Wir verwenden Cookies auf unserer Webseite, um Ihren Besuch effizienter zu machen und Ihnen eine möglichst angenehme Nutzung bieten zu können und die Zugriffe auf unsere Website zu analysieren. Dafür setzen wir Google Analytics ein. Weitere Informationen finden Sie in unserer DATENSCHUTZERKLÄRUNG.
Publikation:

BAIT NOVELLE 2021

23. Dezember 2020

Dr. Gebhard Zemke, Wirtschaftsprüfer, Steuerberater, Partner,
Financial Services Banking
|
Jörg Rauschenberger, Partner, IT & Performance Advisory |

Aktualisierung der bankaufsichtlichen Anforderungen an die IT (BAIT) Darstellung der BDO

BAIT 

WAS IST GESCHEHEN?

Das bisherige Geschehen um die BAIT Novelle 2021

  • Die Europäische Bankenaufsichtsbehörde (EBA) veröffentlichte im November 2019 die „EBA-Leitlinien für Informations- und Kommunikationstechnologie (IKT) und Sicherheitsrisikomanagement“ (ICT Guidelines).
  • Diese beinhalten Anforderungen an das Management von Informationstechnik und Informationssicherheit für Kreditinstitute, Wertpapierfirmen und Zahlungsdienstleister.
  • Nachdem ein Update der Bankaufsichtlichen Anforderungen an die IT (BAIT) letztmalig im Jahr 2018 erfolgte, werden diese an die EBA-Leitlinien angepasst und umfassend aktualisiert. Eine Veröffentlichung der finalen Version wird im Jahr 2021 erwartet.
  • Neben der Aktualisierung der bestehenden Themenbereiche kommen drei neue Themenbereiche hinzu.
  • Betroffene Unternehmen sind nun gefordert, ihre bestehenden Prozesse und Strukturen zu überprüfen und an dem Marktstandard auszurichten, wie er auch in der aktualisierten Version der BAIT festgehalten ist.

AUSWIRKUNGEN AUF DIE BAIT

Die Veränderungen der BAIT umfassen bisher

  • Die BAIT wächst von 9 enthaltenen Themengebieten auf 12 an.

DIE ZUSÄTZLICHEN THEMENGEBIETE DER BAIT

Operative Informationssicherheit

  • Es erfolgt die Umsetzung der Anforderungen aus dem Informationssicherheitsmanagement der BAIT.
  • Ein zunehmender Fokus liegt auf Maßnahmen und Prozessen zur Überwachung und Steuerung von IT-Risiken. Potenziell sicherheitsrelevante Informationen müssen angemessen zeitnah, regelbasiert und zentral ausgewertet und für spätere Auswertungen vorgehalten werden. Diese Informationen müssen bei Transport und Speicherung geschützt werden.
  • Die Definition des Informationsverbundes wird um den Einbezug Dritter erweitert.
  • Es muss ein angemessenes Portfolio an Regeln zur Identifizierung sicherheitsrelevanter Ereignisse definiert werden. Diese Regeln müssen regelmäßig sowie anlassbezogen auf ihre Wirksamkeit geprüft und weiterentwickelt werden.
  • Die Sicherheit der IT-Systeme muss regelmäßig, anlassbezogen und unter Vermeidung von Interessenskonflikten überprüft und auf notwendige Verbesserungen analysiert werden.
  • Die Einrichtung eines Security Operation Center (SOC) wird empfohlen.
  • Forensische Analysen werden empfohlen.

IT-Notfallmanagement

  • Das regelmäßige Prüfen und die Simulation von Ausfällen der Rechenzentren muss für zeitkritische Anwendungen mindestens einmal jährlich erfolgen.
  • Die Ziele und Rahmenbedingungen des IT-Notfallmanagements müssen auf Basis der Ziele des Notfallmanagements definiert werden.
  • Das allgemeine Notfallmanagement und die Geschäftsfortführung sowie das IT-Risiko- und Informationssicherheitsmanagement müssen mit dem IT-Notfallmanagement verzahnt werden.
  • Das Erstellen und Vorhalten von Notfallkonzepten und Notfallplänen muss für alle IT-Systeme erfolgen, welche zeitkritische Aktivitäten und Prozesse unterstützen.
  • Die Abstimmung der Notfallvorsorge und Notfallkonzepte mit Dritten/IT-Dienstleistern muss erfolgen.
  • Das Notfallrechenzentrum muss in ausreichender räumlicher Entfernung liegen.

Kundenbeziehungen mit Zahlungsdienstnutzern

  • Dieses Themengebiet fokussiert Institute, die Zahlungsdienste im Sinne des § 1 Abs. 1 Satz 2 ZAG erbringen.
  • Die Inhalte dieses Themengebietes werden derzeit durch die Bafin innerhalb der "Zahlungsdiensteaufsichtlichen Anforderungen an die IT" (ZAIT) konsultiert und fließen anschließend in die finale Fassung der BAIT ein.

