Seite wählen

IT-Sicherheit als wesentliche Auslagerung nach MaRisk AT 9

In den MaRisk-Regularien gibt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ein striktes Regelwerk vor, das Banken und Finanzdienstleister beim Outsourcing von Prozessen zu beachten haben. Vor allem für die sogenannten wesentlichen Auslagerungen gelten besondere Vorgaben.

Mehr Informationen zu Lösungen von Myra Security für die Finanzindustrie


01

BaFin-Definition von Auslagerungen nach MaRisk

Unternehmen in der Finanzindustrie haben beim IT-Outsourcing strikte Vorgaben zu beachten. In den Mindestanforderungen an das Risikomanagement (MaRisk) der BaFin sind Auslagerungen als „Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen“ definiert, die ansonsten vom jeweiligen Institut selbst bereitgestellt werden. Gemäß § 25b KWG sollen Institute unabhängig von der jeweiligen Art einer Auslagerung angemessene Vorkehrungen zur Risikovermeidung in diesen Bereichen treffen. „Eine Auslagerung darf weder die Ordnungsmäßigkeit dieser Geschäfte und Dienstleistungen noch die Geschäftsorganisation im Sinne des § 25a Abs. 1 beeinträchtigen.“

02

Risikoanalyse als Grundlage

Auf Grundlage einer Risikoanalyse muss das Institut ermitteln, ob es sich beim jeweiligen Outsourcing um eine sogenannte „wesentliche Auslagerung“ handelt. Wesentliche Auslagerungen sind Dienste, die eigenverantwortlich vom Institut unter Risikogesichtspunkten als wesentlich definiert sind. Die Analyse muss im Vorfeld der Auslagerung durchgeführt und kontinuierlich wiederholt werden. Welche konkreten Inhalte darin zu behandeln sind, gibt MaRisk allerdings nicht vor. Eine erneute Analyse empfiehlt sich laut der BaFin bei wesentlichen Auslagerungen jährlich und bei unwesentlichen Auslagerungen alle drei Jahre.

Sobald bei der Risikoanalyse einzelne Aktivitäten und Prozesse durch das Institut als wesentlich eingestuft wurden, sind diese nach den (Mindest-)Anforderungen der MaRisk zu behandeln. Nicht wesentliche Auslagerungen müssen dahingegen die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG erfüllen.

03

Auslagerungsmanagement für komplexes Outsourcing

Speziell bei größeren Instituten, die viele Auslagerungen zu verwalten haben, erfolgt dies über ein zentrales Auslagerungsmanagement, das einen jährlichen Bericht über alle wesentlichen Auslagerungen für die Aufsicht zu erstellen hat. Ferner sieht die BaFin vor, dass Institute für die Implementierung und Weiterentwicklung des Auslagerungsmanagements sowie entsprechender Kontroll- und Überwachungsprozesse Sorge tragen. Eine kontinuierliche Dokumentation der Auslagerungen sowie die Koordination und Überprüfung der durchgeführten Risikoanalysen sind ebenso sicherzustellen.

04

Trotz Outsourcing: Verantwortung bleibt im Institut

Trotz des Outsourcings von Prozessen bleibt die Verantwortung stets bei der Geschäftsleitung des Auftraggebers, also bei der Führung des auslagernden Unternehmens. Aus diesem Grund sieht MaRisk auch die Ausarbeitung von Handlungsoptionen vor, die bei einem Ausfall des Dienstleisters die Kontinuität und Qualität des ausgelagerten Services sicherstellen. Dasselbe gilt für den Ausstiegsprozess – beispielsweise beim Wechsel des Dienstanbieters. Die Leitungsaufgaben der Geschäftsleitung selbst gelten laut MaRisk hingegen als nicht auslagerbar.

05

Höchste Anforderungen an Dienstleister

Um die regulatorischen Vorgaben für wesentliche Auslagerungen zu erfüllen, wählen Finanzinstitute ihre Dienstleister stets mit größter Sorgfalt aus. Die strikten Anforderungen an die zu erbringenden Leistungen werden von den Unternehmen zudem laufend überprüft. Der vom DSGV (Deutscher Sparkassen- und Giroverband) und den MaRisk-Experten der Sparkassen-Finanzgruppe erstellte Interpretationsleitfaden für MaRisk (PDF) definiert die Auswahlkriterien an externe Dienstleister wie folgt:

  • Die Geschäftsprozesse des Auslagerungsunternehmens sind effizient und effektiv ausgestaltet.
  • Das Personal erfüllt die qualitativen Anforderungen für die Bereitstellung der Dienstleistungen.
  • Das Vergütungssystem entspricht den gesetzlichen Anforderungen.
  • Durch die Auslagerung können Prozesse qualitativ gleich- oder höherwertig im Vergleich zur Inhouse-Lösung abgewickelt werden.
  • Das Dienstleistungsunternehmen kann auch individuelle Anliegen und spezifische Prozesse des Instituts berücksichtigen.
  • Auf Basis von vereinbarten Service-Level-Agreements (SLAs) muss es messbare Qualitätskriterien geben.
  • Zur Sicherstellung der Überwachung der Auslagerung muss das Auslagerungsunternehmen aussagekräftige Reports zur Verfügung stellen.
  • Das Auslagerungsunternehmen verhält sich entsprechend den rechtlichen Vorgaben.
06

Vertragliche Anforderungen an wesentliche Auslagerungen (MaRisk AT 9, Textziffer 7)

Um die Qualität und Beständigkeit der ausgelagerten Prozesse auch formell abzusichern, sind in einem umfangreichen Auslagerungsvertrag etwa die zu erbringenden Leistungen, Prüf- und Weisungsrechte sowie Kündigungsfristen festzulegen. Darüber hinaus ist auch das vertragliche Verhältnis im Hinblick auf sogenannte Weiterverlagerungen zu klären. Diese liegen vor, wenn der Dienstleister seinerseits zur Erfüllung der Leistungen ein Subunternehmen engagiert. Besonderes Augenmerk liegt dabei auf mögliche Zustimmungsvorbehalte und einer vertraglich zugesicherten Informationspflicht über die gesamte Lieferkette hinweg bis hin zum Institut.

07

Myra Security ist ready: Compliance für MaRisk AT 9 & § 25b KWG

Myra erfüllt alle Voraussetzungen für Auslagerung nach MaRisk AT9 & § 25b KWG uneingeschränkt. Namhafte Unternehmen und Organisationen aus der Finanzindustrie nutzen schon seit Jahren die Secuirty-as-a-Service-Plattform von Myra und decken damit ihre Bedürfnisse nach Cybersicherheit und Compliance gleichermaßen ab.