BaFin veröffentlicht finale MaRisk sowie neue BAIT und neues Rundschreiben zu ZAIT
Nach einer längeren Konsultationsphase hat die BaFin am 16.08.2021 die 6. Novelle ihrer Mindestanforderungen an das Risikomanagement, kurz MaRisk, sowie eine Neufassung der BAIT veröffentlicht.
- MaRisk
Mit dem Start der Konsultationsphase im Oktober 2020 wurden die Beweggründe der Konsultationen bereits durch die BaFin dargestellt. So geht es insbesondere darum, internationale Vorgaben zu übernehmen. Die neuen MaRisk setzen die Leitlinien der EBA zu notleidenden und gestundeten Risikopositionen (Guidelines on management of non-performing and forborne exposures – NPE Guidelines) sowie zu Auslagerungen (Guidelines on outssourcing arrangements – Outsourcing Guidelines) und zum ICT Risk (Guidelines on ICT an Security Risk Management – ICT Guidelines) um.
Die wesentlichen Veränderungen und Neuerungen der MaRisk werden in dem Übersendungsschreiben der BaFin erläutert, welches auch als Anlage zum download auf der Homepage der BaFin zur Verfügung steht.Die Neufassung der MaRisk tritt mit ihrer Veröffentlichung in Kraft, wie dem Anschreiben zur Veröffentlichung zu entnehmen ist. Sofern die novellierten MaRisk aber neue Anforderungen bringen, gilt eine Übergangsfrist bis zum 31.12.2021.
- BAIT
Die Bankenaufsichtlichen Anforderungen an die IT (BAIT) zeigen auf, welche Rahmenbedingungen für eine sichere Informationsverarbeitung und Informationstechnik die Bankenaufsicht erwartet. Die BAIT gelten unmittelbar, da die BaFin nach eigenen Angaben, keine grundlegend neuen Anforderungen stellt.
Auch wenn es keine grundlegenden Änderungen gibt, sind die BAIT doch an einigen Stellen erweitert und angepasst worden, wie der Pressemitteilung der BaFin zu entnehmen ist. So formuliert die BaFin in einem neuen Kapitel „Operative Informationssicherheit“ zum Beispiel Anforderungen an die Ausgestaltung von Wirksamkeitskontrollen für bereits umgesetzte Informationssicherheitsmaßnahmen in Form von Tests und Übungen. Solche Wirksamkeitskontrollen wie etwa Abweichungsanalysen (Gapanalysen), Schwachstellenscans, Penetrationstests und Simulationen von Angriffen sind nach Ansicht der BaFin ein wesentlicher Bestandteil eines jeden effektiven und nachhaltigen Informationssicherheitsmanagementsystems. Die Institute müssen demnach die Sicherheit der IT-Systeme regelmäßig und anlassbezogen kontrollieren. Interessenkonflikte sind hierbei zu vermeiden. Wer an der Konzeption und Umsetzung von Sicherheitsmaßnahmen beteiligt war, darf diese zum Beispiel nicht nachher prüfen, wie die BaFin weiter ausführt. Die Institute müssen die Ergebnisse solcher Wirksamkeitskontrollen analysieren, Verbesserungsbedarf identifizieren und Risiken angemessen steuern.
Die Unternehmen sollen die neuen Anforderungen in einer internen Richtlinie fixieren, welche die Aufsicht nun im Kapitel „Informationssicherheitsmanagement“ fordert. In dem Kapitel finden sich auch Anforderungen an das Logging und Monitoring. So sind beispielsweise potenziell sicherheitsrelevante Informationen angemessen zeitnah, regelbasiert und zentral auszuwerten und müssen für eine angemessene Zeit zur späteren Auswertung zur Verfügung stehen. Dafür ist ein Portfolio an Regeln zur Identifizierung sicherheitsrelevanter Ereignisse zu definieren und weiterzuentwickeln.
Der erweiterte AT 7.3 „Notfallmanagement“ in den neuen MaRisk bildet nach Angabe der BaFin die Grundlage für das neue BAIT-Kapitel „IT-Notfallmanagement“. Für zeitkritische Prozesse und Aktivitäten sieht es die Einrichtung von Wiederanlauf-, Notbetriebs- und Wiederherstellungsplänen vor.
Ob diese drei Arten von IT-Notfallplänen wirksam sind, müssen die Institute laut BAIT jährlich prüfen – und zwar auf der Grundlage eines IT-Testkonzepts. - ZAIT
Das dritte neue Kapitel der BAIT heißt „Management der Beziehungen mit Zahlungsdienstnutzern“. Es stammt aus dem neuen Rundschreiben „Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten“ (ZAIT). Seine Inhalte sind auch für große Teile der BAIT-Zielgruppe relevant.
Mit dem Rundschreiben „Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)“ konkretisiert die BaFin die aufsichtlichen IT-Anforderungen für Zahlungs- und E-Geld-Institute. Die Anforderungen orientieren sich an den IT-Anforderungen für Banken (BAIT) und beinhalten insbesondere die EBA Anforderungen aus den EBA-Leitlinien für IKT und Sicherheitsrisikomanagement (GL/2017/17) sowie den EBA-Leitlinien zu Auslagerungen (GL 2019/02).
Die ZAIT finden nach Information der BaFin unmittelbar nach Veröffentlichung Anwendung. Die Übergangsfristen aus den EBA-Leitlinien finden aber entsprechende Berücksichtigung. - Links zu den Downloads
Die neuen MaRisk nebst Anlagen stehen unter diesem Link auf der Homepage der BaFin zum Download bereit.
Die geänderten BAIT stehen mit den Anlagen unter diesem Link auf der Homepage der BaFin zum Download bereit.
Die ZAIT finden Sie unter diesem Link auf der Homepage der BaFin.
In den nachfolgend aufgeführten Webinaren greifen wir die aktuellen MaRisk und BAIT auf und verschaffen Ihnen somit einen Einblick in die aktuellen Papiere der BaFin:
ADG Webinar: Die Neufassung der BAIT - Vorstellung der endgültigen Fassung
am 08.09.2021 - ST0621-513
BaFin aktualisiert MaComp
Bereits im Juli hat die BaFin die MaComp überarbeitet, das Rundschreiben zu den Mindestanforderungen an die Compliance-Funktion und die weiteren Verhaltens-, Organisations- und Transparenzpflichten für Wertpapierdienstleistungsunternehmen. Wie der Pressemitteilung zu entnehmen ist, liegt der Grund der Novellierung an den notwendigen Anpassungen an die Leitlinien zu den Anforderungen an die Compliance-Funktion der Europäischen Wertpapieraufsichtsbehörde ESMA, welche die BaFin in den besonderen Teil (BT) 1 der MaComp überführt hat. Die ESMA hatte ihre im Jahr 2012 veröffentlichten Leitlinien überarbeitet und die neue Fassung am 5. Juni 2020 in englischer Sprache und am 6. April 2021 in deutscher Sprache veröffentlicht. Die überarbeiteten ESMA-Leitlinien berücksichtigen insbesondere das Product Governance-Regime und die daraus resultierenden Änderungen für die Compliance-Funktion, so die BaFin. Die BaFin hat nach eigener Angabe daher insbesondere die Anforderungen an die Überwachungshandlungen, die Beratungsaufgaben und die Beteiligung der Compliance-Funktion an Prozessen im BT 1 ergänzt. Zudem hat sie die Vorgaben, die an den jährlichen Compliance-Bericht gestellt werden, umfassend überarbeitet. Sie bilden die ESMA-Leitlinien nahezu unverändert ab.
Die geänderten MaComp finden Sie zum Download auf der Homepage der BaFin bereit.