Anforderungen an die Bank-IT

Cyberwiderstandsfähigkeit und Informationssicherheit sind zentrale aufsichtsrechtliche und gesetzliche Anforderungen an Institute und IKT-Infrastrukturen im Finanzsektor. Für die Sicherstellung eines kontinuierlichen Geschäftsbetriebes sind besonders ein sicherer IT-Betrieb und ein umfassendes Notfallmanagement von grundlegender Bedeutung.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) konsultiert aktuell bis Ende November 2020 ihre Novelle der „Bankaufsichtlichen Anforderungen an die IT“ (BAIT). Mit dieser werden die Vorgaben der European Banking Authority (EBA) insbesondere an das IKT- und das Sicherheitsrisikomanagement u. a. in den neuen Kapiteln „Operative Informationssicherheit“ und „IT-Notfallmanagement“ umgesetzt. Ein intensiver und kontinuierlicher Austausch zur BAIT-Novelle zwischen der Aufsicht und den Verbänden der Deutschen Kreditwirtschaft (DK) erfolgte seit dem Frühjahr 2020 im Fachgremium IT der BaFin. Im Rahmen der öffentlichen Konsultation soll nun eine abschließende gemeinsame Stellungnahme der DK abgegeben werden.

Bereits 2018 wurde in der EU der „Rechtsakt zur Cybersicherheit“ beschlossen, der die Cybersicherheit durch Zertifizierungen, u. a. bei Cloud-Dienstleistungen, verbessern soll. Die Europäische Kommission hat nun Ende September 2020 im Rahmen ihres „Digital Finance Package“ einen Legislativvorschlag zur digitalen operationellen Widerstandsfähigkeit vorgelegt. Dieser beinhaltet eine Vielzahl detaillierter Regelungen zum IKT-Sicherheitsrisikomanagement inkl. Testing, zum Incident-Management und -Reporting sowie zum IKT-Notfallmanagement, die für eine Umsetzung von der EBA in Regulatory Technical Standards (RTS) noch weitergehend konkretisiert werden sollen. Darüber hinaus sieht der Entwurf der Verordnung die Schaffung eines Aufsichtsrahmens für kritische IKT-Dienstleister wie z. B. große Cloud-Anbieter vor. Insgesamt will die EU-Kommission eine Harmonisierung vorhandener und ergänzender Regelungen zur Verbesserung der Cyberresilienz und des IKT-Sicherheitsrisikomanagements im Finanzsektor erreichen. Dabei ist insbesondere auch die zukünftige Beteiligung der nationalen Aufsichten wie der BaFin an der Aufsichtsführung und -praxis Gegenstand der Regelungen.

Unsere Positionen

Wir sind insgesamt für klare und zugleich vereinfachende europäische und nationale Anforderungen, speziell im Umgang mit IKT-Sicherheitsrisiken und IT-Auslagerungen. Daher unterstützen wir auch die Zertifizierung ausgesuchter IT-Produkte oder -Dienstleistungen, bspw. durch die optionale Zertifizierung von Cloud-Diensten im Auslagerungsfall. Eine verpflichtende Zertifizierung von (sicherheitsrelevanten) Produkten und Leistungen lehnen wir aber ab. Dies würde die verfügbare Produktauswahl einschränken.

Wir fordern die durchgängige Anwendung des in den MaRisk und den BAIT verankerten Proportionalitätsprinzips und dessen Anwendung in der Prüfungspraxis durch die Aufsichtsbehörden.

Wir weisen darauf hin, dass die vorgesehenen Regelungen im Legislativvorschlag zur digitalen operationellen Widerstandsfähigkeit der Europäischen Kommission über das Harmonisierungsziel deutlich hinausgehen und das Proportionalitätsprinzip kaum mehr Berücksichtigung findet. Die geplanten Regelungen würden ohne weitere Differenzierung für alle Banken gleichermaßen zur Anwendung kommen.

 

Wir plädieren für eine eindeutige gesetzliche Regelung zur umfassenden Einbeziehung der nationalen Aufsichtsbehörden in die zukünftige Aufsichtsführung und -praxis im Verordnungsvorschlag zur operationellen Widerstandsfähigkeit der Europäischen Kommission. Ausschließlich die nationalen Aufsichten können die individuellen Gegebenheiten und Zusammenhänge ausreichend gut bewerten.

Wir begrüßen das Vorhaben der Europäischen Kommission, einen Aufsichtsrahmen für kritische IKT-Dienstleister, insbesondere große international tätige Cloud-Dienstleister, schaffen zu wollen. Dieser sollte unbedingt mit aufsichtsrechtlichen Erleichterungen für Finanzinstitute, u. a. durch eindeutige Verpflichtung der Dienstleister zum Nachweis anforderungskonformer Leistungserbringung, einhergehen.