Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlichte gestern die finale Fassung ihres neusten Rundschreibens: Die Mindestanforderungen an das Risikomanagement von ZAG-Instituten, kurz ZAG-MaRisk. Diese richten sich an alle nach dem ZAG beaufsichtigten Institute in Deutschland.
Während MaRisk, KAMaRisk und MaGo die Mindestanforderungen an das Risikomanagement der anderen Institute regeln, fehlte ein Äquivalent für die Zahlungs- und E-Geld-Institute. Am 27. September 2023 stellte die BaFin daher einen Entwurf dieses neuen Rundschreibens zur Konsultation. Ziel ist es, Anforderungen an ein angemessenes Risikomanagement mit einem möglichst flexiblen und praxisnahen Rahmen zu stellen. Durch die Umsetzung der ZAG-MaRisk soll die Sicherheit der den Instituten anvertrauten Vermögenswerte und die ordnungsgemäße Durchführung der Zahlungsdienst- und E-Geld-Geschäfte sichergestellt werden.
Im Rahmen der Veröffentlichung der Konsultationsfassung letztes Jahr haben wir uns bereits eingehend mit dem neuen Rundschreiben beschäftigt. In einem Blogpost haben wir betrachtet, wer unter die ZAG-MaRisk fällt, wie sie mit den ZAIT zusammenhängt und welche Anforderungen sie bringt. Uns und unsere Kunden interessieren dabei besonders die Kapitel und Abschnitte, die Änderungen an den implementierten Prozessen zur Informationssicherheit regeln:
- AT 7.2 Technisch-organisatorische Ausstattung
- AT 9 Auslagerung
- BTR 1 Operationelle Risiken
- BT 3 Anforderungen an die Risikoberichterstattung
„Alle Informationssicherheitsverantwortliche, die letztes Jahr bereits einen Blick in den Entwurf der ZAG-MaRisk geworfen haben, können aufatmen: Es gibt keine großen Überraschungen. Bis auf wenige sprachliche Änderungen hat sich an den Anforderungen für unser Thema seit der Konsultationsfassung wenig geändert. Jetzt geht es an die Umsetzung, denn die ZAG-MaRisk tritt unmittelbar in Kraft. Prüfen Sie, inwieweit die neuen Anforderungen an das Risikomanagement Ihre Prozesse und Richtlinien beeinflussen. Und wie immer gilt: Wenn Sie Unterstützung brauchen, sind wir mit Rat und Tat an Ihrer Seite.“
Dr. Christian Schwartz, Head of Security in Finance I Security Consulting der usd AG
Sie benötigen Unterstützung bei der Vorbereitung auf oder der Umsetzung der ZAG-MaRisk-Anforderungen? Sprechen Sie uns gerne an!