IT-Regulatorik-Update

Täglich gehen Zahlungs- und E-Geld-Institute mit einer Vielzahl von sensiblen Kunden- und Nutzerinformationen um. Nun hat die BaFin nach den Rundschreiben BAIT, VAIT und KAIT erwartungsgemäß auch ein(en) IT-Regelwerk(-sentwurf) für Zahlungsinstitute und E-Geld-Institute veröffentlicht. Wie die regulatorischen Anforderungen in den ZAIT ausgestaltet sind, welche Neuerungen sich ergeben haben und was Sie (neu) zu beachten haben, lesen Sie hier:

Am 12. April eröffnete die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Konsultationsprozess zum Rundschreiben „Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)“. Nicht nur begriffstechnisch, sondern auch inhaltlich erinnert der Entwurf stark an die bereits geltenden Anforderungen an die IT für Banken (BAIT), Versicherungen (VAIT) und Kapitelverwaltungsgesellschaften (KAIT). Mit dem neuen Entwurf werden die Anforderungen an die IT deutlich konkreter. Bis dato finden sich im Zahlungsdiensteaufsichtsgesetz (ZAG) solche Anforderungen und Vorgaben in § 26 ZAG (Auslagerung) und § 27 1.1 (IT-Notfallmanagement) wieder. Auch die deutlich ältere Leitlinie des Bundesverbands der Zahlungs- und E-Geld-Institute (BVZI) aus dem Jahr 2015 stellt hier nur in geringem Maß Anforderungen und ist nicht verpflichtend. Dies alles wird sich, nach finaler Veröffentlichung der ZAIT, wesentlich ändern. Wir haben für Sie die wesentlichen Punkte, Neuerungen und Altbekanntes zusammengefasst.

Inhalte ZAIT

Die Themengebiete der ZAIT decken sich nahezu mit denen der BAIT. Diese sind nach Regelungstiefe und -umfang nicht abschließend, sondern grundsätzlich auf geltende Standards abzustellen. Zu diesen Standards wird zum Beispiel der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik gezählt.

Bei der Umsetzung der ZAIT werden die Maßnahmen durch Anwendung des Proportionalitätsprinzips individuell an die Risiken des jeweiligen Instituts angepasst. Zur Ermittlung der Risikoausprägung können die Institutsgröße sowie die Art und der Umfang der erbrachten Zahlungsdienste Indikatoren darstellen.

Die Anforderungen der ZAIT teilen sich in folgende zwölf Unterpunkte auf:

1. IT-Strategie

Die Geschäftsführung muss eine konsistente IT-Strategie festlegen, diese regelmäßig und anlassbezogen überprüfen und für deren Umsetzung sorgen.

Die Anforderungen an eine Strategie sind in exakt die gleichen sechs Unterpunkte gefasst, wie wir diese bereits aus den BAIT kennen. Somit besteht auch hier ein Verweis auf die gängigen Standards. In der Regel reichen hier ein kurzer Abgleich und ergänzende Passagen, sollten Sie bestimmte Anforderungen, wie z. B. die strategische Entwicklung der IT-Architektur, noch nicht inhaltlich dargestellt haben.

2. IT-Governance

Zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse auf Basis der IT-Strategie soll die IT-Governance die Struktur vorgeben.

Auch hier findet sich das gleiche Anforderungsprofil der BAIT wieder. Wenngleich nicht unter 2.1 auf MaRisk-Anforderungen querverwiesen wird, folgen die entsprechenden Anforderungen wort-wörtlich im darauffolgenden Punkt 2.2. Auch hier rücken vor allem die Anforderungen hinsichtlich Funktionstrennungs- bzw. Interessenskonflikten sowie die Implementierung von Key Performance Indicators (KPIs) zur angemessenen Steuerung der IT in den Vordergrund.

3. Informationsrisikomanagement

Auch hier erwarten Sie keine großen Überraschungen, wenn Sie bereits firm mit den BAIT sind. Die Anforderungen enthalten die Standardsätze wie: „Die datenverarbeitenden IT-Systeme und zugehörige IT-Prozesse zur Informationsverarbeitung und -weitergabe sollen in deren Umfang und Qualität an die betriebsinternen Erfordernisse, die Geschäftsaktivitäten sowie an die Risikosituation angepasst werden. Zur Sicherstellung der Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten sind angemessene Überwachungs- und Steuerungsprozesse einzurichten und diesbezügliche Berichtspflichten zu definieren.“ Der Fokus wird somit weiterhin auf die Schutzbedarfsanalyse sowie das dazugehörige Risikomanagement gelegt

4. Informationssicherheitsmanagement

Analog zum vorangegangenen Kapitel sind auch hier keine Erneuerungen enthalten. Obwohl das Thema Informationssicherheitsmanagement an sich sehr detailliert und granular in Form von Minimalanforderungen dargestellt ist, sind auch hier die Themengebiete wie Informationssicherheitsrichtlinie, -prozesse und -beauftragte hinreichend bekannt.

