Zunehmende Digitalisierung und ein signifikanter Anstieg des Online-Geschäfts rücken nun auch die bereits regulierten Zahlungsdienstleister in den Fokus der BaFin-Sicherheitsbestrebungen. Spätestens seit der Veröffentlichung des Entwurfs der überarbeiteten BAIT erwarteten alle beteiligten Akteure das neue Regelwerk der BaFin für Zahlungsdienstleister: Die Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT).
Am 12. April 2021 veröffentlichte die BaFin nun einen ersten Entwurf der ZAIT und stellt diesen der Fachwelt für ca. 4 Wochen zur Konsultation. Wir haben gemeinsam mit unseren Security Experten Kerstin Ritter und Dr. Christian Schwartz die Konsultationsfassung für Sie unter die Lupe genommen:
Die Anforderungen der ZAIT sind nicht komplett neu.
Die Anforderungen an die IT gelten für Zahlungsinstitute und E-Geld-Institute, das heißt für alle unter § 1 Abs. 3 des Zahlungsdiensteaufsichtsgesetzes (ZAG) beschriebenen Institute. Dabei werden bestehende IT-Anforderungen aus dem ZAG konkretisiert und Anforderungen aus den Leitlinien der European Banking Authority (EBA) zu Informations- und Kommunikationstechnologie und Sicherheitsrisikomanagement sowie Auslagerungen aufgegriffen.
Die Kapitel und Anforderungen des Regelwerks basieren sehr stark auf dem bereits veröffentlichten Entwurf der aktuellen BAIT Novelle (Bankenaufsichtliche Anforderungen an die IT), enthalten aber auch einige Neuerungen. Wie bei allen Regularien der BaFin ist auch bei der ZAIT zu beachten, dass diese Anforderungen nicht abschließend sind. Das bedeutet, dass Umfang und Tiefe der umgesetzten Sicherheitsmaßnahmen von den vorliegenden Geschäftsprozessen und Risiken abhängen und gegebenenfalls um weiterführende Maßnahmen ergänzt werden müssen. Bei der Ausgestaltung bezieht sich die ZAIT daher auf weitere gängige Standards der IT-Security, wie den PCI DSS, den IT-Grundschutz des BSI und die Normen der ISO/IEC 27000-Reihe.
Die Konsultationsfassung der ZAIT bietet auch für Banken und Versicherungsgesellschaften einen interessanten Ausblick darauf, welche Anforderungen in zukünftigen Fassungen von MaRisk, BAIT und VAIT enthalten sein könnten. Beispielsweise war in der Novelle der BAIT der Inhalt des Kapitels 11 „Management der Beziehungen mit Zahlungsdienstnutzern“ noch nicht vorhanden. Dort wurde bislang auf die Veröffentlichung der ZAIT verwiesen.
Erster Schritt: Anforderungen der ZAIT mit Ist-Zustand im Unternehmen vergleichen
Aus Erfahrung rechnen unsere Experten damit, dass die Anforderungen mit Veröffentlichung der endgültigen Fassung ohne Umsetzungsfrist in Kraft treten werden. Dies hat den Grund, dass es sich aus Sicht der BaFin um eine Konkretisierung bereits bestehender Anforderungen handelt. Sobald die finalen ZAIT in Kraft treten, greifen sie auch für zukünftige Prüfungen der betroffenen Institute, wie beispielsweise die Jahresabschlussprüfung. Zudem können von der BaFin regulierte Kunden dieser Institute einen Umsetzungsnachweis der ZAIT fordern, um eigene Compliance-Vorgaben zu erfüllen.
Kerstin Ritter rät ihren Kunden, Ruhe zu bewahren: „Der erste sinnvolle Schritt für betroffene Institute ist zunächst eine Bewertung des Ist-Zustands auf Basis der vorliegenden Konsultationsfassung. Von den identifizierten Abweichungen sollten sie sich dann die systemischen Abweichungen als erste vornehmen. Eine weitere wichtige Maßnahme ist der Aufbau eines formalisierten Informationsrisikomanagements. Mein persönlicher Erfolgstipp für Ihr Projekt: Beziehen Sie von Anfang an alle Stakeholder, besonders die beteiligten Fachabteilungen im Unternehmen, mit ein.“
„Nach Abschluss dieser ersten Analyse sollten Unternehmen alle Geschäftsprozesse aus Informationssicherheitsperspektive bewerten und die Ergebnisse in einen Informationsverbund einfließen lassen“, empfiehlt Dr. Christian Schwartz Instituten, die neu von der ZAIT betroffen sind. „Besonders, wenn man noch ganz am Anfang eines solchen Harmonisierungsprojekts steht, sollte man sich einen erfahrenen Projektpartner mit Kenntnissen der Finanzbranche, der Payment Industry und IT-Security ins Boot holen. Mein Team und ich freuen uns sehr darauf, Instituten mit unserer vielfältigen Expertise und unserem Erfahrungsschatz an Best Practices aus Projekten zur Harmonisierung verwandter Regularien wie BAIT, VAIT oder KAIT zur Seite zu stehen.“
Sie benötigen Unterstützung bei der Ist-Analyse oder einem Harmonisierungsprojekt in Ihrem Unternehmen? Sprechen Sie uns gerne an!
- Update (Oktober 2021) -
Nach der Veröffentlichung der finalen Fassung der ZAIT durch die BaFin am 16.08.2021 betrachteten unsere Experten für Informationssicherheit im Finanzwesen, Felix Schmidt und Dr. Christian Schwartz, am 21.09.2021 im Rahmen des Live-Webinars "Sind Sie bereit für die ZAIT?" die wichtigsten Anforderungen und mögliche nächste Schritte. Die Aufzeichnung des einstündigen Webinars hier für Sie: