Bankaufsichtliche Anforderungen an die IT (BAIT): Die 7 wichtigsten Fragen

24. Februar 2023

Digitalisierung verändert die Finanzwelt – für Kunden, besonders aber auch für Banken und deren Prozesse. Gleichzeitig nehmen die Risiken für Institute immer mehr zu. Europäische und nationale Aufsichten reagieren daher mit Neufassungen und Updates zahlreicher regulatorischer Anforderungen zur Absicherung der IT. Diese sollen die Institute als fundamentalen Baustein des Finanzwesens absichern und ihre Widerstandskraft gegen Cyberangriffe stärken.

Eines dieser verbindlichen Regelwerke sind die „Bankaufsichtliche Anforderungen an die IT“, bereits 2017 veröffentlicht und seither bereits zweimal aktualisiert, um sie an die fortschreitende Digitalisierung anzupassen. Das Rundschreiben der BaFin enthält konkrete Anforderungen, die Kreditinstitute und Finanzdienstleister in Deutschland in Bezug auf ihre Informationssicherheit umsetzen müssen.

Fragen und Antworten

Um Ihnen eine erste Übersicht und einen schnellen Einstieg in das Thema zu ermöglichen, beantworten wir Ihnen in diesem Beitrag die 7 wichtigsten Fragen zu den BAIT:

  1. Was sind die BAIT?
  2. Warum bedurfte es einer weiteren Regulatorik für Banken?
  3. Wer fällt unter den Geltungsbereich der BAIT?
  4. Was sind die Anforderungen der BAIT?
  5. Welche Auswirkungen haben die BAIT auf die Prozesse im Unternehmen?
  6. Wie wird die Einhaltung der BAIT überprüft?
  7. Wie startet man bestmöglich in die Umsetzung der BAIT?

1. Was sind die BAIT?

Bei den Bankaufsichtlichen Anforderungen an die IT (kurz BAIT) handelt es sich um ein Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (kurz BaFin), welches die Erwartungshaltung der Aufsicht in Bezug auf die IT-Sicherheit von Banken durch konkrete Anforderungen transparenter und nachvollziehbarer gemacht hat. Die Anforderungen der BAIT enthalten einen adaptiven und praxisorientierten Rahmen für die technisch-organisatorische Gestaltung der IT, mit einem besonderen Fokus auf das Management von IT-Ressourcen und auf das Informationsrisikomanagement.

2. Warum bedurfte es einer weiteren Regulatorik für Banken?

Der §25a Kreditwesengesetz (KWG) enthält bereits Anforderungen zu organisatorischen Pflichten in Bezug auf das Risikomanagement und die Einrichtung interner Kontrollen. Allerdings ließen diese zu viel Raum für Interpretationen. Mit MaRisk, den Mindestanforderungen an das Risikomanagement, konkretisierte die BaFin diese Anforderungen. Allerdings beschäftigen sich die MaRisk vordergründig mit dem Schwerpunkt Risikomanagement. Anforderungen an die IT, wie beispielsweise Vorgaben zur Anwendungsentwicklung, zum Informationssicherheitsmanagement oder zum Rechtemanagement, werden dort nicht ausreichend behandelt. Somit bestand der Bedarf nach einem weiteren Rundschreiben mit ähnlicher Rolle, aber weiterer Konkretisierung der Erwartungshaltung der BaFin: Den Bankaufsichtlichen Anforderungen an die IT.  

3. Wer fällt unter den Geltungsbereich der BAIT?

Die BAIT richten sich an Kreditinstitute und Finanzdienstleister in Deutschland. Da die Compliance-Anforderungen für solche Institute immer weiter steigen, ist es eine attraktive und oft genutzte Praxis, digitale Prozesse an Dienstleister auszulagern. Die BAIT sehen deshalb vor, dass für Dienstleister und Partner die gleichen Anforderungen gelten wie für die Banken selbst.

4. Was sind die Anforderungen der BAIT?

Die BAIT kombinieren die Anforderungen des Kreditwesengesetzes mit den Anforderungen aus den EBA-Leitlinien für IKT und Sicherheitsrisikomanagement. Somit erhalten die Institute mit den BAIT einen Praxisrahmen für das Management und den Betrieb ihrer IT sowie für die sichere Zusammenarbeit mit Dienstleistern:

BAIT Anforderungsbereiche usd AG

Hier finden Sie die ausführlichen Bankaufsichtlichen Anforderungen an die IT.

BAIT und KRITIS

Als Säulen des Finanzsektors mit hoher gesellschaftliche Relevanz zählen viele Banken ebenfalls zu den Kritischen Infrastrukturen. Bestimmte Schwellenwerte regeln, ob eine Bank als Kritische Infrastruktur gilt. Ist dies der Fall, greift Kapitel 12 der BAIT "Kritische Infrastrukturen" und das Institut wird zudem noch durch die KRITIS-Verordnung und das IT-Sicherheitsgesetz reguliert.

