Article

Neue Herausforderungen durch die BAIT

BaFin Rundschreiben 10/2017 vom 6. November 2017

Nach längerer Konsultationsphase hat die BaFin am 6. November 2017 ihre „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) veröffentlicht. Mit diesem Rundschreiben formuliert die Aufsicht ihre Erwartungshaltung zu Governance, Prozessen und Systemen in der IT vor dem Hintergrund wachsender Risiken aus der fortschreitenden Digitalisierung, dem starken Trend zur IT-Auslagerung und der unbeständigen Cyber-Bedrohungslage.

Vor den BAIT standen Banken und Finanzinstitute vor dem Problem, dass teilweise nicht ausreichende Klarheit über die Anforderungen an die IT, sowie die technische und organisatorische Ausstattung bestand. Zum einen ergeben sich aus den MaRisk in Bezug auf die IT recht abstrakt und allgemein gehaltene Vorgaben, so dass eine Spezifizierung vielfach gewünscht wurde. Zum anderen hat die Deutsche Bundesbank, gemeinsam mit der BaFin, in vielfältigen Sonderprüfungen eine stabile Erwartungshaltung entwickelt, die allerdings außerhalb dieser Prüfungen nicht verbindlich fixiert oder kommuniziert wurde. Mit den BAIT existiert nun ein Rahmen, der ein wesentlicher und verbindlicher Baustein der IT-Aufsicht sein wird. Dabei wird ein umfassender Bogen von der IT-Strategie und -Governance, über das Informationsrisiko- und Informationssicherheitsmanagement hin zu operativen Themenfeldern (Berechtigungen, Anwendungsentwicklung, Betrieb und Auslagerungen) gespannt.

Da sich – laut Aufsicht – keine neuen Anforderungen, sondern lediglich Anpassungen (s.u.) ergeben und die Formulierungen nur klarstellender Natur sind, sind die BAIT mit Veröffentlichung gültig. Das Anschreiben sieht keine Umsetzungsfristen vor. Entsprechend groß ist das Interesse am Markt. Die Anforderungen der BAIT betreffen alle Institute und ihre IT-Dienstleister auch kleinere Häuser, die bisher wenige Berührungspunkte mit aufsichtsrechtlichen Prüfungen hatten. Somit sind bereits bei den laufenden Jahresabschlussprüfungen die BAIT als Maßstab für die Beurteilung der Angemessenheit der IT heranzuziehen.

Im Vergleich zur Entwurfsfassung ergaben sich keine wesentlichen Änderungen. Die Änderungen betreffen das Informationssicherheitsmanagement und die Anforderungen beim sonstigen Fremdbezug von IT-Dienstleistungen. Die Anforderung, ein Managementsystem für Informationssicherheit zu etablieren, ist weggefallen. Art und Umfang der Risikobewertung für den sonstigen Fremdbezug von IT-Dienstleistungen folgt nun dem Proportionalitätsgedanken. Darüber hinaus wurden die Anforderungen zur Einbeziehung von Informationen über Subunternehmen von IT-Dienstleistern in die Risikobewertung des sonstigen IT-Fremdbezugs sowie zur Steuerung von Verträgen betreffend den sonstigen Fremdbezug von IT-Dienstleistungen gestrichen. Die Anforderungen der BAIT sind analog zu den MaRisk prinzipienorientiert formuliert, umfassen insgesamt acht Themenbereiche und geben einen Rahmen für die Ausgestaltung der IT der Institute vor. Die Vorgaben der MaRisk sowie die allgemeine Verpflichtung, bei der Ausgestaltung der IT-Prozesse und IT-Systeme auf gängige Standards abzustellen, bleiben hiervon unberührt. 

Klicken SIe hier um zum BaFin Rundschreiben 10/2017 zu gelangen 

Ihre Ansprechpartner

Christian Haas                                                         Stephan Erb
Partner | Risk Advisory                                            Partner | Risk Advisory
chaas@deloitte.de                                                    steperb@deloitte.de