5. Operative Informationssicherheit

Ein Kapitel ist bereits in den BAIT für die Thematik Informations- und Cyber Security geschaffen. Die operative Informationssicherheit wurde mit Anforderungen hinsichtlich der Implementierung eines vollumfänglichen Security Information and Event Management (SIEM) Systems bis hin zu den Vorgaben zur Überprüfung und Durchführung von Vulnerability Scans und Penetrationtests versehen.

6. Identitäts- und Rechtemanagement

„Jedes Institut soll ein Identitäts- und Rechtemanagement einrichten, um sicherzustellen, dass die eingeräumten Berechtigungen nach den organisatorischen und fachlichen Vorgaben des Instituts genutzt werden.“

In diesem Kapitel findet sich bei genauer Betrachtung eine erste kleinere Abweichung bzw. Erneuerung zu den BAIT. So wird unter Punkt 6.5 neben dem Rezertifizierungsprozess ebenfalls das Minimalprinzip von Rollen und Berechtigungen dargestellt.

Etwas erleichtert wird die Rezertifizierung, sodass wesentliche Berechtigungen jedes Jahr und die restlichen Berechtigungen im Drei-Jahres-Rhythmus validiert werden müssen. Dies ist so in den BAIT nicht vorgesehen.

7. IT-Projekte und Anwendungsentwicklung

Das bereits in den BAIT sehr umfangreich dargestellte IT-Projekt- und Change-Management ist in diesem Entwurf um einen Punkt kürzer. So fehlt die Vorgabe, dass „IT-Systeme […] vor ihrem erstmaligen Einsatz und nach wesentlichen Veränderungen zu testen und von den fachlich sowie auch von den technisch zuständigen Mitarbeitern abzunehmen“ sind.

Alle weiteren (detaillierten) Anforderungen sind analog zu den BAIT ebenfalls gefordert. Erfahrungsgemäß bedarf es hier Nachschärfungen im Bereich der Definition, Differenzierung und Implementierung eines reinen IT-Projekt-Managements.

8. IT-Betrieb

Auch dieses Kapitel wurde, nach initialen und nicht allzu marginalen Anpassungen innerhalb der BAIT, ebenfalls von den ZAIT übernommen. So finden sich auch hier keine Überraschungen und Themen wie Incident & Problem Management, Back-Up Management sowie die Steuerung von Leistungs- und Kapazitätsbedarf sind weiterhin enthalten.

9. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Das neunte Kapitel der ZAIT weist verstärkt auf die Paragrafen 26 und 27 ZAG. Es wird deutlich, dass die Anforderungen hier konkreter und ausführlicher als noch in den BAIT dargestellt werden. Insgesamt gibt es zehn zusätzlich inhaltlich hinzugefügte Punkte, welche detailliert die Anforderungen darstellen und nicht zuletzt auf die EBA-Richtlinien verweisen.

10. Notfallmanagement

Das bereits im BAIT-Entwurf neu geschaffene Kapitel Notfallmanagement kommt in den ZAIT nochmals umfangreicher daher. So wurden drei zusätzliche Anforderungspunkte ergänzt und auf die bestehenden aufgesetzt. Zwar stehen diese noch im Einklang mit gängigen Standards, wie z. B. des BSI 100-4 sowie ISO/IEC 2700x, sind aber insgesamt im Detail sehr umfangreich und auch an die jeweiligen Dienstleister zu vererben und entsprechend zu kontrollieren und steuern.

11. Management der Beziehungen mit Zahlungsdienstnutzern

„Die nach § 53 ZAG geforderten Risikomaßnahmen hinsichtlich operationeller und sicherheitsrelevanter Risiken beinhalten auch Maßnahmen, mit denen die Zahlungsdienstnutzer für die Reduzierung insbesondere von Betrugsrisiken direkt adressiert werden. […]“. In diesem Kapitel wird nochmals auf die Besonderheiten resultierend aus den bereits bestehenden Anforderungen verwiesen, welche sich jedoch bereits in den ZAG größtenteils wiederfinden.

12. Kritische Infrastrukturen

Auch für KRITIS-Betreiber hat sich nichts geändert und so greifen weiterhin die gängigen Gesetze und Anforderungen.

Hieraus sollten sich keine Änderungs- und Anpassungsbedürfnisse ergeben.

Ausblick und Auswirkungen

Der am 14. Mai 2021 durch die BaFin zur Konsultation gestellte Entwurf ist zwar noch nicht final verabschiedet, aber es ist davon auszugehen, dass die meisten Anforderungen der ZAIT umgesetzt werden müssen. Bisher ist im Entwurf keine Umsetzungsfrist genannt, daher gehen wir davon aus, dass die ZAIT nach ihrer endgültigen Verlautbarung gegen Ende des Jahres 2021 unmittelbar in Kraft treten und prüfungspflichtig sein werden.

Wie empfehlen anhand des Konsultationsentwurfes eine Analyse des eigenen Unternehmens vorzunehmen. Unsere Mazars-Expert*innen können Sie dabei im Rahmen der IT-prüfungsnahen Beratung unterstützen.