BaFin veröffentlicht Novellen von MaRisk und BAIT sowie Rundschreiben ZAIT
Die BaFin hat am 16. August 2021 die 6. Novelle ihrer Mindestanforderungen an das Risikomanagement der Banken (MaRisk) veröffentlicht. Damit werden vor allem die Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) zu notleidenden und gestundeten Risikopositionen sowie zu Auslagerungen umgesetzt. Dazu kommen einige Anforderungen aus den EBA-Leitlinien hinsichtlich dem Management von IKT- und Sicherheitsrisiken (IKT bedeutet Informations- und Kommunikationstechnologie). Diese sechste MaRisk-Novelle ist sofort mit Veröffentlichung in Kraft getreten. Die Umsetzungsfristen für neue Regelungen gehen aus dem Übersendungsschreiben an die Finanzinstitute hervor.
Bei der MaRisk-Novelle betreffen die Anforderungen der Leitlinien zu notleidenden Krediten (Non-performing Loans – NPL) insbesondere Institute mit einer Quote notleidender Kredite von fünf Prozent oder mehr, entweder im einzelnen Institut oder auf Gruppenebene. Diese müssen bereits für das Jahr 2022 eine Strategie entwickeln, um die notleidenden Risikopositionen über einen realistischen, aber hinreichend ambitionierten Zeithorizont abzubauen.
Die Konkretisierungen bezüglich Auslagerungen betreffen den gesamten Auslagerungszyklus von der Risikoanalyse über die Ausgestaltung des Auslagerungsvertrags bis hin zur Steuerung und Überwachung der Risiken der Auslagerung. Bei wesentlichen Auslagerungen sollen Banken im Auslagerungsvertrag neben Informations- und Prüfungsrechten auch die Rechte berücksichtigen, die für Zutritt, Zugang oder Zugriff erforderlich sind. Um die Steuerung und Überwachung der Risiken aus Auslagerungen zentral zu bündeln, soll jedes Institut, das Auslagerungen vornimmt, einen Auslagerungsbeauftragten bestimmen. Die Institute müssen ein Auslagerungsregister mit Informationen über alle Auslagerungsvereinbarungen vorhalten und laufend aktualisieren.
Die MaRisk setzen Anforderungen an das Notfallmanagement für IKT-Risiken um. Nach erfolgter Risikoanalyse müssen im Notfallkonzept Ersatzlösungen für den Notfall sowie ein Pfad für die Rückkehr zum Normalbetrieb dargestellt sein.
Im Einklang mit der Aufsichtspraxis der Europäischen Zentralbank (EZB) gelten durch die MaRisk-Novelle bestimmte erhöhte Anforderungen zum Datenmanagement und der Aggregation von Risikodaten jetzt nicht mehr nur für die systemrelevanten, sondern für alle bedeutenden Institute. Die BaFin-Vorgaben zu Handelsgeschäften gelten nun auch für Kryptowerte. Bei der Liquidität müssen Banken künftig zwischen institutionellen Anlegern aus der Finanzbranche und anderen professionellen Anlegern unterscheiden. Hinsichtlich der Risikotragfähigkeit wurden die MaRisk-Regelungen an den überarbeiteten Leitfaden Risikotragfähigkeit der BaFin angepasst.
Von der sofort in Kraft getretenen MaRisk-Novelle müssen die Institute nur die Konkretisierungen unmittelbar anwenden. Für die Implementierung neuer Anforderungen gilt eine Frist bis zum 31. Dezember 2021. Bereits existierende Auslagerungsverträge müssen erst bis Ende 2022 angepasst werden.
BAIT-Novelle – die Bankaufsichtlichen Anforderungen an die IT
Zeitgleich zur MaRisk hat die BaFin ebenfalls am 16. August 2021 ihre Erwartungen an die IT und Informationssicherheit der Banken in der Novelle der BAIT konkretisiert. Auch diese BAIT-Novelle, die auf den MaRisk aufbaut, tritt ohne Übergangsfristen sofort in Kraft, da die BaFin keine grundlegend neuen Anforderungen stellt, sondern bestehende Vorgaben konkretisiert hat. Die Aufsicht beschreibt in den geänderten BAIT, welche Rahmenbedingungen sie nun für eine sichere Informationsverarbeitung und Informationstechnik erwartet.