DIE BESTEHENDEN THEMENGEBIETE DER BAIT

Neuerungen in den bestehenden Themenbereichen im Überblick (Auszug)

  • IT-Strategie
    • Wichtige Abhängigkeiten zu Dritten müssen in die IT-Strategie aufgenommen werden.
    • Adäquate Schulungs- und Sensibilisierungsmaßnahmen zur Informationssicherheit müssen umgesetzt werden.
    • Bezüge zum Informationssicherheitsmanagement werden definiert.
  • Informationsrisikomanagement
    • Die ganzheitliche Betrachtung des Informationsverbundes inkl. Netz- und Gebäudeinfrastrukturen und Abhängigkeiten mit Schnittstellen zu Dritten muss erfolgen.
    • Die Verantwortlichkeiten zu Informationsrisiken müssen definiert werden.
    • Die regelmäßige Prüfung der Schutzbedarfe und Übernahme von Prüfungspflichten durch das Informationsrisikomanagement muss erfolgen.
    • Ein fortlaufendes Monitoring und Reporting von (auch externen) Bedrohungen für den gesamten Informationsverbund muss umgesetzt werden.
  • Informationssicherheitsmanagement
    • Die Informationssicherheitsleitlinie muss fortlaufend angepasst werden.
    • Die Etablierung von Schulungen und Schulungsprogrammen zur Informationssicherheit inkl. Erfolgskontrolle muss umgesetzt werden.
    • Es muss eine Richtlinie über das Testen und Überprüfen der Maßnahmen zum Schutz der Informationssicherheit eingeführt, sowie regelmäßig und anlassbezogen überprüft und angepasst werden.
    • Bestandteile der physischen Sicherheit (z. B. Gebäudeschutz) müssen explizit einbezogen werden.
    • Die Funktion des Informationssicherheitsbeauftragen und die Unterstützung durch Informationssicherheitsmana-gement-Teams wird benannt.
  • Identitäts- und Rechtemanagement (vormals Benutzerberechtigungsmanagement)
    • Die Berechtigungskonzepte müssen regelmäßig und anlassbezogen überprüft und aktualisiert werden.
    • Ursachenanalysen bei erkannten Problemen müssen etabliert und erkannte Vorfälle gemeldet werden.
    • Die Erweiterung der Kontrollen um die Zutrittskontrolle, u.a. die Berechtigungsvergabe nach Räumen muss eingerichtet werden.
    • Zeitliche Aspekte hinsichtlich der Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen müssen eingehalten werden.
    • Jegliche Zugriffs-, Zugangs- und Zutrittsrechte zu Bestandteilen des Informationsverbundes sollten standardisierten Prozessen und Kontrollen unterliegen.
  • IT-Projekte und Anwendungsentwicklung
    • Eine konkrete Benennung der organisatorischen Grundlagen und Dokumentationserfordernisse; hier muss auch die Einbindung des Informationssicherheitsbeauftragten erfolgen.
    • Die Quellcodeintegrität muss angemessen sichergestellt werden.
    • Als Maßnahmen zum Schutz der Informationen müssen risikoorientiert auch Penetrationstests durchgeführt werden.
  • IT-Betrieb
    • Steigende Anforderungen an Transparenz und Dokumentation, insbesondere zu Schutzbedarfen von IT-Systemen und deren IT-Komponenten mit regelmäßiger Aktualisierung des IT-Portfolios.
    • Für zeitkritische Änderungen von IT-Systemen müssen geeignete Prozesse eingerichtet sein.
    • Die Erhebung, Planung und Überwachung des Leistungs- und Kapazitätsbedarfs muss umgesetzt werden, um insbesondere Engpässe zeitnah zu erkennen und angemessen zu reagieren. Bei der Planung müssen Leistungs- und Kapazitätsbedarfe von Informationssicherheitsmaßnahmen berücksichtigt werden.

ZUSAMMENFASSUNG & BEWERTUNG

  • Bestehende Themengebiete werden ganzheitlich und unter Einbeziehung beteiligter Dritter betrachtet und Kontrollmechanismen übergreifend etabliert.
  • In den bestehenden Bereichen werden die vorhandenen Anforderungen verschärft. Durch die Hinzunahme der drei zusätzlichen Themenbereiche werden weitere Anforderungen in den Bereichen Operative Informationssicherheit, IT-Notfallmanagement und Kundenbeziehungen mit Zahlungsdienstnutzern geschaffen.
  • Das Unternehmensrisikomanagement wird durchgängig über das IT-Risikomanagement bis zur IT-Sicherheit hin verzahnt.
  • Es wird eine regelmäßige sowie anlassbezogene Überprüfung von Regeln und Richtlinien etabliert.
  • Die Unterstützung durch neue oder die Anpassung mit Hilfe bestehender Software ist daher insbesondere für automatisierte Kontrollen sinnvoll.

Welche Bedeutung hat die BAIT Novelle für die betroffenen Unternehmen?

  • Bestehende Themengebiete
    • Bei ganzheitlicher Betrachtung der bestehenden Themengebiete sind übergreifende Tätigkeiten und Schnittstellen zu überprüfen und bestehende Prozesse anzupassen. So ist beispielsweise die regelmäßige und anlassbezogene Prüfung von Maßnahmen, Richtlinien und Kontrollen sicherzustellen und innerhalb der bestehenden Prozesse zu verankern.
  • Zusätzliche Themengebiete
    • Neben der Anpassung der bestehenden Themengebiete ist in den drei hinzukommenden Themengebieten unter Umständen mit sigifikantem und zusätzlichem Umsetzungsaufwand zu rechnen, da bestehende Strukturen und Prozesse verbessert werden müssen.
    • Für die Umsetzung der Anforderungen werden unter Umständen neue Prozesse und Strukturen erforderlich sein. Ebenfalls müssen im Bedarfsfall neue Kontrollen etabliert werden.
  • Der erhöhte Komplexitätsgrad kann die Implementierung von neuen Tools (z. B. für automatisierte Auswertungen) erfordern.

UNSERE LEISTUNGEN

Mit unserer Erfahrung können wir Sie umfassend unterstützen

  • Gap-Analyse hinsichtlich der zusätzlichen und aktualisierten Anforderungen der BAIT auf Basis Ihres Ist-Zustandes
  • Beratung bei der Umsetzung der neuen aufsichtlichen Anforderungen
  • Unterstützung bei der Prüfungsvorbereitung
  • Prüfungsbegleitung
  • Begleitung von korrektiven Maßnahmen und Nacharbeiten aus Feststellungen