Avaloq Vermögensmanagement
STRATEGIE20. April 2021

Die ZAIT ist reif – BaFin veröffentlicht Entwurf des neuen IT-Regelwerks für Zahlungs- und E-Geld-Institute

Rechtsanwalt Dr. Christian Conreder beleuchtet die ZAIT
Rechtsanwalt Dr. Christian Conreder, Rödl & PartnerRechtsanwalt Dr. Christian Conreder, Rödl & Partner

Nach den BaFin-Rundschreiben BAIT, VAIT und KAIT war es zu erwarten, dass auch die IT von Zahlungsinstituten und E-Geld-Instituten seitens der BaFin mit einem neuen Regelwerk bedacht wird. Seit dem 12. April 2021 ist er da – der erste Entwurf des BaFin-Rundschreibens “Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten – ZAIT “. Die BaFin konkretisiert hierin die IT-Anforderungen speziell für die genannten Institute.

von RAs Dr. Christian Conreder
und Fabian Hausemann, Rödl & Partner

Nicht nur begriffstechnisch, sondern auch inhaltlich orientiert sich die ZAIT eng an den bereits bekannten IT-Vorgaben für Banken (BAIT). Wie die BAIT enthält die ZAIT neben Vorgaben zur IT-Strategie und IT-Governance insbesondere Regelungen zum Informationsrisikomanagement, Informationssicherheitsmanagement und zur Abgrenzung der Auslagerung vom sonstigen Fremdbezug von Leistungen. Die ZAIT enthält die Anforderungen aus der EBA-Leitlinie (GL/2017/17) zu Sicherheitsmaßnahmen bezüglich der operationellen und sicherheitsrelevanten Risiken von Zahlungsdiensten sowie der EBA-Leitlinie (GL/2019/02) zu Auslagerungen.

Fabian Hausemann, Rechtsanwalt, ist als Senior Associate bei der Rödl Rechtsanwaltsgesellschaft SteuerberatungsgesellschaftFabian Hausemann

Auf diese Art und Weise werden insbesondere die Vorgaben des ZAG zu § 26 ZAG (Auslagerung) sowie des § 53 ZAG (Beherrschung operationeller und sicherheitsrelevanter Risiken bei der Erbringung von Zahlungsdiensten) konkretisiert.”

Es ist zu beachten, dass die Themenkomplexe der ZAIT nicht abschließend in dieser geregelt sind.

Vor diesem Hintergrund verweist die ZAIT an diversen Stellen auf die Anwendung gängiger IT-Standards.

Rechtsanwalt Dr. Christian Conreder
Dr. Christian Conreder, Rechtsanwalt, ist Partner bei der Rödl & Partner am Stand­ort Ham­burg und lei­tet den Be­reich Ka­pi­tal­an­la­ge­recht. Der Schwer­punkt sei­ner an­walt­li­chen Tä­tig­keit liegt im Bank- und Ka­pi­tal­markt­recht, na­ment­lich in den Be­rei­chen des Zah­lungs­ver­kehrs- und Ka­pi­tal­an­la­ge­rechts. Ne­ben Ka­pi­tal­ver­wal­tungs­ge­sell­schaf­ten, Emis­si­ons­häu­sern und Fa­mi­ly Of­fices be­rät Herr Dr. Con­re­der u a. Ban­ken, Zah­lungs­dienst­leis­ter, Kar­te­n­e­mit­ten­ten und Fin­Techs in zi­vil- und auf­sichts­recht­li­chen Fragestellungen.

Fabian Hausemann, Rechtsanwalt, ist als Senior Associate bei der Rödl Rechts­­an­walts­­ge­sel­l­­schaft Steu­er­be­ra­tungs­ge­sell­schaft mbH am Stand­ort Ham­burg tä­tig. Als Teil des bank- und ka­pi­tal­an­la­ge­recht­li­chen Teams hat sich Fabian Hau­se­mann auf auf­sichts­recht­li­che Fra­ge­stel­lun­gen ins­be­son­de­re aus den Be­rei­chen des Ka­pi­tal­an­la­ge­ge­setz­buchs (KAGB), Ver­mö­gens­an­la­ge­ge­setz­buchs (Verm­An­lG) und Kre­dit­we­sen­ge­set­zes (KWG) spe­zia­li­siert. Hau­se­mann be­rät bspw. Ka­pi­tal­­ver­­­wal­­tungs­­­ge­sel­l­­schaf­ten, Fond­sin­itia­to­ren und Fin­Techs bei kon­zep­tio­nel­len und ope­ra­ti­ven Themen.

Zu solchen Standards zählen bspw. der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI), die internationalen Sicherheitsstandards ISO/IEC 270XX der International Organization for Standardization und der Payment Card Industry Data Security Standard (PC DSS).

Insbesondere bei der Implementierung der Vorgaben an die Geschäftsorganisation und mithin bei der Gestaltung der IT-Systeme und -Prozesse findet innerhalb der ZAIT das Proportionalitätsprinzip Anwendung. Für das Proportionalitätsprinzip sind die individuellen Risiken des jeweiligen Instituts maßgeblich. Bspw. können Art und Umfang der jeweils zu erbringenden Zahlungsdienste Anhaltspunkte für höhere oder niedrigere Risiken darstellen. In der Folge können bei Instituten mit einem geringen Risikopotenzial einfachere IT-Strukturen bzw. -Systeme oder -Prozesse als angemessen erachtet werden.

Der Ausblick

Die BaFin hat den ZAIT-Entwurf bis zum 14. Mai 2021 zur Konsultation gestellt und infolgedessen können Marktteilnehmer bis zum genannten Datum schriftlich gegenüber der Behörde Stellung beziehen.

Es ist davon auszugehen, dass die Anforderungen der ZAIT mit der Veröffentlichung ihrer finalen Version, wie bspw. bei der KAIT, ohne Umsetzungsfrist anzuwenden sind.”

Aus diesem Grunde sollten sich die betroffenen Institute bereits jetzt mit dem neuen Regelwerk auseinandersetzen.RAs Dr. Christian Conreder und Fabian Hausemann (aj)

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/119684

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert