Seite wählen

IT-Sicherheit als wesentliche Auslagerung nach MaRisk AT 9

In den MaRisk-Regularien gibt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ein striktes Regelwerk vor, das Banken und Finanzdienstleister beim Outsourcing von Prozessen zu beachten haben. Vor allem für die sogenannten wesentlichen Auslagerungen gelten besondere Vorgaben.

Lesezeit: .

Mehr Informationen zu Lösungen von Myra Security für die Finanzindustrie

Mehr erfahren

Auf einen
Blick

  1. BaFin-Definition von Auslagerungen nach MaRisk
  2. Risikoanalyse als Grundlage
  3. Auslagerungsmanagement für komplexes Outsourcing
  4. Trotz Outsourcing: Verantwortung bleibt im Institut
  5. Höchste Anforderungen an Dienstleister
  6. Vertragliche Anforderungen an wesentliche Auslagerungen (MaRisk AT 9, Textziffer 7)>
  7. Myra Security ist ready: Compliance für MaRisk AT 9 & § 25a KWG
  8. Häufige Fragen zu MaRisk
01

BaFin-Definition von Auslagerungen nach MaRisk

Unternehmen in der Finanzindustrie haben beim IT-Outsourcing strikte Vorgaben zu beachten. In den Mindestanforderungen an das Risikomanagement (MaRisk) der BaFin sind Auslagerungen als „Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen“ definiert, die ansonsten vom jeweiligen Institut selbst bereitgestellt werden. Gemäß § 25b KWG sollen Institute unabhängig von der jeweiligen Art einer Auslagerung angemessene Vorkehrungen zur Risikovermeidung in diesen Bereichen treffen. „Eine Auslagerung darf weder die Ordnungsmäßigkeit dieser Geschäfte und Dienstleistungen noch die Geschäftsorganisation im Sinne des § 25a Abs. 1 beeinträchtigen.“

02

Risikoanalyse als Grundlage

Auf Grundlage einer Risikoanalyse muss das Institut ermitteln, ob es sich beim jeweiligen Outsourcing um eine sogenannte „wesentliche Auslagerung“ handelt. Wesentliche Auslagerungen sind Dienste, die eigenverantwortlich vom Institut unter Risikogesichtspunkten als wesentlich definiert sind. Die Analyse muss im Vorfeld der Auslagerung durchgeführt und kontinuierlich wiederholt werden. Welche konkreten Inhalte darin zu behandeln sind, gibt MaRisk allerdings nicht vor. Eine erneute Analyse empfiehlt sich laut der BaFin bei wesentlichen Auslagerungen jährlich und bei unwesentlichen Auslagerungen alle drei Jahre.

Sobald bei der Risikoanalyse einzelne Aktivitäten und Prozesse durch das Institut als wesentlich eingestuft wurden, sind diese nach den (Mindest-)Anforderungen der MaRisk zu behandeln. Nicht wesentliche Auslagerungen müssen dahingegen die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG erfüllen.

03

Auslagerungsmanagement für komplexes Outsourcing

Seit der 6. Novelle 2021 sehen die MaRisk vor, dass jedes Institut, das Auslagerungen vornimmt, einen zentralen Auslagerungsbeauftragten ernennen muss. Dieser ist der Geschäftsführung direkt unterstellt und kümmert sich um die sukzessive Weiterentwicklung des Auslagerungsmanagements mitsamt der darin enthaltenen Kontroll- und Überwachungsfunktionen. Speziell große Institute, die viele Auslagerungen zu verwalten haben, kamen schon bisher um ein zentrales Auslagerungsmanagement nicht herum – dieses dient als Unterstützung für den Auslagerungsbeauftragten. Hier müssen für die Aufsicht jährlich Berichte erstellt werden, die alle wesentlichen Auslagerungen festhalten. Ferner sind Institute zu entsprechenden Kontroll- und Überwachungsprozessen verpflichtet. Eine kontinuierliche Dokumentation sowie die Koordination und Überprüfung der durchgeführten Risikoanalysen sind ebenso sicherzustellen. Ebenso verpflichtet die BaFin Banken dazu, ein aktuelles Auslagerungsregister zu pflegen, das detaillierte Angaben über sämtliche ausgelagerten und weiterverlagerten Prozesse enthält.

04

Trotz Outsourcing: Verantwortung bleibt im Institut

Trotz des Outsourcings von Prozessen bleibt die Verantwortung stets bei der Geschäftsleitung des Auftraggebers, also bei der Führung des auslagernden Unternehmens. Aus diesem Grund sieht MaRisk auch die Ausarbeitung von Handlungsoptionen vor, die bei einem Ausfall des Dienstleisters die Kontinuität und Qualität des ausgelagerten Services sicherstellen. Dasselbe gilt für den Ausstiegsprozess – beispielsweise beim Wechsel des Dienstanbieters. Die Leitungsaufgaben der Geschäftsleitung selbst gelten laut MaRisk hingegen als nicht auslagerbar.

05

Höchste Anforderungen an Dienstleister

Um die regulatorischen Vorgaben für wesentliche Auslagerungen zu erfüllen, wählen Finanzinstitute ihre Dienstleister stets mit größter Sorgfalt aus. Die strikten Anforderungen an die zu erbringenden Leistungen werden von den Unternehmen zudem laufend überprüft. Der vom DSGV (Deutscher Sparkassen- und Giroverband) und den MaRisk-Experten der Sparkassen-Finanzgruppe erstellte Interpretationsleitfaden für MaRisk definiert die Auswahlkriterien an externe Dienstleister wie folgt:

  • Die Geschäftsprozesse des Auslagerungsunternehmens sind effizient und effektiv ausgestaltet.
  • Das Personal erfüllt die qualitativen Anforderungen für die Bereitstellung der Dienstleistungen.
  • Das Vergütungssystem entspricht den gesetzlichen Anforderungen.
  • Durch die Auslagerung können Prozesse qualitativ gleich- oder höherwertig im Vergleich zur Inhouse-Lösung abgewickelt werden.
  • Das Dienstleistungsunternehmen kann auch individuelle Anliegen und spezifische Prozesse des Instituts berücksichtigen.
  • Auf Basis von vereinbarten Service-Level-Agreements (SLAs) muss es messbare Qualitätskriterien geben.
  • Zur Sicherstellung der Überwachung der Auslagerung muss das Auslagerungsunternehmen aussagekräftige Reports zur Verfügung stellen.
  • Das Auslagerungsunternehmen verhält sich entsprechend den rechtlichen Vorgaben.
06

Vertragliche Anforderungen an wesentliche Auslagerungen (MaRisk AT 9, Textziffer 7)

Um die Qualität und Beständigkeit der ausgelagerten Prozesse auch formell abzusichern, sind in einem umfangreichen Auslagerungsvertrag etwa die zu erbringenden Leistungen, Prüf- und Weisungsrechte sowie Kündigungsfristen festzulegen. Darüber hinaus ist auch das vertragliche Verhältnis im Hinblick auf sogenannte Weiterverlagerungen zu klären. Diese liegen vor, wenn der Dienstleister seinerseits zur Erfüllung der Leistungen ein Subunternehmen engagiert. Besonderes Augenmerk liegt dabei auf mögliche Zustimmungsvorbehalte und einer vertraglich zugesicherten Informationspflicht über die gesamte Lieferkette hinweg bis hin zum Institut.

07

Myra Security ist ready: Compliance für MaRisk AT 9 & § 25b KWG

Myra erfüllt alle Voraussetzungen für Auslagerungen nach MaRisk AT9 und § 25b KWG uneingeschränkt. Namhafte Unternehmen und Organisationen aus der Finanzindustrie nutzen schon seit Jahren die Security-as-a-Service-Plattform von Myra und decken damit ihre Bedürfnisse nach Cybersicherheit und Compliance gleichermaßen ab.

Mehr Informationen zu Lösungen von Myra Security für die Finanzindustrie finden Sie hier
08

Häufige Fragen zu MaRisk

Was sind die MaRisk?

Mit den Mindestanforderungen an das Risikomanagement (MaRisk) gibt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) einen ganzheitlichen Rahmen für das Management aller wesentlichen Risiken von Banken und Finanzdienstleistern vor. Das aufsichtsrechtliche Regelwerk ist prinzipienorientiert und modular aufgebaut, damit Institute individuelle und bedarfsgerechte Prozesse für ein ganzheitliches Risikomanagement aufbauen können. Die MaRisk enthalten etwa Vorgaben zu Aufbau und Absicherung von IT-Systemen sowie zur Auslagerung von Prozessen.

Was ist MaRisk Compliance?
Für den Compliance-gerechten Betrieb ihrer digitalen Dienste müssen Banken und Finanzdienstleister unter anderem die Vorgaben der MaRisk beachten. Die Regulatorik zielt darauf ab, Integrität, Verfügbarkeit, Authentizität sowie Vertraulichkeit von Daten sicherzustellen. Zu diesem Zweck müssen etwa angemessene Prozesse für die IT-Berechtigungsvergabe sowie bedarfsgerechte Identifikationsmethoden und Schutzmaßnahmen für den IT-Betrieb implementiert werden. Außerdem geben die MaRisk ein striktes Regelwerk vor, das beim Outsourcing von Prozessen zu befolgen ist.
Für wen gelten die MaRisk?
Die MaRisk gelten für alle Banken und Finanzdienstleister in Deutschland. Die darin definierten Anforderungen sind von allen Instituten im Sinne von § 1 Abs. 1b KWG beziehungsweise im Sinne von § 53 Abs. 1 KWG zu beachten. Sie gelten auch für die Zweigniederlassungen deutscher Institute im Ausland. Finanzdienstleister haben die Anforderungen insoweit zu beachten, wie dies vor dem Hintergrund der Institutsgröße sowie von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten zur Einhaltung der gesetzlichen Pflichten aus §§ 25a und 25b KWG geboten erscheint.

Erfahren Sie in diesem Ratgeber, wie Banken und Finanzdienstleister ihre IT-Sicherheit durch Outsourcing Compliance-gerecht ausbauen. Diese Themen behandelt die Ausarbeitung:

  • Wie gestaltet sich die aktuelle Bedrohungslandschaft?
  • Wie funktioniert IT-Outsourcing in der Finanzindustrie?
  • Auf was kommt es bei der Risikoanalyse an?
  • Wie sieht eine Compliance-konforme Vertragsgestaltung aus?
  • Was müssen Dienstleister für erfolgreiches Outsourcing mitbringen?

Downloadanfrage

Newsletter abonnieren

Neues Feld