IT-Sicherheit als wesentliche Auslagerung nach MaRisk AT 9
In den MaRisk-Regularien gibt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ein striktes Regelwerk vor, das Banken und Finanzdienstleister beim Outsourcing von Prozessen zu beachten haben. Vor allem für die sogenannten wesentlichen Auslagerungen gelten besondere Vorgaben.
Lesezeit: .

Mehr Informationen zu Lösungen von Myra Security für die Finanzindustrie
Auf einen
Blick
- BaFin-Definition von Auslagerungen nach MaRisk
- Risikoanalyse als Grundlage
- Auslagerungsmanagement für komplexes Outsourcing
- Trotz Outsourcing: Verantwortung bleibt im Institut
- Höchste Anforderungen an Dienstleister
- Vertragliche Anforderungen an wesentliche Auslagerungen (MaRisk AT 9, Textziffer 7)>
- Myra Security ist ready: Compliance für MaRisk AT 9 & § 25a KWG
- Häufige Fragen zu MaRisk
01
BaFin-Definition von Auslagerungen nach MaRisk
Unternehmen in der Finanzindustrie haben beim IT-Outsourcing strikte Vorgaben zu beachten. In den Mindestanforderungen an das Risikomanagement (MaRisk) der BaFin sind Auslagerungen als „Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen“ definiert, die ansonsten vom jeweiligen Institut selbst bereitgestellt werden. Gemäß § 25b KWG sollen Institute unabhängig von der jeweiligen Art einer Auslagerung angemessene Vorkehrungen zur Risikovermeidung in diesen Bereichen treffen. „Eine Auslagerung darf weder die Ordnungsmäßigkeit dieser Geschäfte und Dienstleistungen noch die Geschäftsorganisation im Sinne des § 25a Abs. 1 beeinträchtigen.“




02
Risikoanalyse als Grundlage
Auf Grundlage einer Risikoanalyse muss das Institut ermitteln, ob es sich beim jeweiligen Outsourcing um eine sogenannte „wesentliche Auslagerung“ handelt. Wesentliche Auslagerungen sind Dienste, die eigenverantwortlich vom Institut unter Risikogesichtspunkten als wesentlich definiert sind. Die Analyse muss im Vorfeld der Auslagerung durchgeführt und kontinuierlich wiederholt werden. Welche konkreten Inhalte darin zu behandeln sind, gibt MaRisk allerdings nicht vor. Eine erneute Analyse empfiehlt sich laut der BaFin bei wesentlichen Auslagerungen jährlich und bei unwesentlichen Auslagerungen alle drei Jahre.
Sobald bei der Risikoanalyse einzelne Aktivitäten und Prozesse durch das Institut als wesentlich eingestuft wurden, sind diese nach den (Mindest-)Anforderungen der MaRisk zu behandeln. Nicht wesentliche Auslagerungen müssen dahingegen die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG erfüllen.


03
Auslagerungsmanagement für komplexes Outsourcing
Seit der 6. Novelle 2021 sehen die MaRisk vor, dass jedes Institut, das Auslagerungen vornimmt, einen zentralen Auslagerungsbeauftragten ernennen muss. Dieser ist der Geschäftsführung direkt unterstellt und kümmert sich um die sukzessive Weiterentwicklung des Auslagerungsmanagements mitsamt der darin enthaltenen Kontroll- und Überwachungsfunktionen. Speziell große Institute, die viele Auslagerungen zu verwalten haben, kamen schon bisher um ein zentrales Auslagerungsmanagement nicht herum – dieses dient als Unterstützung für den Auslagerungsbeauftragten. Hier müssen für die Aufsicht jährlich Berichte erstellt werden, die alle wesentlichen Auslagerungen festhalten. Ferner sind Institute zu entsprechenden Kontroll- und Überwachungsprozessen verpflichtet. Eine kontinuierliche Dokumentation sowie die Koordination und Überprüfung der durchgeführten Risikoanalysen sind ebenso sicherzustellen. Ebenso verpflichtet die BaFin Banken dazu, ein aktuelles Auslagerungsregister zu pflegen, das detaillierte Angaben über sämtliche ausgelagerten und weiterverlagerten Prozesse enthält.
04
Trotz Outsourcing: Verantwortung bleibt im Institut
Trotz des Outsourcings von Prozessen bleibt die Verantwortung stets bei der Geschäftsleitung des Auftraggebers, also bei der Führung des auslagernden Unternehmens. Aus diesem Grund sieht MaRisk auch die Ausarbeitung von Handlungsoptionen vor, die bei einem Ausfall des Dienstleisters die Kontinuität und Qualität des ausgelagerten Services sicherstellen. Dasselbe gilt für den Ausstiegsprozess – beispielsweise beim Wechsel des Dienstanbieters. Die Leitungsaufgaben der Geschäftsleitung selbst gelten laut MaRisk hingegen als nicht auslagerbar.




