Vorhaben der IT-Aufsicht im Jahr 2020

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat beim letzten Fachgremium IT im Oktober 2019 einen Überblick über die für 2020 geplanten IT-aufsichtlichen Vorhaben gegeben.

Dabei stehen Anpassungen infolge der vorgesehenen Änderungen der MaRisk AT 9 bei Auslagerungen, des vorgesehenen neuen Moduls zum IT-Notfallmanagement und die Aufnahme von Anforderungen an das IT-Risikomanagement im Vordergrund.

Darüber hinaus wurden mögliche Einzelanpassungen entlang der BAIT-Module vorgestellt. Bei diesen geht es unter anderem um Anforderungen an die personell-organisatorische Aufstellung des Informationssicherheitsbeauftragten (ISB), an die IT-Risikoanalyse beziehungsweise -bewertung sowie an die Funktionstrennung bei der Entwicklung und dem Betrieb von Anwendungen.

Bei der deutschen Umsetzung von TIBER-EU zur Erhöhung der Cybersicherheit wird die BaFin die Deutsche Bundesbank, die das Vorhaben koordiniert, bei den ersten TIBER-Tests der Institute begleiten.

Auch das Bundesministerium des Innern, für Bau und Heimat (BMI) wird im kommenden Jahr seinen Entwurf zur Novellierung des IT-Sicherheitsgesetzes (IT-SiG 2.0) vorlegen, der mit konkreten Anforderungen, zum Beispiel an die Produkthaftung und -sicherheit, auch für den Finanzsektor von Bedeutung sein könnte. 

Wir erwarten insgesamt eine Vielzahl von Anpassungen der BAIT und des IT-Sicherheitsgesetzes im Jahresverlauf 2020, deren genaue Auswirkung und Relevanz jedoch erst mit Vorliegen der konkreten Inhalte bewertet werden können.