Im neuen Kapitel „Operative Informationssicherheit“ formuliert die Aufsicht Anforderungen an die Ausgestaltung von Wirksamkeitskontrollen für bereits umgesetzte Informationssicherheitsmaßnahmen in Form von Tests und Übungen. Wirksamkeitskontrollen sind etwa Abweichungsanalysen (Gapanalysen), Schwachstellenscans, Penetrationstests und Simulationen von Angriffen. Die Institute müssen die Sicherheit der IT-Systeme regelmäßig und anlassbezogen kontrollieren.
Das neue BAIT-Kapitel „IT-Notfallmanagement“ basiert auf dem erweiterten Notfallmanagement der MaRisk und verlangt für zeitkritische Prozesse und Aktivitäten die Einrichtung von Wiederanlauf-, Notbetriebs- und Wiederherstellungsplänen. Das neue BAIT-Kapitel „Management der Beziehungen mit Zahlungsdienstnutzern“ stammt aus dem neuen Rundschreiben ZAIT. Seine Inhalte sind auch für große Teile der BAIT-Zielgruppe relevant.
Die BAIT folgen jetzt stärker dem Ziel Informationssicherheit statt dem enger gefassten Ziel der IT-Sicherheit. Daher fordern die BAIT nun zum Beispiel ein umfassendes Programm zur Schulung und Sensibilisierung der Beschäftigten für das Thema Informationssicherheit. Es werden weitere Rollen und Aufgaben des Informationssicherheits- und Informationsrisikomanagements benannt und von den Verantwortlichkeiten für die Geschäftsprozesse abgegrenzt. Im Kapitel “Informationsrisikomanagement” wird dargelegt, dass sich die Institute über aktuelle externe und interne Bedrohungen und Schwachstellen informieren und die Geschäftsleitung über die Ergebnisse der Risikoanalyse und Veränderungen der Risikosituation unterrichten müssen. Zudem werden Anforderungen an die physische Sicherheit gemäß EBA-Leitlinien festgelegt.
ZAIT – Zahlungsdiensteaufsichtliche Anforderungen an die IT
Das neue BaFin-Rundschreiben ZAIT schafft Rechtssicherheit in Bezug auf spezielle Regelungen im Zahlungsdiensteaufsichtsgesetz. Bisher wurden für Zahlungs- und E-Geld-Institute die BAIT in Verbindung mit den MaRisk analog angewendet. Durch die ZAIT können die individuellen Besonderheiten von Zahlungs- und E-Geld-Instituten unter Beachtung des Proportionalitätsgrundsatzes zukünftig noch besser berücksichtigt werden. Inhaltlich orientieren sich die ZAIT stark an den BAIT.
Angesichts wachsender Cyber-Bedrohungen erläutern die ZAIT beispielsweise die aufsichtlichen Anforderungen an das Informationsrisiko- und Informationssicherheitsmanagement. Darüber hinaus enthält das Rundschreiben wesentliche Anforderungen an die IT-Betriebsprozesse, die IT-Infrastruktur und das Betriebliche Kontinuitätsmanagement (Business Continuity Management). Schließlich konkretisieren die ZAIT die aufsichtlichen Anforderungen an Institute, die IT-Prozesse zu einem anderen Unternehmen wie etwa einem Cloud-Dienstleister auslagern. Da die Institute aufsichtsrechtlich für alle ausgelagerten IT-Prozesse und -Aktivitäten verantwortlich bleiben, müssen sie stets überwachen, dass ihre Dienstleister den Auftrag ordnungsgemäß erfüllen, und die Risiken der Auslagerung permanent im Blick behalten.
Ausführlichere Informationen zu den Neuerungen bei MaRisk, BAIT und ZAIT finden sich im BaFin-Journal vom August 2021, das kostenlos als Download zur Verfügung steht.pp
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/123714
Schreiben Sie einen Kommentar