Erste Praxis- und Prüfungserfahrungen in der Umsetzung von Bankaufsichtlichen Anforderungen an die IT (BAIT).
Mehmet Aydogdu, CISO und Syndikusrechtsanwalt, (Zertifizierter Information Security Officer), China Construction Bank Niederlassung Frankfurt
Marco Eichel, Deputy Information Security Officer (Zertifizierter Information Security Officer), China Construction Bank Niederlassung Frankfurt
I. Ausgangspunkt der BAIT und dessen Rechtsnatur
Mit dem Rundschreiben 10/2017 (BA) vom 03.11.2017 (in der Fassung vom 14.09.2018 erschien das neue Modul 9. KRITIS) sind die „Bankaufsichtlichen Anforderungen an die IT“, auch BAIT genannt, veröffentlicht worden. Wie die Mindestanforderungen an das Riskomanagement der Banken (MaRisk), deren neueste Fassung am 27.10.2017 kurz davor in Kraft getreten ist, interpretieren auch die BAIT die gesetzlichen Anforderungen des § 25a Abs.1 S. 3 Nr. 4 und 5 KWG. Die Bankenaufsicht erläutert darin, was sie unter einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme, unter besonderer Berücksichtigung der Anforderungen an die Informationssicherheit sowie eines angemessenen Notfallkonzeptes, versteht. Da die Institute vermehrt IT-Dienstleistungen von Dritten beziehen, sowohl im Rahmen von Auslagerungen als auch durch den sonstigen Fremdbezug von IT-Dienstleistungen, wird auch der § 25b KWG in diese Interpretation nunmehr einbezogen. [...]
Beitragsnummer: 1174