Anforderungen an die Bank-IT

Cybersicherheit ist eine zentrale Anforderung an die IT der Institute und für diese auch unabhängig von der Corona-Krise von grundlegender Bedeutung. Krisenbedingt ist mit einer erhöhten Anzahl an Cyberangriffen zu rechnen. Die Europäische Bankenaufsichtsbehörde (EBA) hat Ende April im Rahmen ihrer Mitteilung über zusätzliche Überwachungsmaßnahmen während der COVID-19-Pandemie auf die aktuell besonders große Bedeutung eines sicheren IT-Betriebs für die Sicherstellung eines kontinuierlichen Geschäftsbetriebes hingewiesen.

Das Rahmenwerk TIBER-EU der Europäischen Zentralbank (EZB) und der EBA soll die Widerstandsfähigkeit der Banken gegen Cyberattacken stärken. Durch ein „ethisches Hacking“ sollen zu Testzwecken beauftragte Angriffe auf die Infrastrukturen der Institute erfolgen. Die Deutsche Bundesbank koordiniert die deutsche Umsetzung von TIBER unter Einbeziehung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Die Institute sind aufgefordert, sich freiwillig zu beteiligen.

2018 wurde in der EU der „Rechtsakt zur Cybersicherheit“ beschlossen, der die Cybersicherheit durch Zertifizierungen, u. a. bei Cloud-Dienstleistungen, verbessern soll. Ein 2019 bekannt gewordener interner Gesetzentwurf des Bundesministeriums

des Innern, für Bau und Heimat (BMI) für das zweite IT-Sicherheitsgesetz (IT-SiG 2.0) sieht einen Ausbau von Zuständigkeiten und Kompetenzen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vor. Anforderungen an Betreiber kritischer Infrastrukturen (KRITIS) sollen zukünftig auch über diese hinaus gelten können. Auch eine Erklärung zur „Vertrauenswürdigkeit“ von Kernkomponenten im KRITIS-Betrieb und die Einführung eines „freiwilligen IT-Sicherheitskennzeichens“ sind vorgesehen. Mit der Veröffentlichung eines überarbeiteten Entwurfs ist im Jahresverlauf 2020 zu rechnen.

Die BaFin formuliert die Bankaufsichtlichen Anforderungen an die IT (BAIT). Ende März hat sie einen ersten Entwurf der geplanten BAIT-Novelle übermittelt, der die Anforderungen der EBA an das IKT- und das Sicherheitsrisikomanagement u. a. in neuen Kapiteln zur „Operativen IT-Sicherheit“ und zum „IT-Notfallmanagement“ umsetzt. Nach erfolgter Erörterung im BaFin-Fachgremium IT ist eine öffentliche Konsultation noch in 2020 vorgesehen.

Unsere Positionen

Wir setzen uns dafür ein, dass die BaFin die besondere Belastungssituation der Institute infolge der COVID-19-Pandemie bei der BAIT-Novelle berücksichtigt. Dazu sind u. a. ein verlängerter Konsultationszeitraum und besonders eine angemessene Umsetzungsfrist für die neuen Anforderungen erforderlich.

Wir sprechen uns für eine Regulierung mit Augenmaß aus, die alle Faktoren und mögliche (auch negative) Auswirkungen einbezieht und berücksichtigt. Nur so können TIBER-EU oder das zweite IT-Sicherheitsgesetz am Ende zu mehr Cybersicherheit beitragen.

Wir sind für klare und zugleich vereinfachende europäische und nationale Anforderungen, speziell im Umgang mit IT-Auslagerungen. Daher unterstützen wir auch die Zertifizierung ausgesuchter IT-Produkte oder -Dienstleistungen (beispielsweise durch die optionale Zertifizierung von Cloud-Diensten im Auslagerungsfall). Eine verpflichtende Zertifizierung von (sicherheitsrelevanten) Produkten und Leistungen lehnen wir aber ab. Dies würde die verfügbare Produktauswahl einschränken.

Wir fordern die durchgängige Anwendung des in den MaRisk und den BAIT verankerten Proportionalitätsprinzips und eine dahingehende Harmonisierung und Begleitung der Prüfungspraxis.