BaFin novelliert MaRisk und BAIT: Höhere Compliance-Hürden für Banken

SECURITY INSIGHTS | 20 August 2021

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat die Novellen ihrer Mindestanforderungen an das Risikomanagement der Banken (MaRisk) und der Bankenaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht. Darin wurden unter anderem die Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) zu Auslagerungen (EBA/GL/2019/02) umgesetzt sowie einzelne Anforderungen aus den EBA-Leitlinien zum Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04) einbezogen.

Aus den novellierten MaRisk und BAIT ergeben sich neue Herausforderungen und Mehrbelastungen für Banken. Sie müssen ihre Prozesse überprüfen und gegebenenfalls an die neuen bzw. konkretisierten Regelungen anpassen. Das gilt insbesondere für Auslagerungen.

Bestimmung eines Auslagerungsbeauftragten wird verpflichtend

Die Änderungen in MaRisk AT 9 betreffen den gesamten Auslagerungszyklus. So wurden Anforderungen zur Risikoanalyse, zur Ausgestaltung des Auslagerungsvertrags sowie zur Steuerung und Überwachung der Risiken von Auslagerungsvereinbarungen erweitert und präzisiert. Beispielsweise hat die BaFin unter AT 9 Tz. 7 klargestellt, dass bei wesentlichen Auslagerungen in dem in Textform dokumentierten Auslagerungsvertrag neben Informations- und Prüfungsrechten auch die für den „Zugang, Zutritt oder Zugriff“ erforderlichen Rechte zu berücksichtigen sind.

Um die Steuerung und Überwachung der Risiken von Auslagerungsvereinbarungen zentral zu bündeln, müssen auslagernde Institute einen Auslagerungsbeauftragten bestimmen. Bei umfangreichen und komplexen Auslagerungen ist dieser durch ein zentrales Auslagerungsmanagement zu unterstützen, das auch auf Gruppen- bzw. Verbundebene eingerichtet werden kann. Darüber hinaus müssen Institute ein Auslagerungsregister mit Informationen über alle Auslagerungsvereinbarungen vorhalten und fortlaufend aktualisieren. Die in dem Register zu erfassenden Paramater sind in den Nummern 54 und 55 der EBA-Leitlinien zu Auslagerungen definiert.

Erweiterte Vorschriften zum Notfallmanagement erhöhen Abstimmungsaufwand

Der neu gefasste MaRisk-Abschnitt AT 7.3 sowie die BAIT enthalten neue bzw. konkretisierte Anforderungen an das Notfallmanagement. Sie sehen unter anderem ein Notfallkonzept vor, in dem dargestellt ist, welche Ersatzlösungen im Notfall zeitnah verfügbar sein müssen und wie eine Rückkehr zum Normalbetrieb verlaufen soll. Das neue BAIT-Kapitel „IT-Notfallmanagement“, das weitestgehend auf MaRisk AT 7.3 basiert, verpflichtet Institute zur Einrichtung von Wiederanlauf-, Notbetriebs- und Wiederherstellungsplänen für zeitkritische Prozesse und Aktivitäten. Die Wirksamkeit dieser drei Arten von IT-Notfallplänen ist auf Grundlage eines IT-Testkonzepts mindestens jährlich zu überprüfen.

Durch die erweiterten Anforderungen zum Notfallmanagement entsteht für viele Banken ein hoher Abstimmungsaufwand. Denn im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen müssen das auslagernde Institut und der Auslagerungspartner über synchronisierte Notfallkonzepte verfügen.

Institute müssen verstärkt Wirksamkeitskontrollen durchführen

Das ebenfalls neue BAIT-Kapitel „Operative Informationssicherheit“ umfasst erweiterte Anforderungen an die Ausgestaltung von Wirksamkeitskontrollen für bereits umgesetzte Informationssicherheitsmaßnahmen in Form von Tests und Übungen. Konkret genannt werden unter Punkt 5.6 „Abweichungsanalysen (Gapanalysen), Schwachstellenscans, Penetrationstests und Simulationen von Angriffen“. Oberstes Ziel ist ein effektives Informationssicherheitsmanagementsystem (ISMS), das die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität aller Daten sicherstellt. Dazu müssen Institute die Sicherheit ihrer IT-Systeme regelmäßig, anlassbezogen und unter Vermeidung von Interessenkonflikten überprüfen. Die Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren und Risiken angemessen zu steuern.

