05.05.2021: ZAIT, dass sich was ändert – BaFin konsultiert Rundschreiben

Wertpapierkurs Börse

Am 12.04.2021 eröffnete die BaFin die Konsultation zum Rundschreiben „Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten - ZAIT" (Konsultation 03/2021). Damit werden die IT-Anforderungen dieser Institute, auch FinTechs genannt, konkretisiert. Laut BaFin orientieren sich die Anforderungen sehr nah an den bereits existierenden IT-Anforderungen für Banken (BAIT). Zudem beinhalten sie insbesondere die EBA-Anforderungen aus den Leitlinien für Informations- und Kommunikationstechnik (IKT) und Sicherheitsrisikomanagement (GL/2017/17) sowie den EBA-Leitlinien zu Auslagerungen (GL/2019/02). Ebenso wurden laut BaFin die diskutierten Änderungen zu den Rundschreiben der MaRisk und der BAIT, soweit möglich, berücksichtigt.

Für die Implementierung der Vorgaben, der Gestaltung der IT-Systeme sowie den IT-Prozessen, die sich aus der ZAIT ergeben, soll das Proportionalitätsprinzip Anwendung finden. Das heißt, die jeweiligen Risiken des Instituts sind maßgeblich.

Folgende Punkte werden u.a. in der ZAIT aufgegriffen:

  1. IT-Strategie:
    Die Geschäftsleitung muss eine konsistente IT-Strategie definieren und Sorge für die Umsetzung tragen. In der ZAIT werden die Mindestinhalte der Strategie aufgezeigt. In der IT-Strategie müssen Ziele und Maßnahmen zur Erreichung der festgelegten Ziele festgehalten sein. Ebenso muss die IT-Strategie regelmäßig und anlassbezogen überprüft werden.
  2. IT-Governance:
    Die IT-Governance soll die Struktur zur Steuerung, Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme sowie -Prozesse auf Basis der IT-Strategie vorgeben.
  3. Informationsrisikomanagement:
    Die Informationsverarbeitung und -weitergabe in den Geschäfts- und Serviceprozessen soll durch datenverarbeitende IT-Systeme und dazugehörige IT-Prozesse des Instituts unterstützt werden. Es sollen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sichergestellt werden. Aus den betriebsinternen Erfordernissen ergeben sich hierfür Qualität und Umfang. Institute müssen hierfür angemessene Überwachungs- und Steuerungsprozesse einrichten und diesbezügliche Berichtspflichten definieren.
  4. Informationssicherheitsmanagement:
    Das Informationssicherheitsmanagement soll Vorgaben zur Informationssicherheit machen und die Prozesse definieren. Ebenso soll sie deren Umsetzung, den fortlaufenden Prozess der Phasenplanung, die Erfolgskontrolle, Optimierung und Ver-besserung steuern. Umgesetzt werden sollen die Anforderungen des Informationssicherheitsmanagements mit der Operativen Informationssicherheit.
  5. Identitäts- und Rechtemanagement:
    Bei jedem Institut muss ein Identitäts- und Rechtemanagement eingerichtet sein. Hier muss sichergestellt werden, dass den Benutzern eingeräumte Berechtigungen so gestaltet sind und genutzt werden, wie es den Vorgaben des Instituts entspricht.
  6. IT-Projekte und Anwendungsentwicklung:
    IT-Projekte, die eine Auswirkung auf den IT-Aufbau und -Ablauf haben, müssen mit einer Auswertungsanalyse bewertet werden.
  7. Notfallmanagement:
    Institute müssen Ziele zum Notfallmanagement definieren und einen daraus abgeleiteten Notfallmanagementprozess festlegen. Dabei muss für zeitkritische Aktivitäten und Prozesse Vorsorge getroffen werden (z.B. dass nach Ablauf einer gewissen Zeit ein nicht mehr akzeptabler Schaden entsteht).
  8. Management der Beziehungen mit Zahlungsdienstnutzern:
    Die in §53 ZAG geforderte Risikominderungsmaßnahmen zur Beherrschung der operationellen und sicherheitsrelevanten Risiken beinhalten auch Maßnahmen mit denen die Zahlungsdienstnutzer für die Reduzierung direkt adressiert werden.
  9. Kritische Infrastrukturen:
    Es müssen angemessene Vorkehrungen zur Gewährleistung von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Informationsbearbeitung von den Instituten getroffen werden.

Bis zum 14. Mai 2021 wird der aktuelle Entwurf der ZAIT zur Diskussion gestellt.

Auch wenn es nach der Konsultation noch zu Änderungen kommen kann, so ist davon auszugehen, dass die meisten Anforderungen von den Zahlungs- und E-Geld-Instituten umgesetzt werden muss. Bisher ist keine Umsetzungsfrist im Entwurf genannt.

Quelle: BaFin

Weiterführende Informationen

PfeilKonsultation BaFin


 

Ansprechpartner

Janine Otto

Janine Otto
Consultant

Kontakt


 

Zurück