ZAG-MaRisk: BaFin veröffentlicht MaRisk für Zahlungs- und E-Geld-Institute

28. Mai 2024

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlichte gestern die finale Fassung ihres neusten Rundschreibens: Die Mindestanforderungen an das Risikomanagement von ZAG-Instituten, kurz ZAG-MaRisk. Diese richten sich an alle nach dem ZAG beaufsichtigten Institute in Deutschland.

Während MaRisk, KAMaRisk und MaGo die Mindestanforderungen an das Risikomanagement der anderen Institute regeln, fehlte ein Äquivalent für die Zahlungs- und E-Geld-Institute. Am 27. September 2023 stellte die BaFin daher einen Entwurf dieses neuen Rundschreibens zur Konsultation. Ziel ist es, Anforderungen an ein angemessenes Risikomanagement mit einem möglichst flexiblen und praxisnahen Rahmen zu stellen. Durch die Umsetzung der ZAG-MaRisk soll die Sicherheit der den Instituten anvertrauten Vermögenswerte und die ordnungsgemäße Durchführung der Zahlungsdienst- und E-Geld-Geschäfte sichergestellt werden.

Im Rahmen der Veröffentlichung der Konsultationsfassung letztes Jahr haben wir uns bereits eingehend mit dem neuen Rundschreiben beschäftigt. In einem Blogpost haben wir betrachtet, wer unter die ZAG-MaRisk fällt, wie sie mit den ZAIT zusammenhängt und welche Anforderungen sie bringt. Uns und unsere Kunden interessieren dabei besonders die Kapitel und Abschnitte, die Änderungen an den implementierten Prozessen zur Informationssicherheit regeln:

  • AT 7.2 Technisch-organisatorische Ausstattung
  • AT 9 Auslagerung
  • BTR 1 Operationelle Risiken
  • BT 3 Anforderungen an die Risikoberichterstattung

„Alle Informationssicherheitsverantwortliche, die letztes Jahr bereits einen Blick in den Entwurf der ZAG-MaRisk geworfen haben, können aufatmen: Es gibt keine großen Überraschungen. Bis auf wenige sprachliche Änderungen hat sich an den Anforderungen für unser Thema seit der Konsultationsfassung wenig geändert. Jetzt geht es an die Umsetzung, denn die ZAG-MaRisk tritt unmittelbar in Kraft. Prüfen Sie, inwieweit die neuen Anforderungen an das Risikomanagement Ihre Prozesse und Richtlinien beeinflussen. Und wie immer gilt: Wenn Sie Unterstützung brauchen, sind wir mit Rat und Tat an Ihrer Seite.“

Dr. Christian Schwartz, Head of Security in Finance I Security Consulting der usd AG

Sie benötigen Unterstützung bei der Vorbereitung auf oder der Umsetzung der ZAG-MaRisk-Anforderungen? Sprechen Sie uns gerne an!

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien