IT-Regulatorik Update – Konsultation der Neufassungen der BAIT und MaRisk

Am 26. Oktober 2020 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Entwürfe der Novellen der Bankaufsichtlichen Anforderungen an die IT (BAIT) sowie der Mindestanforderungen an das Risikomanagement (MaRisk) in ein öffentliches Konsultationsverfahren überführt. Stellungnahmen zu den Entwürfen, die der Deutschen Bundesbank sowie der BaFin bis zum 23. November 2020 (BAIT) bzw. 4.Dezember 2020 (MaRisk) schriftlich mitgeteilt werden konnten, werden auf den jeweiligen Websites veröffentlicht. Eine Veröffentlichung der Novellen in der finalen Fassung im 1. Quartal 2021 nach Abschluss des Konsultationsverfahrens ist wahrscheinlich.

Fokus BAIT

Die BAIT werden im vorliegenden Entwurf um die Kapitel „IT-Notfallmanagement“ sowie „Operative Informationssicherheit“ ergänzt, dessen Anforderungen im Wesentlichen technische Verfahren und die IT-Security umfassen. Hierbei können insbesondere die Anforderungen an das Schwachstellenmanagement, die Netzwerksegmentierung, die Härtung von IT-Systemen sowie an die Verschlüsselung einen wesentlichen Aufwandstreiber darstellen, weil diese Themen in vielen Instituten unserer Erfahrung nach noch nicht vollumfänglich umgesetzt sind.

In den bestehenden Kapiteln der BAIT erfolgen Konkretisierungen sowie Ergänzungen von Anforderungen i.W. auf Basis der europäischen Regelwerke (z. B. EBA Guidelines), die aus unserer Sicht auch schon in der bestehenden Prüfungspraxis (z. B. Sonderprüfungen nach §44 KWG) angewandt werden und deren Umsetzung insofern bereits jetzt vorausgesetzt wird. Durch die Konkretisierungen werden auch Ermessensspielräume bei der Auslegung der Anforderungen reduziert, in Teilen der Institute wird dies nicht nur als zusätzliche Erläuterung, sondern als neue Herausforderung bewertet. Hierbei sind insbesondere die Konkretisierungen zur Betrachtung des Informationsverbunds über die eigene Unternehmensgrenze hinweg bis zu Dienstleistern (Kapitel 3) oder zum Umgang mit Anforderungen (funktional- sowie nicht-funktional) in IT-Projekten bzw. der Anwendungsentwicklung sowie zur unabhängigen Kontrolle von IT-Projekten zu nennen (Kapitel 7).

Zu den Themen IT-Strategie, IT-Governance sowie Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen wurden in den BAIT lediglich Anpassungen vorgenommen, die aus unserer Sicht geringe Auswirkungen haben.

Fokus MaRisk

Die Kapitel der MaRisk, welche sich unmittelbar auf IT beziehen (AT 4.3. sowie AT 7.2) haben keine nennenswerten Anpassungen erfahren.

Relevante Auswirkungen auf IT ergeben sich aber aus den umfassenden Anpassungen zum übergreifenden Notfallmanagement (AT 7.3), die Hand in Hand gehen mit entsprechenden Anforderungen zum IT-Notfallmanagement in den BAIT (Kapitel 10) sowie den Anpassungen zum Umgang mit Auslagerungssachverhalten (AT 9), die natürlich bei zunehmender Relevanz von Auslagerungen mit Bezug zur Informationstechnologie zu berücksichtigen sind.

Umgang mit den Anpassungen im Hinblick auf die Ausgestaltung der IT-Compliance in Instituten

Die Diskussion mit unseren Kunden innerhalb der ersten sechs Wochen nach Veröffentlichung zeigt, dass der aus den Anpassungen resultierende Aufwand zur Umsetzung der Anforderungen und in der Folge für die Regelprozesse der Bank, auf Basis der Intensität der Befassung sowie der Umsetzungsgüte zu den bestehenden regulatorischen Anforderungen, zwischen den Instituten variiert. Dabei liegt die größte Herausforderung im Finanzmarkt aus unserer Sicht weiterhin darin, Regulatorik nicht nur als „Aufwandstreiber“, sondern als Chance für eine risikoorientierte Umsetzung von geeigneten Maßnahmen mit angemessenem Kosten-/Nutzen-Verhältnis zu verstehen und zu nutzen.

Eine Standortbestimmung auf Basis eines Health-Checks ist eine geeignete Grundlage für eine erfolgreiche, zielgerichtete und risikoorientierte Umsetzung der neuen Anforderungen. Hierbei werden nicht nur Risiken, die sich aus der nicht-Einhaltung der Regulatorik für das jeweilige Finanzinstitut ergeben, transparent gemacht, sondern es werden bereits strukturierte Maßnahmenbündel, orientiert am jeweiligen Risikoappetit konzipiert sowie Quick-Wins zur schnellen Adressierung von Risiken ausgearbeitet.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */