Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat eine neue Version der Bankaufsichtliche Anforderungen an die IT (BAIT) veröffentlicht. In unserer aktuellen Artikelserie geben unsere Experten basierend auf ihren umfangreichen praktischen Erfahrungen mit der BAIT und auf Basis von vielen erkenntnisreichen Gesprächen mit der Aufsicht, Hinweise auf die zu erwartenden Anforderungen an umzusetzende Maßnahmen im Rahmen der BAIT Novelle 2021. Wenn Sie Interesse an einer Zusammenstellung der Artikel per E-Mail haben, melden Sie sich gerne unter info@advisori.de mit dem Stichwort „BAIT 2021“.
Folgende Artikel werden wir in den nächsten Tagen veröffentlichen:
- 04.12.2020 Überblick über den BAIT Konsultationsprozess (dieser Artikel)
- 04.12.2020 BAIT 2021 Kapitel 2: IT-Governance
- 14.12.2020 BAIT 2021 Kapitel 3: Informationsrisikomanagement
- 09.12.2020 BAIT 2021 Kapitel 4: Informationssicherheitsmanagement
- 07.12.2020 BAIT 2021 Kapitel 5: Operative Sicherheit (Neues Kapitel!)
- 08.12.2020 BAIT 2021 Kapitel 6: Identitäts- und Rechtemanagement
- 11.12.2020 BAIT 2021 Kapitel 10: IT-Notfallmanagement (Neues Kapitel!)
Überblick über den BAIT Konsultationsprozess
Die Bankaufsichtliche Anforderungen an die IT (BAIT) ist ein Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), welches erstmals im November 2017 veröffentlicht wurde. Die BAIT präzisiert die Anforderungen aus dem § 25 des Kreditwesengesetzes und die Vorgaben aus der Mindestanforderungen an das Risikomanagement (MaRisk). Wie andere Verwaltungsanweisungen bieten die BAIT einen praxisnahen Rahmen, auf welchen sich die beaufsichtigten Institute einstellen können.
Die aktuell gültige Fassung der BAIT wurde im September 2018 veröffentlicht. Damals wurde das optionale Kapitel Kritische Infrastrukturen ergänzt. Im Rahmen der turnusgemäßen Weiterentwicklung der regulatorischen Vorgaben wurde die jetzt konsultierte Fassung der BAIT veröffentlicht, zu der die Öffentlichkeit bis Ende November schriftlich Stellung nehmen kann. Diese Version ist Grundlage der Novellierung der BAIT im ersten Halbjahr 2021 und wird somit Inhalt der aufsichtsrechtlichen Prüfungen in den kommenden Geschäftsjahren.
Die konsultierte Fassung der BAIT wurde durch Vertreterinnen und Vertreter der BaFin und der Deutschen Bundesbank erstellt, welche durch das Fachgremium-IT unterstützt wurden. Im Anschluss an die öffentliche Konsultationsphase werden die eingegangenen Stellungnahmen durch die BaFin und die Bundesbank konsolidiert und das Ergebnis dem Fachgremium-IT vorgestellt. Für das erste Halbjahr 2021 ist dann eine Novellierung der BAIT und ggf. der MaRisk zu erwarten, eine öffentliche Terminierung ist jedoch noch nicht vorhanden.
Hintergrund der Konsultierung der BAIT ist die Herausgabe der ICT-Guidelines durch die Europäischen Bankenaufsichtsbehörde im November 2019. Hier wurden für den europäischen Binnenmarkt einheitliche Anforderungen an das Informationssicherheitsmanagement und das IT-Management für den Finanzsektor veröffentlicht.
In der konsultierenden Fassung wurden neue Kapitel hinzugefügt und in den bestehenden Themenbereichen inhaltliche Anpassungen, Konkretisierungen sowie Erweiterungen eingearbeitet.
In dem Schaubild ist die zeitliche Entwicklung der aufsichtsrechtlichen Anforderungen an den Finanzsektor in Deutschland dargestellt. Ebenso sind die wichtigsten Neuerungen der konsultierten BAIT mit einer Bewertung der Auswirkung für die beaufsichtigten Institute abgebildet.
Unsere Experten zeigen in dieser Artikelserie die wichtigsten Änderungen der konsultierten BAIT-Fassung auf. Die von der BaFin beaufsichtigen Institutionen sind gut beraten, die konsultierte BAIT-Fassung als einen Fingerzeig für zukünftige aufsichtsrechtliche Anforderungen zu verstehen.
