Ihr Standort: movisco // Blog »
kontakt mail icon
kontakt phone icon

Banking: Die Veränderungen der BAIT-Novelle im Überblick

Im August 2021 hat die BaFin eine Novelle der Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht. In diesem Beitrag fassen wir die wesentlichen Änderungen für die Praxis als Übersicht zusammen.

Novelle der Bankaufsichtlichen Anforderungen an die IT

Per Rundschreiben vom 16.8.2021 hat die BaFin eine Novelle der Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht. Zeitgleich wurde auch die sechste Novelle der MaRisk zur Verfügung gestellt. Vorangegangen war eine im Oktober publizierte Konsultation, insofern waren die Änderungen und neuen Inhalte zum größten Teil bereits bekannt. Die Novelle wurde notwendig, weil die im November 2019 veröffentlichten EBA-Leitlinien zum Management von IKT- (Informations- und Kommunikationstechnik) und Sicherheitsrisiken (EBA/GL/2019/04) in nationales Recht umgesetzt werden mussten. Die neuen BAIT nennen keine Umsetzungsfrist und traten also mit der Veröffentlichung direkt in Kraft.

BAIT: Drei neue Abschnitte wurden hinzugefügt

Die Konsultation hatte es bereits angedeutet, die finale Version der Novelle umfasst jedoch drei statt zwei neue Abschnitte.

  • Operative Informationssicherheit: Angemessene IT-Sicherheitsmaßnahmen werden nun als aufsichtsrechtliche Anforderung definiert. Die in dem Abschnitt aufgestellten Forderungen sind nicht völlig neu, sondern sollten in den Banken bereits bekannt sein, da sie auf gängigen IT-Standards basieren. Aus dem Abschnitt lässt sich die Notwendigkeit ableiten, ein „Security-Information-Event-Management-System (SIEM)“ aufbauen und unterhalten zu müssen.
  • IT-Notfallmanagement: Ebenfalls neu ist dieser Abschnitt. Darin werden die Anforderungen an IT-Notfallpläne und Notfallübungen konkret beschrieben.
  • Management der Beziehungen mit Zahlungsdienstnutzern: Dieser Abschnitt war während der Konsultationsphase noch nicht enthalten. Darin werden Anforderungen an Institute formuliert, die Zahlungsdienstleistungen im Sinne des Zahlungsdiensteaufsichtsgesetzes (ZAG) anbieten. Der Abschnitt konkretisiert die Maßnahmen zur Risikominimierung nach § 53 ZAG. Im Kern geht es hier um die Schaffung von Maßnahmen, um die Kundinnen und Kunden vor Betrugsrisiken zu schützen.

Regulatorik: zahlreiche Konkretisierungen

Die Novelle erhält an vielen Stellen Konkretisierungen der bisherigen Aussagen. Hier erwarten Banken und ihre Dienstleister indes keine großen Überraschungen. Die Konkretisierungen fußen im Wesentlichen auf Anforderungen, die sich aus AT 7.2 der MaRisk ableiten, etwa ISO/IEC 2700x und BSI IT-Grundschutz. Mit der Übernahme in die BAIT sind diese nun als konkrete Anforderungen im Sinne des Aufsichtsrechts formuliert.

Auffällig ist bei den Konkretisierungen, dass die BAIT jetzt durchgängig den Begriff „Informationssicherheit“ statt „IT-Sicherheit“ verwendet. Hintergrund dafür ist, dass die BaFin damit deutlich herausstellt, dass die genannten Ziele und Anforderungen nicht ausschließlich Computersysteme betreffen. Sensible - und damit vom Risikomanagement zu berücksichtigende - Informationen können in den Banken auch in anderer Form vorliegen.

Auf der anderen Seite wird durch den neuen Begriff auch der Eindruck vermieden, dass die geforderten Standards allein in Verantwortung der IT-Abteilungen liegen. Stattdessen ist es notwendig, alle Fachabteilungen einzubinden und zu sensibilisieren. Das umfasst auch die Vorstandsebene. Dieser Ansatz ist an vielen Stellen der BAIT deutlich erkennbar.

Buchbeitrag von movisco zu Anwendungsentwicklung und Projektmanagement

In den Abschnitten, die sich mit Anwendungsentwicklung und IT-Projekten beschäftigen, gibt es in der Novelle der BAIT eine Reihe von Veränderungen und Präzisierungen.

Diesen Veränderungen hat movisco ein eigenes Kapitel gewidmet, das im Frühjahr 2022 in einem BAIT-Fachbuch des Verlags Finanz Colloquium Heidelberg erscheinen wird.  In diesem informativen Buchbeitrag lässt die movisco AG ihre Expertise bei der Umsetzung und Betreuung anspruchsvoller IT-Projekte und Anwendungsentwicklungen im SAP-Umfeld direkt aus der Praxis einfließen.

Einzelfallprüfungen bei BAIT angesagt

Bis auf die neu geschaffenen Abschnitte umfassen die BAIT lediglich Konkretisierungen. Es werden somit keine Anforderungen erhoben, die den Banken gänzlich unbekannt sind. Viele Inhalte ergeben sich aus gängigen IT-Standards. Banken, die sich also schon an solche Standards (ISO/IEC 2700x oder BSI IT-Grundschutz) halten, werden somit keine höheren Aufwände zur Umsetzung der Novelle haben. Es ist lediglich im Einzelfall zu prüfen, ob die in den Konkretisierungen genannten Anforderungen punktuell angepasst oder präziser umgesetzt werden müssen.


Mehr Informationen zum Thema BAIT im movisco-Blogbeitrag:

  • Tragfähige und Nachhaltige Geschäftsmodelle – Der Handlungsbedarf der Banken steigt weiterlesen

Ihre Ansprechpartnerin

Susanne Jung

info@movisco.com
elektronische Visitenkarte

Fon +49 40 767 53 777

Schnellkontakt-Formular

Die abgesendeten Daten werden nur zum Zweck der Bearbeitung Ihres Anliegens verarbeitet. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Datenschutz bestätigt?

Sie haben Fragen?

Wir freuen uns über Ihre direkte Kontaktaufnahme!

  • Telefon: +49 40 767 53 777
  • E-Mail