Article

Verschärfte Anforderungen an die IT und geplante Novellierungen der MaRisk und BAIT

IT-Regulierung der Banken wird verschärft

Die fortschreitende Digitalisierung beeinflusst unseren Alltag, unser Kommunikationsverhalten sowie die Vernetzung von Märkten, Unternehmen und Kunden. Auch im Bankgeschäft wenden sich Kunden viel flexibler als bislang dem besten Angebot zu und erwarten neue Dienstleistungen, wie sie es aus anderen Lebensbereichen gewohnt sind.

Diese rasante Entwicklung von Finanztechnologie gekoppelt mit der steigenden Digitalisierung stehen vor allem die IT-Systeme und IT-Infrastruktur der Banken und Finanzdienstleistungsinstituten im Fokus. Nicht zuletzt durch COVID-19 hat sich gezeigt, dass die digitale Neuausrichtung aus der heutigen Welt nicht mehr wegzudenken sind und diese zunehmend an Bedeutung gewinnt.

Auch die nationalen und internationalen Finanzaufsichtsbehörden reagieren und erhöhen drastisch die Anforderungen an die Sicherheit der IT-Systeme und das IT-Risikomanagement im Finanzsektor. So ist eine Überarbeitung der bestehenden „Mindestanforderungen an das Risikomanagement (MaRisk)“ sowie der „Bankaufsichtlichen Anforderungen an die IT (BAIT)“ durch die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für 2020 bzw. 2021 geplant. Des Weiteren hat Zzuletzt hat die European Banking Authority (EBA) die „EBA Guidelines on ICT and security risk management“ am 29.11.2019 veröffentlicht, welche  ebenfalls Anforderungen an die IT- und Informationssicherheit definieren.  

Die Anforderungen für Banken an deren IT werden aktuell insbesondere durch die BAIT in der Fassung vom 14.09.2018 geregelt und bestehen aus acht Modulen zu Themen rund um die IT und ein ergänzendes Modul für die Betreiber von „Kritischen Infrastrukturen“. Die genannten „EBA Guidelines on ICT and security risk management“ definieren in Teilen über die BAIT hinausgehende Anforderungen an die IT. 

Neben erweiterten Anforderungen auf europäischer Ebene, haben sich auch im Markt selbst einige Bewegungen ergeben. So haben sich beispielsweise neue Akteure etabliert, die sich rund um das Thema Zahlungsdienstleistung spezialisiert haben, aber bisher nicht unter die Regulierung fallen. 

Mit der nächsten Novellierung der MaRisk und der BAIT möchte die BaFin auf die rasante Entwicklung reagieren und die Anforderungen erweitern sowie konkretisieren. In diesem Zusammenhang soll die Bedeutung des Informationsverbundes geschärft und die BAIT um Inhalte zum „IT-Notfallmanagement“ und der „Operativen IT-Sicherheit“ gegebenenfalls detailliert und erweitert werden. Auch durch die „EBA Guidelines on ICT and security risk management“ stellen in diesem Kontext erweiterte Anforderungen an die Institute. 

Details Informationsverbund

Für die Steuerung der Informationssicherheitsrisiken ist ein vollständiger Blick auf die IT-Assets (Informationsverbund) erforderlich. Der Informationsverbund beinhaltet die Zusammenführung von Informationen und Abhängigkeiten über Daten, Systeme und IT-Komponenten in Abhängigkeit zu den Geschäftsprozessen und steht damit besonders im Fokus von Aufsicht und Prüfern. Waren bisher insbesondere die IT-Systeme und IT–-Prozesse im Mittelpunkt, wird voraussichtlich verdeutlicht werden, dass die Anforderungen an die IT, insbesondere zur Sicherstellung der Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit von Informationen, sich auf alle Bestandteile des Informationsverbundes beziehen.

