Bankaufsichtliche Anforderungen an die IT (BAIT)

BAIT – Bankaufsichtliche Anforderungen an die IT

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat mit den BAIT –Bankaufsichtliche Anforderungen an die IT – die Anforderungen an die IT-Geschäftsorganisation für Banken und Finanzdienstleistungsinstitute neu ausgelegt.

Das veröffentlichte Rundschreiben 10/2017 gibt auf der Grundlage des § 25a Abs. 1 des Kreditwesengesetzes (KWG) einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute.

Wirksame IT-Geschäftsorganisation nach BAIT

Die Rahmenbedingungen an eine IT-Geschäftsorganisation wurden durch die BAIT wie folgt konkretisiert:

  • IT Strategie
  • IT-Governance
  • Informationsrisikomanagement
  • Informationssicherheitsmanagement
  • Benutzerberechtigungsmanagement
  • IT-Projekte, Anwendungsentwicklung
  • IT-Betrieb
  • Auslagerung und sonstiger Fremdbezug
  • IT-Kritische Infrastruktur

Unsere Lösung

Ist Ihnen der Reifegrad Ihrer IT-Geschäftsorganisation nach BAIT bekannt? In einem ersten Quick Check überprüfen wir, ob Ihre Auf- und Ablauforganisation den regulatorischen Anforderungen an die BAIT entspricht.

Die Rahmenbedingungen der BAIT im Detail

Folgende Rahmenbedingungen wurden dem BaFin Rundschreiben 10/2017 in der Fassung vom 14.09.2018 entnommen.

IT Strategie

Nach den BAIT hat eine Bank oder Finanzdienstleistungsinstitut die IT-Strategie (vgl. BAIT  II. 1. Tz. 1) die Anforderungen nach AT 4.2 der MaRisk zu erfüllen. Dies beinhaltet insbesondere, dass die Geschäftsleitung eine nachhaltige IT-Strategie festlegt, in der die Ziele, sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden.

IT-Governance

Unter IT-Governance (vgl. BAIT II. 2. Tz. 3) wird die Struktur zur Steuerung sowie Überwachung des IT-Betriebs verstanden. Damit verbunden ist auch die  Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse auf Basis der IT-Strategie. 

Maßgeblich hierfür sind insbesondere die Regelungen zu folgenden Themenbereichen:

  • IT-Aufbau- und IT-Ablauforganisation (vgl. AT 4.3.1 MaRisk),
  • Informationsrisiko- sowie Informationssicherheitsmanagement (vgl. AT 4.3.2 MaRisk, AT 7.2 Tz. 2 und 4 MaRisk),
  • quantitativ und qualitativ angemessene Personalausstattung der IT (vgl. AT 7.1 MaRisk) sowie 
  • Umfang und Qualität der technisch-organisatorischen Ausstattung (vgl. AT 7.2 Tz. 1 MaRisk)

Regelungen für die IT-Aufbau- und IT-Ablauforganisation sind bei Veränderungen der Aktivitäten und Prozesse zeitnah anzupassen (vgl. AT 5 Tz. 1 und 2 MaRisk).

Informationsrisikomanagement

Die Informationsverarbeitung und -weitergabe in Geschäfts- und Serviceprozessen wird durch datenverarbeitende IT-Systeme und zugehörige IT-Prozesse unterstützt. Deren Umfang und Qualität hat sich insbesondere an betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie an der Risikosituation zu orientieren (vgl. AT 7.2 Tz. 1 MaRisk). 

IT-Systeme und zugehörige IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen (vgl. AT 7.2 Tz. 2 MaRisk). Das Institut hat die mit dem Management der Informationsrisiken verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikationswege zu definieren und aufeinander  abzustimmen (vgl. AT 4.3.1 Tz 2 MaRisk). Hierfür hat das Institut angemessene Überwachungs- und Steuerungsprozesse einzurichten (vgl. AT 7.2 Tz. 4 MaRisk) und diesbezügliche Berichtspflichten zu definieren (vgl. BT 3.2. Tz. 1 MaRisk).

Informationssicherheitsmanagement

Das Informationssicherheitsmanagement macht Vorgaben zur Informationssicherheit, definiert Prozesse und steuert deren Umsetzung (vgl. AT 7.2 Tz. 2 MaRisk). Das Informationssicherheitsmanagement folgt einem fortlaufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung umfasst. Die inhaltlichen Berichtspflichten des Informationssicherheitsbeauftragten an die Geschäftsleitung sowie der Turnus der Berichtserstattung orientieren sich an BT 3.2 Tz. 1 MaRisk.

Berechtigungsmanagement

Ein Benutzerberechtigungsmanagement stellt sicher, dass den Benutzern eingeräumte Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben des Instituts entspricht. Das Benutzerberechtigungsmanagement hat die Anforderungen nach AT 4.3.1 Tz. 2, AT 7.2 Tz. 2, sowie BTO Tz. 9 der MaRisk zu erfüllen.

IT-Projekte und Anwendungsentwicklung

Wesentliche Veränderungen in den IT-Systemen im Rahmen von IT-Projekten, deren Auswirkung auf die IT-Aufbau- und IT-Ablauforganisation sowie die dazugehörigen IT-Prozesse sind im Rahmen einer Auswirkungsanalyse zu bewerten (vgl. AT 8.2 Tz. 1 MaRisk). Im Hinblick auf den erstmaligen Einsatz sowie wesentliche Veränderungen von IT-Systemen sind die Anforderungen des AT 7.2 (insbesondere Tz. 3 und Tz. 5) MaRisk, AT 8.2 Tz. 1 MaRisk sowie AT 8.3 Tz. 1 MaRisk zu erfüllen.

IT-Betrieb

Der IT-Betrieb hat die Erfüllung der Anforderungen, die sich aus der Umsetzung der Geschäftsstrategie sowie aus den IT-unterstützten Geschäftsprozessen ergeben, umzusetzen (vgl. AT 7.2 Tz. 1 und Tz. 2 MaRisk).

Auslagerung und sonstiger Fremdbezug  von IT-Dienstleistungen

IT-Dienstleistungen umfassen alle Ausprägungen des Bezugs von IT; dazu zählen insbesondere die Bereitstellung von IT-Systemen, Projekte/Gewerke oder Personalgestellung. Die Auslagerungen der IT-Dienstleistungen haben die Anforderungen nach AT 9 der MaRisk zu erfüllen. 

Dies gilt auch für Auslagerungen von IT-Dienstleistungen, die dem Institut durch ein Dienstleistungsunternehmen über ein Netz bereitgestellt werden (z. B. Rechenleistung, Speicherplatz, Plattformen oder Software) und deren Angebot, Nutzung und Abrechnung dynamisch und an den Bedarf angepasst über definierte technische Schnittstellen sowie Protokolle erfolgen (Cloud-Dienstleistungen). Das Institut hat auch beim sonstigen Fremdbezug von IT-Dienstleistungen die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG zu beachten (vgl. AT 9 Tz. 1 – Erläuterungen – MaRisk). Bei jedem Bezug von Software sind die damit verbundenen Risiken angemessen zu bewerten (vgl. AT 7.2 Tz. 4 Satz 2 MaRisk).