ZAG-MaRisk: Neues Rundschreiben der BaFin für ZAG-Institute

5. Oktober 2023

Am 27.09.2023 stellte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Entwurf eines neuen Rundschreibens zur Konsultation: Die Mindestanforderungen an das Risikomanagement von ZAG-Instituten, kurz ZAG-MaRisk.

Welche Institute sind betroffen? Wie reiht sich die ZAG-MaRisk in den bestehenden „Regulatorik-Dschungel“ ein? Welche Anforderungen sind besonders spannend? Wir möchten Informationssicherheitsverantwortliche in den Instituten unterstützen und haben unseren Experten Dr. Christian Schwartz, Managing Security Consultant mit Schwerpunkt auf Informationssicherheit im Finanzwesen, gefragt:

Wer fällt unter die ZAG-MaRisk?

Dieses neue Rundschreiben reguliert alle Institute in Deutschland im Sinne von § 1 Abs. 3 bzw. § 42 Abs. 1 des Zahlungsdiensteaufsichtsgesetzes (ZAG):

„Institute im Sinne dieses Gesetzes sind Zahlungsinstitute und E-Geld-Institute.“     

[ZAG, § 1 Abs. 3]

„Unterhält ein Unternehmen mit Sitz außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums eine Zweigstelle im Inland, die Zahlungsdienste erbringt oder das E-Geld-Geschäft betreibt, gilt die Zweigstelle als Institut im Sinne dieses Gesetzes. Unterhält das Unternehmen mehrere Zweigstellen im Inland, gelten diese als ein Institut.“

[ZAG, § 42 Abs. 1]

Auf Zweigniederlassungen von Unternehmen mit Sitz in einem anderen Staat des Europäischen Wirtschaftsraums nach § 39 ZAG finden sie keine Anwendung.

Derzeit werden über 80 Institute von der BaFin nach dem Zahlungsdiensteaufsichtsgesetz (ZAG) reguliert. Dazu zählen Institute für E-Geld-Geschäft sowie klassische Zahlungsdienstleistungen wie Finanztransfer- und Akquisitionsgeschäft.

Welche Anforderungen der ZAG-MaRisk sind für Informationssicherheitsverantwortliche relevant?

Es handelt sich bei diesem Entwurf um die erste Version der ZAG-MaRisk. Das Rundschreiben soll einen flexiblen und praxisnahen Rahmen für die Ausgestaltung einer ordnungsgemäßen Geschäftsorganisation der betroffenen Institute vorgeben.

Durch die Umsetzung der Anforderungen der ZAG-MaRisk soll die Sicherheit der den Instituten anvertrauten Vermögenswerte und die ordnungsgemäße Durchführung der Zahlungsdienst- und E-Geld-Geschäfte sichergestellt werden. Missständen in den Instituten, die zu erheblichen Nachteilen für die Gesamtwirtschaft führen können, soll entgegengewirkt werden.

Grundsätzlich sind natürlich alle Anforderungen und Kapitel der ZAG-MaRisk für Ihr Institut relevant. Betrachten wir sie mit besonderem Fokus auf das Thema Informationssicherheit, können nachfolgende Kapitel ggf. Einfluss auf Ihre Prozesse und Richtlinien haben:

  • AT 7.2 Technisch-organisatorische Ausstattung (S. 26-27)
  • AT 9 Auslagerung (S. 33-42)
  • BTR 1 Operationelle Risiken (S. 49-50)
  • BT3 Anforderungen an die Risikoberichtserstattung (S. 60-63)

Wie hängt die ZAG-MaRisk mit den ZAIT zusammen?

Seit 2021 unterliegen Sie den Zahlungsdiensteaufsichtlichen Anforderungen an die IT, kurz ZAIT. An diesen regulatorischen Anforderungen ändert sich für Sie zunächst nichts.

Durch die Einführung der ZAG-MaRisk werden nun die Besonderheiten für Sie als Zahlungs- oder E-Geld-Institut besser berücksichtigt. Während Rundschreiben wie die MaRisk, die KAMaRisk und die MaGo die Mindestanforderungen an das Risikomanagement der anderen Institute regeln und somit Anwendung in den bestehenden Regulatoriken BAIT, KAIT und VAIT fanden, fehlte eine solche Konkretisierung für die ZAIT bislang. Diese verweisen derzeit direkt auf das ZAG. Mit der Veröffentlichung der ZAG-MaRisk ist nun der erste Schritt zur Beseitigung dieses Vakuums erfolgt.

Wir gehen davon aus, dass nach abgeschlossener Konsultation der ZAG-MaRisk ein Update der ZAIT-Version erfolgen wird.

Eigene Darstellung: Zusammenspiel der Gesetze und Regulatoriken im Finanzwesen, Stand Oktober 2023

Wie geht es mit der ZAG-MaRisk weiter?

Der aktuelle Entwurf des ZAG-MaRisk Rundschreibens liegt noch bis zum 6. Dezember 2023 der Experten-Community zur Konsultation vor. Die BaFin kündigte an, die eingereichten Stellungnahmen auf ihrer Homepage zu veröffentlichen, um die Transparenz zu erhöhen.


Die wichtigsten Abkürzungen und Akronyme im Überblick

KWGKreditwesengesetz
MaRiskMindestanforderungen an das Risikomanagement
BAITBankaufsichtliche Anforderungen an die IT
KAGBKapitalanlagegesetzbuch
KAMaRiskMindestanforderungen an das Risikomanagement von Kapitalverwaltungsgesellschaften
KAITKapitalverwaltungsaufsichtliche Anforderungen an die IT
VAGVersicherungsaufsichtsgesetz 
MaGo Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen
MaGo für EbAV Aufsichtsrechtliche Mindestanforderungen an die Geschäftsorganisation von Einrichtungen der betrieblichen Altersversorgung
MaGo für kleine VUMindestanforderungen an die Geschäftsorganisation von kleinen Versicherungsunternehmen
VAITVersicherungsaufsichtliche Anforderungen an die IT
ZAGZahlungsdiensteaufsichtsgesetz
ZAG-MaRiskMindestanforderungen an das Risikomanagement von ZAG-Instituten
ZAITZahlungsdiensteaufsichtliche Anforderungen an die IT

Sie benötigen Unterstützung bei der Implementierung genannter Anforderungen oder bei einem ZAIT-Harmonisierungsprojekt in Ihrem Institut? Sprechen Sie uns gerne an!

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien