BAIT 2021 (FS) – Haben Sie bereits die neuen Anforderungen der BAIT umgesetzt?

Die drei neuen Themengebiete der BAIT sind maßgeblich auf die IT-Risikominimierung sowie das Notfallmanagement ausgerichtet.

Der Umfang der BAIT vergrößert sich somit auf zwölf Themengebiete. Nachstehend werden wir die Kernaspekte der drei neuen Themengebiete aufzeigen sowie eine Zusammenfassung der Aktualisierungen der bestehenden Kapitel geben. Letztlich zeigen wir, welche Schritte nötig sind, um zukünftig weiterhin alle Anforderungen zu erfüllen.

Operative Informationssicherheit

In dem ersten der drei neuen Kapitel der BAIT werden unter anderem zahlreiche Umsetzungskonkretisierungen vorgenommen, welche sich auf die Anforderungen aus dem Kapitel Informationssicherheitsmanagement beziehen. Wesentlich ist hierbei, dass die Unternehmen angemessene Informationssicherheitsmaßnahmen und -prozesse zu implementieren haben, die sich auf die Überwachung und Steuerung der IT-Risiken beziehen. So werden angemessene Regeln gefordert, die sicherstellen, dass sicherheitsrelevante Ereignisse identifiziert und analysiert werden, um entsprechend auf diese reagieren zu können. In diesem Zusammenhang wird die Etablierung eines Security Operation Centers (SOC) empfohlen. Besonderes Augenmerk wird auf die Überprüfung der Sicherheit der IT-Systeme gelegt, die regelmäßig und anlassbezogen analysiert werden müssen. Die daraus resultierenden Ergebnisse sind auf Verbesserungen zu analysieren und Risiken angemessen zu steuern.

IT-Notfallmanagement

Im zweiten neuen Kapitel der BAIT werden der Rahmen und konkrete Maßnahmen zum IT-Notfallmanagement aufgezeigt. Das Institut hat als Rahmen Ziele zum Notfallmanagement zu definieren, welche die Grundlage für einen Notfallmanagementprozess darstellen. Speziell ist für zeitkritische Aktivitäten und Prozesse ein Notfallkonzept zu erstellen. Die Wirksamkeit der getroffenen Maßnahmen ist regelmäßig zu prüfen. Für die als zeitkritisch definierten Aktivitäten und Prozesse ist die Wirksamkeit jährlich und anlassbezogen nachzuweisen. Hieraus leitet sich die Verpflichtung für alle IT-Systeme ab, welche im Zusammenhang mit den zeitkritischen Aktivitäten und Prozessen stehen, die Wirksamkeit mindestens jährlich und anlassbezogen nachzuweisen sowie Notfallpläne zu erstellen. Zur Überprüfung der Wirksamkeit und der getroffenen Notfallpläne ist mindesten jährlich ein IT-Notfalltest durchzuführen, welcher auf einem IT-Testkonzept fußt. Des Weiteren muss ein Notfallrechenzentrum, welches zur Überbrückung für eine angemessene Zeit zur Wiederherstellung des IT-Normalbetriebs zur Verfügung steht, ausreichend weit entfernt liegen.

Kundenbeziehungen mit Zahlungsdienstnutzern

Dieses Kapitel bezieht sich auf Institute, die Zahlungsdienste im Sinne des § 1 Abs. 1 Satz 2 ZAG erbringen. Die Inhalte des Kapitels werden im Rahmen der Konsultation des Rundschreibens „Zahlungsdiensteaufsichtliche Anforderungen an die IT“ (ZAIT) konsultiert und fließen anschließend in die finale Fassung der BAIT ein.

Aktualisierung der bestehenden Themengebiete

Neben den neuen Kapiteln wurden die bestehenden Kapitel erweitert und verschärft. Übergreifend lässt sich festhalten, dass es insgesamt eine Vertiefung und Erweiterung der Verpflichtungen der Institute gibt. Es werden umfassendere Kontroll- und Testanforderungen definiert, welche ganzheitlicher auch unter einer stärkeren Berücksichtigung Dritter stehen. Neben den verschärften Kontroll-, Test- und Dokumentationsaufgaben ist ein holistischerer Blick auf die Institute hinsichtlich Risikomanagementfunktion über IT-Risikomanagementfunktion bis hin zur IT-Sicherheit etabliert worden.

Institute sind nun geforderdet

Institute müssen die verschärften und aktualisierten Anforderungen der bestehenden Kapitel umsetzen. Dies schließt die Analyse der Ist-Situation mit ein, um Lücken in der Compliance zu eruieren. Insbesondere für die Bereiche der übergreifenden Schnittstellen und Prozesse und die daraus abgeleiteten Kontroll- und Testpflichten. Ausgehend von der Ist-Analyse sind dann Ziele und Anforderungen in den Richtlinien zu etablieren und operative Maßnahmen abzuleiten, um diese in den Prozessen zu verankern.

Für die drei neuen Kapital fallen die zu treffenden Maßnahmen gegebenenfalls höher aus, da neue Pflichten aufkommen. Möglicherweise ist die Aufbau- und Ablauforganisation vollständig zu ändern, da beispielsweise neue Einheiten wie ein Security Operation Center aufzubauen sind, welches prozessual neu eingegliedert und verzahnt werden muss.

Institute sind nun gefordert, die regulatorischen Anforderungen umzusetzen, um adäquat auf die geänderten und verschärften Anforderungen zu reagieren. Jedoch ist eine Umsetzung nach dem „Gießkannenprinzip“ nicht zielführend. Stattdessen: Eine integrierte und risikobasierte Umsetzung! Dies spart Zeit und Kosten im Projekt- und Linienbetrieb und erhöht die Qualität der Projekt- und Arbeitsergebnisse.

Vielen Dank an den Co-Autoren Hans Lohrmann.