Deloitte unterstützt Sie beim Aufbau eines Informationsverbunds unter Berücksichtigung der regulatorischen Anforderungen und unter Einbeziehung von Best Practice Ansätzen. Gerne entwickeln wir gemeinsam mit Ihnen eine toolgestützte Lösung zur Komplexitätsreduktion, mit der Möglichkeit
zum regelmäßigen oder anlassbezogenen Reporting. Mit dem Informationsverbund schafft Ihr Haus die Grundlage für eine sachgerechte Steuerung der Risiken und ermöglicht eine regulatorisch geforderte gesamtheitliche Sicht auf alle IT-Assets.

Details IT-Sicherheit

Vorgaben hinsichtlich der IT-Sicherheit ließen sich bisher insbesondere aus den Vorgaben der BAIT zum Informationssicherheitsmanagement ableiten - Aussagen zur Operationalisierung dieser Vorgaben bestanden bisher nur implizit. Da die neuen EBA Guidelines hier jedoch deutlich konkreter werden und unter anderem Vorgaben für Schwachstellen- und Penetrationstests, Systemhärtung und zur Netzwerksicherheit machen, ist auch in diesem Bereich mit einer deutlichen Erweiterung und Konkretisierung der Anforderungen an die Umsetzung der IT-Sicherheit zu rechnen.

Details Notfallmanagement

Das Thema Business Continuity Management und insbesondere das IT-Notfallmanagement steht schon länger im Fokus der Aufsicht und wurde bisher nur sehr unkonkret durch die MaRisk beschrieben. Nachdem die EBA Guidelines dem BCM ein eigenes Kapitel spendierten, ist davon auszugehen, dass auch die BAIT um Inhalte hinsichtlich des BCMs bzw. IT-Notfallmanagements erweitert werden. Umfassen wird dies voraussichtlich Themen zur Identifizierung notfallrelevanter Prozesse und Ressourcen sowie Vorkehrungen zur Sicherstellung des Geschäftsbetriebes bei Eintreten eines Notfalls und Vorgaben zur Übungen und Verprobung der definierten Vorkehrungen.

Unsere Deloitte Experten unterstützen Sie gerne bei der Konzeption und Implementierung eines Business Continuity Managements in Form eines steuerbaren Management Systems unter der Berücksichtigung gängiger Standards, um den aktuellen regulatorischen Anforderungen weiterhin gerecht zu werden.

Strengere Anforderungen an die IT!

Insgesamt lässt sich festhalten, dass sich die zunehmenden Digitalisierungen im Bankensektor auch auf die regulatorischen Anforderungen an die IT auswirkt. Dies wird sich in der in der Überarbeitung der MaRisk und der BAIT niederschlagen. 

Damit Sie diesen Herausforderungen angemessen begegnen können, unterstützt Deloitte mit seinen Experten, um mögliche Handlungsbedarfe in Ihrem Haus frühzeitig zu ermitteln. Als erfahrene Prüfer und Berater von Banken entwerfen wir mit Ihnen den notwendigen Umfang und Tiefe der erforderlichen Maßnahmen.

Durch die Teilnahme am sog. “IT Roundtable” bzgl. der BAIT  verfügt Deloitte über umfassende Kenntnisse, Einblicke und Erfahrungen über IT-Compliance Regularien und setzt diese gezielt bei der Umsetzung der Maßnahmen ein. Für die ständige Vertiefung der Expertise betreibt Deloitte das Banking Union Centre Frankfurt (BUCF), das sich in einem europäischen Netzwerk von Experten mit regulatorischen Fragestellungen befasst und einen engen Austausch mit den Aufsichtsbehörden pflegt. Deloitte ist Ihr Partner für die Umsetzung von regulatorischen Fragestellungen.

Die Autoren

Stephan Erb
Partner | Risk Advisory
steperb@deloitte.de

Jano Koslowski
Director | Consulting
jkoslowski@deloitte.de

Wolfgang Raudaschl
Senior Manager | Consulting
wraudaschl@deloitte.de

Isabelle Hahn
Manager | Consulting
ihahn@deloitte.de

Lukas Gumbrecht
Senior Consultant | Risk Advisory
lgumbrecht@deloitte.de

 



Fanden Sie diese Information hilfreich?