05
Höchste Anforderungen an Dienstleister
Um die regulatorischen Vorgaben für wesentliche Auslagerungen zu erfüllen, wählen Finanzinstitute ihre Dienstleister stets mit größter Sorgfalt aus. Die strikten Anforderungen an die zu erbringenden Leistungen werden von den Unternehmen zudem laufend überprüft. Der vom DSGV (Deutscher Sparkassen- und Giroverband) und den MaRisk-Experten der Sparkassen-Finanzgruppe erstellte Interpretationsleitfaden für MaRisk definiert die Auswahlkriterien an externe Dienstleister wie folgt:
- Die Geschäftsprozesse des Auslagerungsunternehmens sind effizient und effektiv ausgestaltet.
- Das Personal erfüllt die qualitativen Anforderungen für die Bereitstellung der Dienstleistungen.
- Das Vergütungssystem entspricht den gesetzlichen Anforderungen.
- Durch die Auslagerung können Prozesse qualitativ gleich- oder höherwertig im Vergleich zur Inhouse-Lösung abgewickelt werden.
- Das Dienstleistungsunternehmen kann auch individuelle Anliegen und spezifische Prozesse des Instituts berücksichtigen.
- Auf Basis von vereinbarten Service-Level-Agreements (SLAs) muss es messbare Qualitätskriterien geben.
- Zur Sicherstellung der Überwachung der Auslagerung muss das Auslagerungsunternehmen aussagekräftige Reports zur Verfügung stellen.
- Das Auslagerungsunternehmen verhält sich entsprechend den rechtlichen Vorgaben.


06
Vertragliche Anforderungen an wesentliche Auslagerungen (MaRisk AT 9, Textziffer 7)
Um die Qualität und Beständigkeit der ausgelagerten Prozesse auch formell abzusichern, sind in einem umfangreichen Auslagerungsvertrag etwa die zu erbringenden Leistungen, Prüf- und Weisungsrechte sowie Kündigungsfristen festzulegen. Darüber hinaus ist auch das vertragliche Verhältnis im Hinblick auf sogenannte Weiterverlagerungen zu klären. Diese liegen vor, wenn der Dienstleister seinerseits zur Erfüllung der Leistungen ein Subunternehmen engagiert. Besonderes Augenmerk liegt dabei auf mögliche Zustimmungsvorbehalte und einer vertraglich zugesicherten Informationspflicht über die gesamte Lieferkette hinweg bis hin zum Institut.
07
Myra Security ist ready: Compliance für MaRisk AT 9 & § 25b KWG
Myra erfüllt alle Voraussetzungen für Auslagerungen nach MaRisk AT9 und § 25b KWG uneingeschränkt. Namhafte Unternehmen und Organisationen aus der Finanzindustrie nutzen schon seit Jahren die Security-as-a-Service-Plattform von Myra und decken damit ihre Bedürfnisse nach Cybersicherheit und Compliance gleichermaßen ab.


08
Häufige Fragen zu MaRisk
Was sind die MaRisk?
Mit den Mindestanforderungen an das Risikomanagement (MaRisk) gibt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) einen ganzheitlichen Rahmen für das Management aller wesentlichen Risiken von Banken und Finanzdienstleistern vor. Das aufsichtsrechtliche Regelwerk ist prinzipienorientiert und modular aufgebaut, damit Institute individuelle und bedarfsgerechte Prozesse für ein ganzheitliches Risikomanagement aufbauen können. Die MaRisk enthalten etwa Vorgaben zu Aufbau und Absicherung von IT-Systemen sowie zur Auslagerung von Prozessen.
Was ist MaRisk Compliance?
Für wen gelten die MaRisk?
Für weitere Informationen übersenden wir Ihnen gerne kostenfrei unser Whitepaper
Erfahren Sie in diesem Ratgeber, wie Banken und Finanzdienstleister ihre IT-Sicherheit durch Outsourcing Compliance-gerecht ausbauen. Diese Themen behandelt die Ausarbeitung:
- Wie gestaltet sich die aktuelle Bedrohungslandschaft?
- Wie funktioniert IT-Outsourcing in der Finanzindustrie?
- Auf was kommt es bei der Risikoanalyse an?
- Wie sieht eine Compliance-konforme Vertragsgestaltung aus?
- Was müssen Dienstleister für erfolgreiches Outsourcing mitbringen?