Dienstag, 14. September 2021

Neue BAIT: Anforderungen und erste Praxisimplikationen

Regulatorische Klarstellungen und Konkretisierungen durch die BAIT-Novelle

Ralf Kluge, Senior IT-Auditor/-Consultant, AWADO GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft[1]

I.          Einleitung

Mit dem Rundschreiben (RS) 10/2017 hatte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Bankaufsichtlichen Anforderungen an die IT (BAIT) erstmalig als Verwaltungsanweisung im Jahr 2017 veröffentlicht[2], um den Geschäftsleitungen der Kreditinstitute die Erwartungshaltung der Bankenaufsicht hinsichtlich der sicheren Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse sowie der diesbezüglichen Anforderungen an die IT-Governance transparent zu machen. 

Die BAIT sind laut dem BaFin-Anschreiben an die Verbände der Kreditwirtschaft der zentrale Baustein für die IT-Aufsicht im deutschen Bankensektor. Sie interpretieren die Anforderungen des § 25a Abs. 1 Kreditwesengesetz (KWG) sowie des § 25b KWG und konkretisieren die in den Mindestanforderungen an das Risikomanagement (MaRisk) enthaltenen Anforderungen in Bezug auf die IT. 

Die BAIT basieren, wie die MaRisk, auf dem Prinzip der doppelten Proportionalität[3]. Das heißt, bei der Umsetzung und Prüfung der Anforderungen sind Art, Umfang, Komplexität und Risikogehalt der IT-gestützten Geschäftsaktivitäten zu berücksichtigen. Es handelt sich bei ihnen um normeninterpretierende Verwaltungsvorschriften, die eine Selbstbindung der deutschen Aufsicht gegenüber den relevanten Instituten darstellen. 

Am 14.09.2018 hatte die BaFin eine aktualisierte Fassung der BAIT mit einem zusätzlichen Abschnitt zum Thema „Kritische Infrastrukturen“ veröffentlicht[4]. Ansonsten waren die Inhalte gegenüber der ursprünglichen Fassung aus 2017 unverändert. 

Am 26.10.2020 hatte die BaFin die Entwürfe der Novellen der BAIT sowie MaRisk in ein öffentliches Konsultationsverfahren überführt. Stellungnahmen zu den Entwürfen, die der Deutschen Bundesbank sowie der BaFin bis zum 23.11.2020 (BAIT) bzw. 04.12.2020 (MaRisk) schriftlich mitgeteilt werden konnten, wurden auf den jeweiligen Websites veröffentlicht.

Die Novellierung der BAIT in der Fassung vom 16.08.2021 wurde nach der öffentlichen Konsultation des RS BAIT (13/2020) vom 27.10.2020[5] abgeschlossen und mit geänderten BaFin RS 10/2017 (BA) in der neuen Fassung vom 16.08.2021[6] gegenüber der früheren Fassung aus dem Jahr 2018 veröffentlicht. 

Mit dem RS werden die Anforderungen der Europäischen Bankenaufsichtsbehörde (EBA) aus den Leitlinien für das Management der Informations- und Kommunikationstechnologien (IKT) und Sicherheitsrisiken aus 2019[7] umgesetzt. Darüber hinaus sind Erfahrungen aus der Aufsichtspraxis in die Überarbeitung eingeflossen. In ihrem Verbändeanschreiben zur Veröffentlichung der BAIT hat die Aufsicht darauf hingewiesen, dass die neuen BAIT mit ihrer Veröffentlichung (sofort) in Kraft treten und Übergangsfristen für die Neuerungen der BAIT nicht notwendig sind, da es sich bei den Neuerungen um Konkretisierungen bereits bestehender Anforderungen und nicht um grundlegend neue Anforderungen handelt. 

Die Anforderungen der neuen BAIT gelten nicht nur für alle Kredit- und Finanzdienstleistungsinstitute, sondern auch für Zahlungs- und E-Geld-Institute einschließlich der Institute i. S. d. § 53 Abs. 1 des KWG bzw. § 42 des Zahlungsdiensteaufsichtsgesetzes (ZAG). Die BAIT wurden zusammen mit der MaRisk-Novelle 2021[8] und den neuen zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)[9] veröffentlicht. Mit den novellierten BAIT in Verbindung mit den MaRisk werden die ZAIT für Zahlungs- und E-Geld-Institute jedoch bereits komplett abgedeckt, so dass sich für Banken daraus keine weiteren Anforderungen ergeben.

Die neuen BAIT gelten auch für die Zweigniederlassungen deutscher Institute im Ausland. Auf Zweig-niederlassungen von Unternehmen mit Sitz in einem anderen Staat des Europäischen Wirtschaftsraums nach § 53b KWG bzw. § 39 ZAG finden sie keine Anwendung. Soweit die neuen BAIT auf Be-stimmungen der MaRisk verweisen, sind diese auch durch Zahlungsinstitute und E-Geld-Institute an-zuwenden. Dasselbe gilt für die Anforderungen gem. AT 4.4.3 i. V. m. BT 2.3 und BT 2.5 der MaRisk.

II.        Neue bankaufsichtliche Anforderungen der BAIT (i. d. F. vom 16.08.2021)

Die aktuell gültige Fassung der BAIT konkretisiert die parallel in Kraft gesetzten neuen Anforderungen gemäß MaRisk-Novelle. So werden die BAIT um die Kapitel „IT-Notfallmanagement“ sowie „Operative Informationssicherheit“ ergänzt, dessen Anforderungen im Wesentlichen technische Verfahren und die IT-Security umfassen. Hierbei können insbesondere die Anforderungen an das Schwachstellenmanagement, die Netzwerksegmentierung, die Härtung von IT-Systemen sowie an die Verschlüsselung einen wesentlichen Aufwandstreiber darstellen, weil diese Themen in manchen Instituten ggf. noch nicht vollumfänglich umgesetzt sind. 

Des Weiteren erfolgen in den bestehenden BAIT-Kapiteln Konkretisierungen sowie Ergänzungen von Anforderungen auf Basis der europäischen Regelwerke (z. B. EBA-Guidelines), die auch schon in der bestehenden Prüfungspraxis (z. B. bei Sonderprüfungen nach § 44 KWG) angewandt werden und deren Umsetzung durch die Bankenaufsicht bereits vorausgesetzt wird.  [...]
Beitragsnummer: 18273

Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr

aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Produkte zum Thema:

Produkticon
Prüfung NEUE BAIT

790,00 € exkl. 19 %

18.10.2021

Produkticon
Neue BAIT Spezial: IT-Strategie & IT-Governance

299,00 € exkl. 19 %

30.11.2021

Beiträge zum Thema:

Beitragsicon
BAIT 2.0 – Neufassung der Vorgaben für IT vom 16.08.2021

Die BaFin hat die BAIT überarbeitet und um neue Kapitel ergänzt. Damit rücken die IT-Risiken noch stärker als bisher in den Fokus der Bankenaufsicht.

17.09.2021

Beitragsicon
MaRisk 7.0 – Umfassende Analyse der Änderungen und kritische Würdigung

In den MaRisk 7.0 sind wesentliche Neuerungen in den Bereichen NPL (Non Performing Loans), Auslagerungen, Kreditprozesse und Notfallmanagement zu verzeichnen.

30.08.2021

Beitragsicon
Drahtseilakt durch steigende regulatorische Sicherheitsanforderungen

Überblick über neue Anforderungen aus den Novellen von BAIT, MaRisk und DORA bezüglich der Umsetzbarkeit in Finanzinstituten

11.08.2021


Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.