Anforderungen an Logging und Monitoring steigen

Darüber hinaus konkretisiert die BAIT-Novelle die Anforderungen an das Logging und Monitoring, also die Protokollierung von Ereignissen und die Überwachung in Echtzeit, sowie an die Erkennung und Analyse sicherheitsrelevanter Ereignisse. So sind potenziell sicherheitsrelevante Informationen angemessen zeitnah, regelbasiert und zentral auszuwerten. Außerdem müssen sie zur späteren Auswertung für eine angemessene Zeit verfügbar sein. Auch hier entsteht Banken ein Mehraufwand, weil sie Regeln zur Identifizierung sicherheitsrelevanter Ereignisse definieren, regelmäßig prüfen und weiterentwickeln müssen.

Konkretisierungen sind unmittelbar umzusetzen

Die 6. Novelle der MaRisk sowie die Neufassung der BAIT sind mit ihrer Veröffentlichung am 16. August 2021 in Kraft getreten. Hinsichtlich der MaRisk müssen Institute nur die Konkretisierungen unmittelbar anwenden. Für die Implementierung der Änderungen durch neue Anforderungen gilt eine Übergangsfrist bis zum 31. Dezember 2021. Bestehende oder bereits ausgehandelte Auslagerungsverträge müssen bis Ende 2022 angepasst werden. Für die BAIT gibt es keine Übergangsfrist, weil sie lediglich bestehende Vorgaben konkretisiert.

Straffere Regulatorik soll Cybersicherheit erhöhen

Im Zuge der fortlaufenden Digitalisierung von Services und operationellem Geschäft spielt die IT-Sicherheit in der Finanzindustrie eine immer gewichtigere Rolle. Um die Cyberresilienz zu erhöhen, setzen Aufsichtsbehörden wie die BaFin auf eine zunehmend straffere Regulatorik und rücken das Thema Cybersicherheit verstärkt ins Zentrum ihrer Prüfungen. Banken und Finanzdienstleister werden sich daher intensiver denn je mit ihrer IT-Architektur sowie mit Compliance-Themen befassen müssen. Vor diesem Hintergrund stellen Dienstleister für die Auslagerung digitaler Prozesse eine attraktive Möglichkeit dar, den Inhouse-Aufwand zu reduzieren und dennoch alle Anforderungen an IT-Sicherheit und Compliance optimal zu decken.

Myra erfüllt alle Anforderungen der BaFin

Als erfahrener Spezialdienstleister für Cybersicherheit im Finanzsektor begleitet Myra Security schon lange wesentliche und nicht wesentliche Auslagerungen nach KWG § 25, MaRisk AT 9 und BAIT. Mit unserer Expertise unterstützen wir Banken beim Auslagerungs- und Notfallmanagement. Compliance ist unser Tagesgeschäft. Erst kürzlich haben wir in einem freiwilligen KRITIS-Audit erneut nachgewiesen, dass wir höchste Sicherheitsanforderungen erfüllen und damit selbst strengsten Wirksamkeitskontrollen standhalten. Unser Security Operations Center (SOC) überwacht 24/7 alle Systeme und Ereignisse in Echtzeit. Außerdem stellen wir Kunden Analysedaten in Echtzeit und übersichtlich aufbereitet auf konfigurierbaren Dashboards bereit. Namhafte Unternehmen und Organisationen aus der Finanzindustrie nutzen seit Jahren die Security-as-a-Service-Plattform von Myra, um ihre Bedürfnisse nach Cybersicherheit und Compliance gleichermaßen abzudecken.

Ähnliche Artikel