27.09.2018: BAIT um KRITIS-Modul ergänzt

Keyboard und Schloss

Anfang August 2018 kündigten die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) an, die Bankaufsichtlichen Anforderungen an die IT (BAIT) (näheres hierzu in unserem Beitrag vom 19.12.2017: Die BAIT sind in Kraft getreten – ein Resümee.) um das sogenannte KRITIS-Modul zu erweitern. Nun ist es soweit. Am 14.09.2018 wurden die BAIT in ihrer neuen Fassung veröffentlicht.

Das KRITIS-Modul gilt ausschließlich für Institute, die die BAIT einhalten müssen und gleichzeitig Betreiber Kritischer Infrastrukturen im Sinne des BSI-Gesetzes (BSIG) sind. Gemäß § 7 Absatz 7 BSI-Kritisverordnung (BSI-KritisV) sind im Finanz- und Versicherungssektor Anlagen oder Teile davon als Kritische Infrastrukturen zu werten, wenn sie den im Anhang 6 Teil 3 aufgeführten Kategorien kritischer Dienstleistungen zuzuordnen bzw. für die Erbringung dieser Dienstleistungen erforderlich sind und die angegebenen Schwellenwerte zu den zuvor genannten Kategorien erreichen oder überschreiten. Zu den kritischen Dienstleitungen im Finanzbereich zählen die Bargeldversorgung, der kartengestützte und konventionelle Zahlungsverkehr sowie die Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften.

Das neue KRITIS-Modul in den BAIT enthält Anforderungen, die zusätzlich zu berücksichtigen sind, um das KRITIS-Schutzziel zu erreichen. Als KRITIS-Schutzziel ist das Bewahren der Versorgungssicherheit der Gesellschaft mit den zuvor genannten kritischen Dienstleitungen zu verstehen. Wenn diese Dienstleistungen ausfallen oder beeinträchtigt werden, kann es zu erheblichen Versorgungsengpässen oder gar zur Gefährdung der öffentlichen Sicherheit führen.

Was wird von den Instituten, deren Anlagen als Kritische Infrastruktur eingestuft wurden, gefordert?

Zunächst ist zu betonen, dass es den betroffenen Instituten freisteht, das neue KRITIS-Modul anzuwenden. Alternativ können sie einen unternehmensindividuellen Ansatz verfolgen oder einen branchenspezifischen Sicherheitsstandard (B3S) gemäß § 8a Absatz 2 BSIG erstellen.

Die KRITIS-Betreiber (und im Falle einer Auslagerung ihre IT-Dienstleister) sind angehalten, geeignete organisatorische und technische Maßnahmen zu ergreifen, um die Risiken für den sicheren Betrieb ihrer Kritischen Infrastrukturen zu mindern, wobei der Stand der Technik eingehalten werden soll. Als Orientierungshilfe können einschlägige Standards und Konzepte der Hochverfügbarkeit angewendet werden. Darüber hinaus ist das KRITIS-Schutzziel angefangen bei der Schutzbedarfsermittlung über die Festlegung und Umsetzung geeigneter Maßnahmen bis hin zum Testen passender Notfallvorsorgemaßnahmen stets einzubeziehen. Das gilt insbesondere bei Auslagerungen von Dienstleistungen.

Alle Anforderungen der BAIT sind auf alle Komponenten und Bereiche einer kritischen Dienstleistung anzuwenden. Ferner müssen die kritischen Dienstleistungen angemessen überwacht werden.

Schließlich muss das Institut eine Nachweispflicht erfüllen. Es kann den Nachweis gemäß § 8a Absatz 3 BSIG bzgl. der Einhaltung der Anforderungen nach § 8a Absatz 1 BSIG im Rahmen der Jahresabschlussprüfung erbringen. Die entsprechenden Nachweisdokumente sind fristgerecht alle 2 Jahre beim BSI einzureichen. Neben dem Nachweis im Rahmen der Jahresabschlussprüfung können alternative Möglichkeiten für die Nachweiserbringung in Betracht gezogen werden, z.B. durch Sicherheitsaudits, Prüfungen oder Zertifizierungen.

In ihrem Anschreiben an die betroffenen Institute weist die BaFin darauf hin, dass die Meldepflicht gemäß § 8b Absatz 4 BSIG unverändert einzuhalten ist.

impavidi unterstützt Sie beim Assessment Ihrer IT-Sicherheitsvorkehrungen und begleitet den Prozess zur Vorbereitung des mit Sicherheit anstehenden nächsten Audits.


 

Zurück