Kapitel 12 "ergänzt [...] die bankaufsichtlichen Anforderungen an die IT um Anforderungen an die wirksame Umsetzung besonderer Maßnahmen zum Erreichen des KRITIS-Schutzziels. Als KRITIS-Schutzziel wird nachfolgend das Bewahren der Versorgungssicherheit der Gesellschaft mit den in § 7 BSI-Kritisverordnung genannten kritischen Dienstleistungen (Bargeldversorgung, kartengestützter Zahlungsverkehr, konventioneller Zahlungsverkehr sowie Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften) verstanden, da deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen könnte." (BAIT, Kapitel 12.1).

"Die Nachweiserbringung gemäß § 8a Abs. 3 BSIG bzgl. der Einhaltung der Anforderungen gemäß § 8a Abs. 1 BSIG kann im Rahmen der Jahresabschlussprüfung erfolgen." (BAIT, Kapitel 12.5). Dazu muss ein KRITIS-Audit durch einen externen Auditor durchgeführt werden.

5. Welche Auswirkungen haben die BAIT auf die Prozesse im Unternehmen?

Durch die fortschreitende Digitalisierung sind moderne Finanzinstitute ohne IT nicht mehr denkbar. Dies hat Auswirkungen auf die Zusammenarbeit und die Prozesse aller Bereiche des Instituts. Die verschiedenen Aspekte der BAIT spiegeln dies wieder: Von den Anforderungen des Rundschreibens sind nicht ausschließlich die IT-Prozesse, sondern auch unter anderem Prozesse im Informationssicherheitsmanagement, Auslagerungsmanagement und Notfallmanagement betroffen. Eine angemessene und effiziente Umsetzung der BAIT ist demnach ohne Zusammenspiel der IT, der Steuerungs- und Überwachungsfunktionen (2nd Line of Defense) und den Fachbereichen nicht möglich.

Zur Wahrung der Verhältnismäßigkeit folgen die Anforderungen den Ansätzen der Methodenfreiheit und doppelten Proportionalität. Demnach soll die Umsetzung der Anforderungen und die Intensität der Überwachung verhältnismäßig in Bezug auf die Größe, Art und interne Organisation des Instituts sein, sowie die Komplexität und Risikobereitschaft der angebotenen oder geplanten Services und Produkte berücksichtigen. Dies lässt den betroffenen Instituten als auch den beauftragten Beratungsunternehmen einen gewissen Interpretationsspielraum in Bezug auf die Implementierung von Maßnahmen und Prozessen.

6. Wie wird die Einhaltung der BAIT geprüft?

Die BaFin überprüft im Rahmen von bankenaufsichtlichen Sonderprüfungen bei den Instituten, ob die Anforderungen vollständig und korrekt umgesetzt und entsprechend dokumentiert sind. Da die BaFin die BAIT lediglich als Konkretisierung bestehender Anforderungen aus MaRisk und KWG ansieht, erließ die Aufsicht die Anforderungen bei Veröffentlichung ohne entsprechende Umsetzungsfrist. Für die Institute heißt dies nicht, dass sie undefiniert Zeit haben, sie zu implementieren, weil ihnen keine konkrete Frist gesetzt wurde. Die Prüfung durch die BaFin kann jederzeit, mit meist kurzfristiger Ankündigung, erfolgen.

Je nach Prüfungsergebnis und Ausmaß der fehlenden Umsetzung kann die Bankenaufsicht bei einer bevorstehenden Prüfung Geldbußen oder eine Erhöhung des hinterlegten Eigenkapitals fordern oder sogar einen Entzug der Lizenz für das jeweilige Institut aussprechen.

7. Wie startet man bestmöglich in die Umsetzung der BAIT?

Den Anfang sollte bestenfalls immer eine Gap-Analyse bzw. Ist-Analyse der IT-Struktur und aller Dokumentationen, Richtlinien, Vorgaben und Arbeitsanweisungen im Unternehmen bilden. Die daraus abgeleiteten bzw. konkret identifizierten Findings müssen anschließend in einem „Behebungsplan“ unter Berücksichtigung ihrer risikobasierten Priorität und unter Beachtung von Abhängigkeiten bearbeitet werden.

Hierfür sollte zwingend ein Harmonisierungsprojekt aufgesetzt werden, um die Abarbeitung der Feststellungen nachvollziehbar zu machen. Zur Koordination innerhalb des Unternehmens müssen Projektmitarbeiter*innen und zu beteiligende Organisationseinheiten aus dem Unternehmen identifiziert werden. Das ist besonders wichtig, um zu gewährleisten, dass die beschlossenen Maßnahmen auch im Unternehmen umsetzbar und ausreichende Ressourcen für Abstimmung und Implementierung vorhanden sind.


Sie haben weitere Fragen oder benötigen Unterstützung bei Ihrem Harmonisierungsprojekt mit den BAIT? Kontaktieren Sie uns, wir helfen gern.

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien