Mit der neu überarbeiteten Fassung der BAIT verschärft die Aufsicht ab dem 16.08.2021 den Handlungsdruck auf Banken- und Finanzdienstleistungsinstitute. Die BaFin hat in ihrem Rundschreiben 10/2017 (BA) vom 06.11.2017 die Bankaufsichtrechtlichen Anforderungen an die IT veröffentlicht und damit die gesetzlichen Anforderungen des § 25a KWG erstmals konkretisiert.
Hintergründe der überarbeiteten Fassung der BAIT
Einer der Hintergründe der Novellierung waren nach dem Wortlaut des BaFin Journals vom August 2021 die Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) vom November 2019. Mit ihren Leitlinien für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04) hatte die EBA seinerzeit auf den FinTech-Aktionsplan der Europäischen Kommission reagiert und für den gesamten Binnenmarkt einheitliche Vorgaben eingeführt: für Kreditinstitute, Wertpapierfirmen und Zahlungsdienstleister. Damit hat die EBA auch den entsprechenden Rahmen für die Aufsichtspraxis der nationalen Aufsichtsbehörden abgesteckt.
Wesentliche Änderungen der BAIT vom 16.08.2021
Die Aufsicht betont in der veröffentlichten überarbeiteten Fassung vom 16.08.2021, dass es keine grundlegenden Änderungen gibt. Jedoch ist die Novelle doch an einigen Stellen erweitert und angepasst worden. Diese Änderungen erhöhen den Handlungsdruck auf Banken und Finanzdienstleistungsinstitute. Folgende Änderungen, die mit der Veröffentlichung am 16.08.2021 in Kraft treten, sind in Zukunft zu berücksichtigen:
1.) Wirksamkeitskontrolle von IT-Systemen
Zwar haben sich mit den Neureglungen keine grundlegenden Änderungen ergeben, an einigen Stellen wurden die aufsichtsrechtlichen Vorgaben erweitert und angepasst. Beispielsweise formuliert die Aufsicht Anforderungen an die Ausgestaltung von Wirksamkeitskontrollen. Die Institute müssen ihre IT-Systeme regelmäßig und anlassbezogen kontrollieren. Diesbezüglich dürften Personen, die an der Konzeption und Umsetzung von Sicherheitsmaßnahmen beteiligt waren, diese zum Beispiel im Anschluss nicht prüfen. Aus den Ergebnissen der Wirksamkeitskontrollen sind Verbesserungsbedarf zu identifizieren und Risiken angemessen zu steuern.
2.) Interne Richtlinie Informationssicherheitsmanagement
Banken oder Finanzdienstleistungsinstitute soll die neuen Anforderungen nach dem Kapitel „Informationssicherheitsmanagement“ in einer internen Richtlinie fixieren. Die Aufsicht hat in diesem Kapitel die Anforderungen an das Logging und Monitoring von sicherheitsrelevanten Ereignissen konkretisiert. Beispielsweise sind potentielle sicherheitsrelevante Informationen angemessen, zeitnah, regelbasiert und zentral auszuwerten und müssen für eine angemessene Zeit für eine spätere Auswertung zur Verfügung stehen.
3.) IT-Notfallmanagement
Grundlage für das IT-Notfallmanagement bildet das erweiterte Kapitel AT 7.3. Hierin ist neben der Einrichtung von Wiederanlauf-, Notbetriebs-, und Wiederherstellungsplänen eine jährliche Wirksamkeitskontrolle auf Grundlage eines IT-Testkonzepts nicht nur vorgesehen, sondern gefordert. Ob diese drei Arten von IT-Notfallplänen wirksam sind, müssen die Institute nach den Anforderungen jährlich prüfen – und zwar auf der Grundlage eines IT-Testkonzepts.