschluss der Konsultationsphase zum Rundschreiben „Bankaufsichtliche Anforderungen an die IT“ (BAIT) – ein kurzer Vergleich“ vom 10.07.2017 berichteten wir, welche Bedenken und Änderungswünsche im Hinblick auf die Endfassung geäußert wurden.

Mit dem Rundschreiben zu BAIT wird die Erwartungshaltung der Bankenaufsicht hinsichtlich der sicheren Ausgestaltung der IT-Systeme und zugehöriger IT-Prozesse sowie der Anforderungen an die IT-Governance konkretisiert. Es wird das Ziel verfolgt, dass sich das Bewusstsein der Kreditinstitute in Bezug auf IT-Risiken schärft, insbesondere im Hinblick auf die Auslagerung von IT-Dienstleistungen.

Die BAIT bleiben ein eigenständiges Dokument, sind jedoch in ihrer Anwendung unmittelbar an die Mindestanforderungen an das Risikomanagement der Banken (MaRisk) gebunden, die seit Ende Oktober 2017 nach nunmehr anderthalbjähriger Überarbeitungsphase ebenfalls in ihrer Endfassung veröffentlicht wurden und verbindlich anzuwenden sind. Näheres zur MaRisk Novelle erfahren Sie in unserem Artikel vom 16.11.2017 „MaRisk Novelle 2017: Neue Mindestanforderungen an das Risikomanagement für Kreditinstitute“.

Seit dem 03. November 2017 sind die BAIT von Kredit- und Finanzdienstleistungsinstituten ohne Übergangsfristen verbindlich anzuwenden, sehr zum Bedauern der kommentierenden Verbände, die in ihren Stellungnahmen im Mai 2017 eben jene forderten. Dem wurde mit der Begründung nicht nachgekommen, dass es sich um die Präzisierung bereits bestehender Anforderungen handelt, die sich schon längst in der Umsetzung befinden müssen. Des Weiteren bleibt der Turnus bestehen, in dem die vom Institut zu benennenden Informationssicherheitsbeauftragten der Geschäftsleitung berichten sollen (vgl. II Tz. 19, 23 BAIT).

Was hat sich geändert?

Grundlegende Änderungen hat es im Vergleich zum Konsultationsentwurf erwartungsgemäß nicht gegeben. Jedoch wurden kleinere Anpassungen in der Endfassung primär mit dem Ziel vorgenommen, Fehlinterpretationen vorzubeugen. So wurde beispielsweise die Bedeutung des Prinzips der doppelten Proportionalität durch I Tz. 3 BAIT stärker herausgearbeitet. Es sind Querverweise auf AT 1 und 2.1 MaRisk enthalten. Ferner wurde wunschgemäß die Terminologie für sowohl BAIT als auch MaRisk vereinheitlicht. So ist jetzt zum Beispiel in beiden Rundschreiben im Hinblick auf das Benutzerberechtigungsmanagement von einem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) die Rede (vgl. II Tz. 24 BAIT und AT 4.3.1 Tz. 2 MaRisk). Fehlinterpretationen, die durch redundante Formulierungen verursacht wurden, sind insofern vorgebeugt worden, als dass die betroffenen Textziffern in der Endfassung gebündelt wurden (vgl. II Tz. 13, 40, 54 BAIT).

Weiterhin wurden kleinere Änderungen in Bezug auf die IT-Governance vorgenommen. Hierbei wurde auf Arbeitsanweisungen zu Rollendefinitionen verzichtet. Beim Informationsmanagement muss die Geschäftsleitung nun einer vierteljährlichen Unterrichtungsplicht zur Risikoanalyse nachkommen. Ferner fiel beim Benutzerberechtigungsmanagement die jährliche Prüfungspflicht der Berechtigungskonzepte weg. Bei der Auslagerung und dem sonstigen Fremdbezug von IT-Dienstleistungen wurde eine Definition zu IT-Dienstleistungen eingeführt. Schließlich werden von den Kreditinstituten Exit- bzw. Alternativstrategien für den Ausfall von IT-Dienstleistern gefordert.

Wie geht es weiter?

Wo bisher die Einhaltung der Anforderungen an die IT in Kredit- und Finanzdienstleistungsinstituten anhand von KWG und MaRisk in Verbindung mit den einschlägigen Industriestandards festgestellt wurde, bilden die BAIT nunmehr die zentrale Prüfungsgrundlage für die IT-Aufsicht in den betroffenen Instituten. Jedoch zeichnen sich bereits die ersten Bestrebungen ab, diesen Kanon zu erweitern. Laut BaFin wird derzeit die Möglichkeit geprüft, die Anforderungen speziell an die Betreiber kritischer Infrastrukturen im Finanz- und Versicherungssektor im Sinne des §2 Abs. 10 BSI-Gesetz in Verbindung mit §7 der BSI-KritisV - Verordnung zur Bestimmung Kritischer Infrastrukturen zusammengefasst in einem gesonderten Modul „Kritische Infrastrukturen“ in den BAIT zu verankern. Ferner wird geprüft, die BAIT auf die Umsetzung der „G7 – Fundamental Elements for Effective Assessment of Cybersecurity in the Financial Sector“ hin anzupassen. Hierbei handelt es sich um einen Katalog bestehend aus zehn Grundelementen, die als globaler Mindeststandard bei der Absicherung von IT-Risiken zu betrachten sind und deren Umsetzung dem Finanzsektor angeraten wird.

Inwiefern es zu einer Integration in die BAIT kommt, ist noch offen. Kurzfristig ist mit einer Änderung jedenfalls nicht zu rechnen. Das ist jedoch keineswegs Anlass sich zurückzulehnen. Die mit der Umsetzung verbundenen Herausforderungen werden für die betroffenen Institute in den kommenden Jahren ein ständiger Weggefährte sein.

impavidi unterstützt Sie bei der Identifikation und Analyse möglicher Schwachstellen und begleitet Sie sowohl bei der Implementierung BAIT-konformer Prozesse als auch beim Aufbau einer revisionssicheren Dokumentation. Vertrauen Sie insbesondere in Fragen rund um Auslagerungen auf unsere Expertise.


 

Zurück