Freitag, 15. September 2023

Sollmaßnahmenkatalog: von der Anforderung bis zur Umsetzung

Anforderungen aus Tz. 3.6 und Tz. 3.7 BAIT sowie AT 7.2 Tz. 2 MaRisk – mit Verweisen auf VAIT und MaGo, KAIT und KAMaRisk sowie ZAIT

Christopher Uhl, Alexander Beck und Christopher Stahl, Spezialistenteam IT und Bankanwendungsverfahren, AWADO GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

 

I. Einleitung

Der Sollmaßnahmenkatalog ist längst eine verankerte Anforderung im Rahmen der aufsichtsrechtlichen Anforderungen an die Informationstechnologie. So gilt die Anforderung, einen Sollmaßnahmenkatalog zu definieren, nicht nur für Banken, sondern für eine Vielzahl von regulierten Instituten bzw. Gesellschaften (nachfolgend „Institute” genannt). Daher wurde die Anforderung zur Definition eines Sollmaßnahmenkataloges neben den Bankaufsichtlichen Anforderungen an die IT „BAIT“ (Tz. 3.6 BAIT) auch in den Kapitalverwaltungsaufsichtlichen Anforderungen an die IT „KAIT“ (Kapitel 3, Tz. 21 KAIT), Versicherungsaufsichtliche Anforderungen an die IT „VAIT“ (Tz. 3.7 VAIT) sowie zuletzt in den Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten „ZAIT“ (Tz. 3.6 ZAIT) dargelegt. 

Die feste Etablierung in den zuvor genannten Rechtsverordnungen stellt die gleichermaßen wichtige Bedeutung des Sollmaßnahmenkataloges zum Schutz von schützenswerten Vermögenswerten „Schutzobjekt“ dar, die die Aufsicht dem Thema damit beimisst. 

Exemplarisch regelt die BAIT sinngemäß den Sollmaßnahmenkatalog wie folgt: Gemäß Tz. 3.6 BAIT (Kapitel 3, Tz. 21 KAIT, Tz. 3.7 VAIT und Tz. 3.6 ZAIT) hat ein Institut Anforderungen zu definieren, die zur Erreichung des jeweiligen Schutzbedarfs angemessen sind und diese in geeigneter Form zu dokumentierten „Sollmaßnahmenkatalog“. Dieser enthält jedoch lediglich die Anforderungen, nicht jedoch aber deren konkrete Umsetzung.[1] Durch die Sollmaßnahmen wird dadurch ein übergeordneter Charakter gebildet werden: „was ist zu tun“ anstatt zu definieren „wie ist es zu tun“. Weiterhin hat das Institut auf Basis der festgelegten Risikokriterien einen Vergleich der Sollmaßnahmen mit den jeweils umgesetzten Maßnahmen (dem Ist-Zustand) durchzuführen (Tz. 3.7 BAIT).[2] 

 

II. Orientierung an gängigen Standards und weiteren Quellen

Eine Methodik zur Definition der Anforderungen (Sollmaßnahmen) eines Sollmaßnahmenkataloges wird durch die genannten Rechtsverordnungen nicht vorgegeben. In der Methodik bzw. Ausgestaltung der Sollmaßnahmen sind die Institute daher zunächst frei.  [...]
Beitragsnummer: 21952

Weiterlesen?

Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei MeinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "BankPraktiker DIGITAL" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Beitrag teilen:

Produkte zum Thema:

Produkticon
Simulation und Vorbereitung einer Sonderprüfung nach § 44 KWG
Produkticon
Prüfungen nach § 44 KWG und Art. 12 SSM-VO 4. Auflage

119,00 € inkl. 7 %

Beiträge zum Thema:

Beitragsicon
Quishing – Und wieder ein neuer Betrug!

Der Betrug mittels QR-Codes sowie die Folgen des Verwendens von digitalen Helfern eröffnet Betrügern ganz neue Wege, um an Informationen der Nutzer zu kommen

03.02.2025

Beitragsicon
BaFin konsultiert FAQs zur Institutsvergütungsverordnung

Zahlreiche Änderungen im regulatorischen Leitbild führen zu Anpassungsbedarf von Vertragsvereinbarungen, Vergütungsgrundsätzen und Governance-Regeln.

10.07.2024

Beitragsicon
Die Rolle der Revision in Projekten: Chancen und Herausforderungen

Projekte gewinnen in Banken zunehmend an Bedeutung – sei es zur Umsetzung regulatori-scher Anforderungen, zur Optimierung interner Prozesse oder zur Einführun

24.04.2025

Beitragsicon
Revisionsstrategie nach GIAS: Pflicht, Potenzial und Praxisumsetzung

Mit den neuen GIAS rückt die strategische Ausrichtung der Internen Revision in den Mittelpunkt und wird zum wirksamen Führungsinstrument

24.04.2025

Beitragsicon
Die BaFin veröffentlicht Risiken im Fokus der Aufsicht 2025

Die Veröffentlichung „Risiken im Fokus der BaFin“ beschreibt sechs wesentliche Risiken und drei wichtige Trends, die als besonders kritisch betrachtet werden.

13.03.2025

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit dem Tool Matomo aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Matomo.