IT-Regulatorik Update – Konsultation der Erstfassung der Zahlungsdienste-aufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)

Am 12. April 2021 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Konsultationsprozess zu den „Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)“ eingeleitet. Stellungnahmen zum Entwurf können der Deutschen Bundesbank sowie der BaFin bis zum 14. Mai 2021 schriftlich mitgeteilt werden und sollen auf den jeweiligen Webseiten veröffentlicht werden.

Der Konsultationsentwurf greift die Anforderungen der sich aktuell ebenfalls im Konsultationsverfahren befindlichen Novelle der Bankaufsichtlichen Anforderungen an die IT (BAIT) auf und ergänzt diese um weitere Anforderungen zur Aufbau- und Ablauforganisation, zur technisch-organisatorischen Ausstattung, zum Notfallmanagement sowie zu Auslagerungen. Diese Ergänzungen orientieren sich dabei an den entsprechenden Anforderungen aus der aktuellen Konsultationsfassung der Mindestanforderungen an das Risikomanagement (MaRisk). Zudem werden spezifische Anforderungen zum Management der Beziehungen mit Zahlungsdienstnutzern niedergelegt.

Grundlegender Aufbau der ZAIT

In den ZAIT werden die folgenden Themenfelder betrachtet:

  1. IT-Strategie
  2. IT-Governance
  3. Informationsrisikomanagement
  4. Informationssicherheitsmanagement
  5. Operative Informationssicherheit
  6. Identitäts- und Rechtemanagement
  7. IT-Projekte und Anwendungsentwicklung
  8. IT-Betrieb
  9. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen
  10. Notfallmanagement
  11. Management der Beziehungen mit Zahlungsdienstnutzern
  12. Kritische Infrastrukturen

Auswirkungen auf die betroffenen Institute

Auf Grund unserer langjährigen Erfahrungen aus der Umsetzung derartiger Anforderungen im Banken-, im Kapitalverwaltungs- und im Versicherungssektor sowie unserer Einbindung in diverse Gremien und Round-Tables wissen wir, dass der erforderliche Aufwand zur Umsetzung der in den ZAIT enthaltenen Anforderungen zwischen einzelnen Unternehmen stark variieren kann. Einerseits liegt dies am unterschiedlich ausgeprägten Grad der Vorbefassung mit den jeweiligen Anforderungen. Andererseits spielen unter anderem die durch ein Unternehmen angewandten gängigen Standards, das Ausmaß der Nutzung externer Dienstleister sowie die grundsätzliche technisch-organisatorische Ausstattung eine bedeutende Rolle.

Nutzung von bewährten PwC-Dienstleistungen – Bestimmung des Status quo und Umsetzung der Anforderungen

Wir gehen davon aus, dass die ZAIT nach mit ihrer endgültigen Verlautbarung unmittelbar in Kraft treten und prüfungspflichtig sein werden. Wir empfehlen daher, schon anhand des Konsultationsentwurf eine Standortbestimmung des eigenen Unternehmens vorzunehmen. Ein von PwC durchgeführter Health Check ist eine langjährig erfolgreich am Markt erprobte und zielführende Grundlage für eine sachgerechte, zielgerichtete und risikoorientierte Umsetzung der aufsichtlichen Anforderungen.

Hierbei machen wir nicht nur Risiken transparent, die sich aus der Nicht-Einhaltung der Regulatorik für das einzelne Unternehmen ergeben, sondern wir greifen auf bereits erprobte Maßnahmenbündel zurück, orientiert am jeweiligen Risikoappetit, und arbeiten Quick wins zur schnellen Adressierung von Schwachstellen aus.

Ein Erfolgsfaktor liegt darin, den Risikoappetit des jeweiligen Unternehmens bei der Umsetzung von Maßnahmen zu berücksichtigen und hierbei ein angemessenes Kosten-/Nutzen-Verhältnis zu realisieren. Hierbei berücksichtigen wir selbstverständlich die spezifischen Rahmenbedingungen des Unternehmens. Sofern ein Unternehmen bereits einen definierten Maßnahmenplan vorliegen hat oder sich sogar bereits in der Umsetzung von einzelnen Maßnahmen befindet, können wir auch ebenso mit unserer langjährigen Expertise unterstützen.

Um Ihnen einen umfangreichen Überblick über die Inhalte der ZAIT zu geben, werden wir einen Webcast anbieten. Über den Termin und die Modalitäten zur Anmeldung werden wir Sie in unserem Digital Trust Blog zeitnah informieren.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.