Anforderungen an die Bank-IT

Die Europäische Zentralbank (EZB) und die Europäische Bankenaufsichtsbehörde (EBA) haben 2018 mit TIBER-EU ein Programm aufgelegt, das die Banken widerstandsfähiger gegen Cyberattacken machen soll. Bei diesem „ethischen Hacking“ sollen beauftragte Angriffe auf die Infrastrukturen der Institute erfolgen. Die Deutsche Bundesbank koordiniert die deutsche Umsetzung von TIBER unter Einbeziehung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Die Institute sind aufgefordert, sich freiwillig zu beteiligen.

2018 wurde in der EU der „Rechtsakt zur Cybersicherheit“ beschlossen, der die Cybersicherheit unter anderem durch Cybersicherheitszertifizierungen verbessern soll. Ein 2019 bekannt gewordener interner Gesetzentwurf des Bundesministeriums des Innern, für Bau und Heimat (BMI) für das zweite IT-Sicherheitsgesetz (IT-SiG 2.0) sieht einen Ausbau von Zuständigkeiten und Kompetenzen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vor. Anforderungen an Betreiber kritischer Infrastrukturen (KRITIS) sollen zukünftig auch über diese hinaus gelten können. Dazu gehören auch die Herstellererklärung zur „Vertrauenswürdigkeit“ von Kernkomponenten im KRITIS-Betrieb und die Einführung eines „freiwilligen IT-Sicherheitskennzeichens“. Mit der Veröffentlichung eines überarbeiteten Entwurfs ist im Jahresverlauf 2020 zu rechnen.

Durch die 2019 veröffentlichten neuen EBA-Leitlinien zu Auslagerungen sollen die Bedingungen für Auslagerungen europaweit harmonisiert werden. Die BaFin formuliert ihrerseits die Bankaufsichtlichen Anforderungen an die IT (BAIT). Damit präzisiert sie die Anforderungen des Kreditwesengesetzes und die Mindestanforderungen an das Risikomanagement (MaRisk) unter anderem in den Bereichen IT-Governance, -Steuerung und -Betrieb und die Cyber- sowie die Informationssicherheit. Infolge der neuen EBA-Leitlinien zu Auslagerungen plant die BaFin ein weiteres Kapitel der BAIT zum IT-Notfallmanagement in Finanzinstituten, das auch die Anforderungen für das Informations- und Kommunikationstechnologie(IKT)- und das Sicherheitsrisikomanagement berücksichtigt.

Unsere Positionen

Wir setzen uns dafür ein, dass Aufsicht und Gesetzgeber die bestehende Regulierung auf europäischer und nationaler Ebene kontinuierlich auf ihre Angemessenheit hin überprüfen. Mögliche Entlastungen der Kreditinstitute müssen konsequent realisiert werden.

Wir sprechen uns für eine Regulierung mit Augenmaß aus, die alle Faktoren und mögliche (auch negative) Auswirkungen einbezieht und berücksichtigt. Nur so können TIBER-EU oder das zweite IT-Sicherheitsgesetz am Ende zu mehr Cybersicherheit beitragen.

Wir befürworten grundsätzlich Initiativen zur Etablierung europaweit einheitlicher IT-Sicherheitsstandards und Aufsichtspraktiken, die die Cybersicherheit verbessern. Diese sollten sich aber am Vorbild der deutschen Praxis orientieren. So sind die Anforderungen an das IT-Informationssicherheits(risiko)management in den deutschen BAIT bereits ausreichend verankert. Neue, zusätzliche Anforderungen würden die Situation des wettbewerblichen Vergleichs in Europa und weltweit verschlechtern und zudem die Nutzung von Innovationen in der Bank-IT behindern. Eine regulatorische Beruhigung ist dringend notwendig.

 

Wir sind für klare und zugleich vereinfachende europäische und nationale Anforderungen im Umgang mit IT-Auslagerungen. Daher unterstützen wir auch die Zertifizierung ausgesuchter IT-Produkte oder -Dienstleistungen (beispielsweise durch die optionale Zertifizierung von Cloud-Diensten im Auslagerungsfall). Eine verpflichtende Zertifizierung von (sicherheitsrelevanten) Produkten und Leistungen lehnen wir aber ab. Dies würde die verfügbare Produktauswahl einschränken.

Wir fordern die durchgängige Anwendung des in den MaRisk und den BAIT verankerten Proportionalitätsprinzips und eine dahingehende Harmonisierung und Begleitung der Prüfungspraxis.