Harmonisierung mit ZAIT
Zahlungsdiensteaufsichtliche Anforderungen an die IT
Die ZAIT richten sich an Zahlungs- und E-Geld-Institute in Deutschland, also an alle unter § 1 Abs. 3 des Zahlungsdiensteaufsichtsgesetzes (ZAG) beschriebenen Institute. Dabei werden bestehende IT-Anforderungen aus dem ZAG konkretisiert und Anforderungen aus den Leitlinien der European Banking Authority (EBA) zu Informations- und Kommunikationstechnologie und Sicherheitsrisikomanagement sowie Auslagerungen aufgegriffen.
Die Anforderungen der ZAIT
Die Kapitel und Anforderungen des Regelwerks orientieren sich stark an der zeitgleich veröffentlichen Novelle der BAIT. Wie bei allen Regularien der BaFin ist auch bei der ZAIT zu beachten, dass diese Anforderungen nicht abschließend sind. Das bedeutet, dass Umfang und Tiefe der umgesetzten Sicherheitsmaßnahmen von den vorliegenden Geschäftsprozessen und Risiken abhängen und gegebenenfalls um weiterführende Maßnahmen ergänzt werden müssen. Bei der Ausgestaltung bezieht sich die ZAIT daher auf weitere gängige Standards der IT-Security, wie den PCI DSS, den IT-Grundschutz des BSI und die Normen der ISO/IEC 27000-Reihe.
Harmonisierung mit den ZAIT: Wie gehen wir vor?
ZAIT Anforderungen verstehen (empfohlen)
Präsentation der Anforderungen an das Institut und Schaffen von Verständnis für die ZAIT in der Organisation in einem ersten Workshop. Im Rahmen der Präsentation werden sowohl die allgemeinen Anforderungen der ZAIT als auch bekannte Risiken, Herausforderungen und Best Practices aus vergleichbaren regulatorisch getriebenen Projekten vorgestellt.
Anforderungen an das Unternehmen bewerten
Identifikation von Maßnahmen zur Harmonisierung mit den ZAIT im Rahmen einer Gap-Analyse. Die Anforderungen beeinflussen die Institute ganzheitlich. Daher ist eine reine Dokumentenprüfung nicht ausreichend, um den Umsetzungsstand der ZAIT-Anforderungen zu erheben. Wir empfehlen daher eine Kombination aus:
- Dokumentenprüfung
- Befragung von Schlüsselpersonal
- Prüfung der Umsetzung
Maßnahmen zur Harmonisierung planen & umsetzen
Durchführung der Harmonisierung mit den ZAIT in einem umfangreichen, auf das Institut ausgerichteten Umsetzungsprojekt. Wir unterstützen Sie hier auf allen Ebenen, von der Definition der Strategie über die Formulierung von Richtlinien bis zur operativen Umsetzung der Anforderungen in der Organisation.
Dabei gehen wir individuell auf die im Rahmen Ihrer Gap-Analyse identifizierten Schwerpunkte ein und begleiten Sie neben der Umsetzung der einzelnen Anforderungen auch beim Changemanagement und der Kommunikation innerhalb des Instituts. Wir unterstützen Finanzinstitute im Rahmen solcher Harmonisierungsprojekte beispielsweise bei:
- Implementierung eines Informationssicherheitsmanagementsystems (ISMS) in Anlehnung an den BSI IT-Grundschutz oder nach dem internationalen Standard ISO 27001
- Anpassung der IT-Governance und des Anwendungsentwicklungsprozesses sowie der Aufbau- und Ablauforganisation der IT
- Implementierung oder Weiterentwicklung eines Business Continuity Management Systems (BCMS) mit Fokus auf das IT-Notfallmanagement
- Unterstützung der Fachbereiche bei der operativen Umsetzung der Anforderungen, beispielsweise der Erstellung notwendiger Dokumentationen und Konzepte
