Am 27.09.2023 stellte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Entwurf eines neuen Rundschreibens zur Konsultation: Die Mindestanforderungen an das Risikomanagement von ZAG-Instituten, kurz ZAG-MaRisk.
Welche Institute sind betroffen? Wie reiht sich die ZAG-MaRisk in den bestehenden „Regulatorik-Dschungel“ ein? Welche Anforderungen sind besonders spannend? Wir möchten Informationssicherheitsverantwortliche in den Instituten unterstützen und haben unseren Experten Dr. Christian Schwartz, Managing Security Consultant mit Schwerpunkt auf Informationssicherheit im Finanzwesen, gefragt:
Wer fällt unter die ZAG-MaRisk?
Dieses neue Rundschreiben reguliert alle Institute in Deutschland im Sinne von § 1 Abs. 3 bzw. § 42 Abs. 1 des Zahlungsdiensteaufsichtsgesetzes (ZAG):
„Institute im Sinne dieses Gesetzes sind Zahlungsinstitute und E-Geld-Institute.“
[ZAG, § 1 Abs. 3]
„Unterhält ein Unternehmen mit Sitz außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums eine Zweigstelle im Inland, die Zahlungsdienste erbringt oder das E-Geld-Geschäft betreibt, gilt die Zweigstelle als Institut im Sinne dieses Gesetzes. Unterhält das Unternehmen mehrere Zweigstellen im Inland, gelten diese als ein Institut.“
[ZAG, § 42 Abs. 1]
Auf Zweigniederlassungen von Unternehmen mit Sitz in einem anderen Staat des Europäischen Wirtschaftsraums nach § 39 ZAG finden sie keine Anwendung.
Derzeit werden über 80 Institute von der BaFin nach dem Zahlungsdiensteaufsichtsgesetz (ZAG) reguliert. Dazu zählen Institute für E-Geld-Geschäft sowie klassische Zahlungsdienstleistungen wie Finanztransfer- und Akquisitionsgeschäft.
Welche Anforderungen der ZAG-MaRisk sind für Informationssicherheitsverantwortliche relevant?
Es handelt sich bei diesem Entwurf um die erste Version der ZAG-MaRisk. Das Rundschreiben soll einen flexiblen und praxisnahen Rahmen für die Ausgestaltung einer ordnungsgemäßen Geschäftsorganisation der betroffenen Institute vorgeben.
Durch die Umsetzung der Anforderungen der ZAG-MaRisk soll die Sicherheit der den Instituten anvertrauten Vermögenswerte und die ordnungsgemäße Durchführung der Zahlungsdienst- und E-Geld-Geschäfte sichergestellt werden. Missständen in den Instituten, die zu erheblichen Nachteilen für die Gesamtwirtschaft führen können, soll entgegengewirkt werden.
Grundsätzlich sind natürlich alle Anforderungen und Kapitel der ZAG-MaRisk für Ihr Institut relevant. Betrachten wir sie mit besonderem Fokus auf das Thema Informationssicherheit, können nachfolgende Kapitel ggf. Einfluss auf Ihre Prozesse und Richtlinien haben:
- AT 7.2 Technisch-organisatorische Ausstattung (S. 26-27)
- AT 9 Auslagerung (S. 33-42)
- BTR 1 Operationelle Risiken (S. 49-50)
- BT3 Anforderungen an die Risikoberichtserstattung (S. 60-63)
Wie hängt die ZAG-MaRisk mit den ZAIT zusammen?
Seit 2021 unterliegen Sie den Zahlungsdiensteaufsichtlichen Anforderungen an die IT, kurz ZAIT. An diesen regulatorischen Anforderungen ändert sich für Sie zunächst nichts.
Durch die Einführung der ZAG-MaRisk werden nun die Besonderheiten für Sie als Zahlungs- oder E-Geld-Institut besser berücksichtigt. Während Rundschreiben wie die MaRisk, die KAMaRisk und die MaGo die Mindestanforderungen an das Risikomanagement der anderen Institute regeln und somit Anwendung in den bestehenden Regulatoriken BAIT, KAIT und VAIT fanden, fehlte eine solche Konkretisierung für die ZAIT bislang. Diese verweisen derzeit direkt auf das ZAG. Mit der Veröffentlichung der ZAG-MaRisk ist nun der erste Schritt zur Beseitigung dieses Vakuums erfolgt.
Wir gehen davon aus, dass nach abgeschlossener Konsultation der ZAG-MaRisk ein Update der ZAIT-Version erfolgen wird.
Wie geht es mit der ZAG-MaRisk weiter?
Der aktuelle Entwurf des ZAG-MaRisk Rundschreibens liegt noch bis zum 6. Dezember 2023 der Experten-Community zur Konsultation vor. Die BaFin kündigte an, die eingereichten Stellungnahmen auf ihrer Homepage zu veröffentlichen, um die Transparenz zu erhöhen.
Die wichtigsten Abkürzungen und Akronyme im Überblick
| KWG | Kreditwesengesetz |
| MaRisk | Mindestanforderungen an das Risikomanagement |
| BAIT | Bankaufsichtliche Anforderungen an die IT |
| KAGB | Kapitalanlagegesetzbuch |
| KAMaRisk | Mindestanforderungen an das Risikomanagement von Kapitalverwaltungsgesellschaften |
| KAIT | Kapitalverwaltungsaufsichtliche Anforderungen an die IT |
| VAG | Versicherungsaufsichtsgesetz |
| MaGo | Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen |
| MaGo für EbAV | Aufsichtsrechtliche Mindestanforderungen an die Geschäftsorganisation von Einrichtungen der betrieblichen Altersversorgung |
| MaGo für kleine VU | Mindestanforderungen an die Geschäftsorganisation von kleinen Versicherungsunternehmen |
| VAIT | Versicherungsaufsichtliche Anforderungen an die IT |
| ZAG | Zahlungsdiensteaufsichtsgesetz |
| ZAG-MaRisk | Mindestanforderungen an das Risikomanagement von ZAG-Instituten |
| ZAIT | Zahlungsdiensteaufsichtliche Anforderungen an die IT |
Sie benötigen Unterstützung bei der Implementierung genannter Anforderungen oder bei einem ZAIT-Harmonisierungsprojekt in Ihrem Institut? Sprechen Sie uns gerne an!
