Weiterentwicklung der Bankfachlichen Anforderungen an die IT (BAIT) - Bundesverband Öffentlicher Banken Deutschlands, VÖB, e.V.

14. September 2018: Weiterentwicklung der Bankfachlichen Anforderungen an die IT (BAIT)

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat bereits Mitte September 2018 das von kreditwirtschaftlichen Betreibern kritischer Infrastrukturen optional anwendbare neunte Kapitel „Kritische Infrastrukturen“ (KRITIS) für die Erbringung des Nachweises gemäß § 8 a Abs. 3 BSI-Gesetz, zum Beispiel durch den Jahresabschlussprüfer, veröffentlicht.

Aktuell beginnen die Aufseher von BaFin und Deutscher Bundesbank mit der Konkretisierung ihrer Anforderungen aus AT 7.3 (Notfallkonzept) der MaRisk für ein zukünftiges zehntes Kapitel „IT-Notfallmanagement“. Dabei stehen der gesicherte Wiederanlauf und die Wiederherstellung (zeit-)kritischer IT-Systeme nach erheblichen Störungen, Krisen oder Notfällen im Fokus. Es ist davon auszugehen, dass die Aufsicht dazu unter anderem konkrete Anforderungen an die Verzeichnisführung der IT-Systeme und -Prozesse, die Identifikation und Priorisierung der IT-Systeme, die Notfallplanung und deren regelmäßiges Testen formulieren wird.

Mit der Veröffentlichung eines Konsultationsentwurfs und gegebenenfalls auch einer weitergehenden Betrachtung im BaFin- Fachgremium IT ist voraussichtlich im zweiten Quartal 2019 zu rechnen.

Mit Blick auf die zwischenzeitlich bei der BaFin diskutierte Implementierung zahlungsverkehrsspezifischer Anforderungen an die IT aus den PSD2 in den BAIT ist nunmehr wahrscheinlich, dass diese vorerst nicht als eigenes Kapitel der BAIT veröffentlicht werden. Hier wollen die nationalen Aufseher dem Vernehmen nach im nächsten Schritt erst einmal deren Berücksichtigung in den in Vorbereitung befindlichen EBA-Leitlinien zum IKT-Risikomanagement (IKT – Informations- und Kommunikationstechnik) abwarten.