Anforderungen an die Bank-IT

Hohe Cyber-Widerstandsfähigkeit und Informationssicherheit sind zentrale aufsichtsrechtliche und gesetzliche Anforderungen an Institute und IKT-Infrastrukturen im Finanzsektor. Im Fokus der europäischen Aufsicht steht aktuell die Harmonisierung zukunftsfähiger Rahmenbedingungen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) setzt derweil ihrerseits die nationale Umsetzung bereits bestehender Anforderungen an die IT fort und erweitert dabei die Regelungen für einen sicheren IT-Betrieb und ein umfassendes Notfallmanagement.

Die BaFin hatte bis Ende 2020 ihre Novelle der „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) öffentlich konsultiert. Mit den BAIT werden die Vorgaben der European Banking Authority (EBA) insbesondere an das IKT- und das Sicherheitsrisikomanagement, vor allem in den neuen Kapiteln „Operative Informationssicherheit“ und „IT-Notfallmanagement“, umgesetzt. Der bereits im Frühjahr 2020 über das Fachgremium IT der BaFin aufgenommene intensive Austausch zur BAIT-Novelle zwischen der Aufsicht und den Verbänden der Deutschen Kreditwirtschaft (DK) konnte mit einer Erörterung des finalen Entwurfs nun Ende Januar 2021 zunächst abgeschlossen werden.

Die Veröffentlichung und das Inkrafttreten der neuen BAIT sollen zusammen mit der sechsten MaRisk-Novelle und den „Zahlungsdienstaufsichtlichen Anforderungen an die IT“ (ZAIT) bis zur Jahresmitte 2021 erfolgen.

Die Europäische Kommission hatte bereits Ende September 2020 im Rahmen ihres „Digital Finance Package“ einen Legislativvorschlag zur digitalen operationellen Widerstandsfähigkeit vorgelegt, der direkt und grundsätzlich für alle Finanzinstitute gelten soll. Dieser beinhaltet eine Vielzahl detaillierter und teilweise neuer Regelungen für das IKT-Sicherheitsrisikomanagement und für Sicherheitstests sowie für den IT-Betrieb. Darüber hinaus sieht der Entwurf der Verordnung insbesondere auch die Schaffung eines Aufsichtsrahmens für kritische IKT-Dienstleister wie z. B. große Cloud-Anbieter vor. Für die ab 2022 geplante Umsetzung sollen die Vorgaben von den europäischen Aufsichtsbehörden in Regulatory Technical Standards (RTS) noch weitergehend konkretisiert werden.

Unsere Positionen

Wir sind insgesamt für klare und zugleich vereinfachende Anforderungen im Umgang mit IKT-Sicherheitsrisiken und IT-Auslagerungen unter Einhaltung des Proportionalitätsprinzips. Daher unterstützen wir auch die optionale Zertifizierung ausgesuchter IT-Produkte oder -Dienstleistungen (z. B. die von Cloud-Diensten im Auslagerungsfall). Eine verpflichtende Zertifizierung von (sicherheitsrelevanten) Produkten und Leistungen lehnen wir aber ab. Dies würde die verfügbare Produktauswahl einschränken.

Wir weisen darauf hin, dass die vorgesehenen Regelungen im Legislativvorschlag zur digitalen operationellen Widerstandsfähigkeit der Europäischen Kommission deutlich über das Harmonisierungsziel hinausgehen und dabei das Proportionalitätsprinzip kaum mehr Berücksichtigung findet. Die geplanten Regelungen würden somit ohne weitere Differenzierung für alle Banken gleichermaßen zur Anwendung kommen.

Wir plädieren für eine eindeutige gesetzliche Regelungsgrundlage zur umfassenden Einbeziehung der nationalen Aufsichtsbehörden in die zukünftige Aufsichtsführung und -praxis im Verordnungsvorschlag zur operationellen Widerstandsfähigkeit der Europäischen Kommission. Ausschließlich die nationalen Aufsichten können die individuellen Gegebenheiten und Zusammenhänge ausreichend gut bewerten.

Wir befürworten das Vorhaben der Europäischen Kommission, einen Aufsichtsrahmen für kritische IKT-Dienstleister, insbesondere große international tätige Cloud-Dienstleister, schaffen zu wollen. Dieser sollte unbedingt mit aufsichtsrechtlichen Erleichterungen für Finanzinstitute u. a. durch eindeutige Verpflichtung der Dienstleister zum Nachweis anforderungskonformer Leistungserbringung einhergehen.