Wichtige Entwicklungen für regulierte Unternehmen im Finanzwesen: Am 16.08.2021 veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Novellen der Mindestanforderungen an das Risikomanagement der Banken (MaRisk), der Bankaufsichtlichen Anforderungen an die IT (BAIT) und das neue Rundschreiben der Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT).
Unsere Experten haben BAIT und ZAIT für Sie analysiert und mit den zuvor zur Konsultation gestellten Entwürfen verglichen:
BAIT – Entwurf der Novelle um Inhalte der ZAIT ergänzt
Die BAIT richten sich an Kreditinstitute und Finanzdienstleister und formulieren feste Anforderungen an die IT-Sicherheit und die technisch-organisatorische Ausstattung mit Schwerpunkt auf IT-Ressourcen und IT-Risikomanagement.
Gegenüber dem Entwurf des Rundschreibens vom Oktober 2020 wurden zum einen sprachliche Anpassungen vorgenommen. Beispielsweise wurde der Begriff „IT-Sicherheit“ konsequent durch den umfassenderen Terminus „Informationssicherheit“ ersetzt. An anderen Stellen wurden Streichungen vorgenommen, um klarzustellen, dass Schutzmaßnahmen umfassend anzuwenden sind. Im Kapitel 6 zu Identitäts- und Rechtemanagement wurde beispielsweise der Zusatz, dass Zugriffe „auch bei nicht personalisierten Aktivitäten“ zuordenbar sein müssen, gestrichen. Nun heißt es kürzer, aber unmissverständlicher: „Zugriffe und Zugänge müssen jederzeit zweifelsfrei einer handelnden bzw. verantwortlichen Person (möglichst automatisiert) zuzuordnen sein.“
Die umfassendste Änderung stellt das neue Kapitel 11 zum Management der Beziehungen mit Zahlungsdienstnutzern dar. Hier wird umfangreich beschrieben, durch welche Maßnahmen und Kommunikationsprozesse Institute ihre Zahlungsdienstnutzer aktiv in Bezug auf sicherheitsrelevante Risiken, wie zum Beispiel Betrug, unterstützen und beraten sollen. Es werden unter anderem folgende Anforderungen genannt:
- Die Informationen und Beratungsangebote sollen inhaltlich immer aktuell sein und an aktuelle Bedrohungslagen angepasst werden.
- Falls möglich, soll dem Zahlungsdienstnutzer angeboten werden, einzelne Zahlungsfunktionalitäten deaktivieren zu können, indem er dies schriftlich oder online beantragt.
- Der Zahlungsdienstnutzer soll Betragsobergrenzen, wie Tageslimits beim Überweisen per Online-Banking, anpassen können.
- Zahlungsdienstnutzer sollen in die Lage versetzt werden, betrügerische Aktivitäten selbst zu erkennen, indem sie zum Beispiel in einem gewissen Rahmen über fehlgeschlagene Transaktionen informiert werden.
- Neuerungen der Sicherheitsverfahren von Zahlungsdienstleistern, die Auswirkungen auf den Dienstnutzer haben, sollen zeitnah kommuniziert werden.
ZAIT – Entwurf ohne signifikante fachliche Änderungen übernommen
Die ZAIT gelten für Zahlungsinstitute und E-Geld-Institute, das heißt für alle unter § 1 Abs. 3 des Zahlungsdiensteaufsichtsgesetzes (ZAG) beschriebenen Institute. Auch sie formulieren feste Anforderungen an die IT-Sicherheit und die technisch-organisatorische Ausstattung mit Schwerpunkt auf IT-Ressourcen und IT-Risikomanagement.
Der Vergleich zwischen dem nun veröffentlichten Rundschreiben und der Konsultationsfassung vom 12.04.2021 zeigt lediglich Anpassungen an einzelnen Formulierungen. Wie auch schon die vorherigen BaFin-Regulatoriken treten die ZAIT unmittelbar, ohne Übergangsfrist, in Kraft. Somit greifen sie ab sofort für künftige BaFin-Prüfungen regulierter Institute, wodurch entsprechende Prozesse zur Harmonisierung innerhalb der Institute schnellstmöglich in Angriff genommen werden müssen.
VAIT – Entwurf der Novelle zur Konsultation gestellt
Die Finalisierung der ZAIT dient nun als Grundlage zur Überarbeitung der Versicherungsaufsichtlichen Anforderungen an die IT (VAIT). Die BaFin hat diese Woche einen überarbeiteten Entwurf des Rundschreibens zur Konsultation gestellt, an der auch unsere Experten sich beteiligen. Über relevante Erkenntnisse unserer Experten zum Entwurf werden wir Sie selbstverständlich auf dem Laufenden halten.
- Update (Oktober 2021) -
Unsere Experten für Informationssicherheit im Finanzwesen, Felix Schmidt und Dr. Christian Schwartz, betrachteten am 21.09.2021 im Rahmen des Live-Webinars „Sind Sie bereit für die ZAIT?“ die wichtigsten Anforderungen und mögliche nächste Schritte. Die Aufzeichnung des einstündigen Webinars hier für Sie:
Die detaillierten Rundschreiben der BaFin finden Sie hier:
Bankaufsichtlichen Anforderungen an die IT (BAIT)
Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)
