Im August 2021 hat die BaFin eine Novelle der Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht. In diesem Beitrag fassen wir die wesentlichen Änderungen für die Praxis als Übersicht zusammen.
Per Rundschreiben vom 16.8.2021 hat die BaFin eine Novelle der Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht. Zeitgleich wurde auch die sechste Novelle der MaRisk zur Verfügung gestellt. Vorangegangen war eine im Oktober publizierte Konsultation, insofern waren die Änderungen und neuen Inhalte zum größten Teil bereits bekannt. Die Novelle wurde notwendig, weil die im November 2019 veröffentlichten EBA-Leitlinien zum Management von IKT- (Informations- und Kommunikationstechnik) und Sicherheitsrisiken (EBA/GL/2019/04) in nationales Recht umgesetzt werden mussten. Die neuen BAIT nennen keine Umsetzungsfrist und traten also mit der Veröffentlichung direkt in Kraft.
Die Konsultation hatte es bereits angedeutet, die finale Version der Novelle umfasst jedoch drei statt zwei neue Abschnitte.
Die Novelle erhält an vielen Stellen Konkretisierungen der bisherigen Aussagen. Hier erwarten Banken und ihre Dienstleister indes keine großen Überraschungen. Die Konkretisierungen fußen im Wesentlichen auf Anforderungen, die sich aus AT 7.2 der MaRisk ableiten, etwa ISO/IEC 2700x und BSI IT-Grundschutz. Mit der Übernahme in die BAIT sind diese nun als konkrete Anforderungen im Sinne des Aufsichtsrechts formuliert.
Auffällig ist bei den Konkretisierungen, dass die BAIT jetzt durchgängig den Begriff „Informationssicherheit“ statt „IT-Sicherheit“ verwendet. Hintergrund dafür ist, dass die BaFin damit deutlich herausstellt, dass die genannten Ziele und Anforderungen nicht ausschließlich Computersysteme betreffen. Sensible - und damit vom Risikomanagement zu berücksichtigende - Informationen können in den Banken auch in anderer Form vorliegen.
Auf der anderen Seite wird durch den neuen Begriff auch der Eindruck vermieden, dass die geforderten Standards allein in Verantwortung der IT-Abteilungen liegen. Stattdessen ist es notwendig, alle Fachabteilungen einzubinden und zu sensibilisieren. Das umfasst auch die Vorstandsebene. Dieser Ansatz ist an vielen Stellen der BAIT deutlich erkennbar.
In den Abschnitten, die sich mit Anwendungsentwicklung und IT-Projekten beschäftigen, gibt es in der Novelle der BAIT eine Reihe von Veränderungen und Präzisierungen.
Diesen Veränderungen hat movisco ein eigenes Kapitel gewidmet, das im Frühjahr 2022 in einem BAIT-Fachbuch des Verlags Finanz Colloquium Heidelberg erscheinen wird. In diesem informativen Buchbeitrag lässt die movisco AG ihre Expertise bei der Umsetzung und Betreuung anspruchsvoller IT-Projekte und Anwendungsentwicklungen im SAP-Umfeld direkt aus der Praxis einfließen.
Bis auf die neu geschaffenen Abschnitte umfassen die BAIT lediglich Konkretisierungen. Es werden somit keine Anforderungen erhoben, die den Banken gänzlich unbekannt sind. Viele Inhalte ergeben sich aus gängigen IT-Standards. Banken, die sich also schon an solche Standards (ISO/IEC 2700x oder BSI IT-Grundschutz) halten, werden somit keine höheren Aufwände zur Umsetzung der Novelle haben. Es ist lediglich im Einzelfall zu prüfen, ob die in den Konkretisierungen genannten Anforderungen punktuell angepasst oder präziser umgesetzt werden müssen.
Mehr Informationen zum Thema BAIT im movisco-Blogbeitrag:
Wir freuen uns über Ihre direkte Kontaktaufnahme!