Neue BAIT: Anforderungen und erste Praxisimplikationen

Ralf Kluge, Senior IT-Auditor/-Consultant, AWADO GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft[1]

I.          Einleitung

Mit dem Rundschreiben (RS) 10/2017 hatte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Bankaufsichtlichen Anforderungen an die IT (BAIT) erstmalig als Verwaltungsanweisung im Jahr 2017 veröffentlicht[2], um den Geschäftsleitungen der Kreditinstitute die Erwartungshaltung der Bankenaufsicht hinsichtlich der sicheren Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse sowie der diesbezüglichen Anforderungen an die IT-Governance transparent zu machen. 

Die BAIT sind laut dem BaFin-Anschreiben an die Verbände der Kreditwirtschaft der zentrale Baustein für die IT-Aufsicht im deutschen Bankensektor. Sie interpretieren die Anforderungen des § 25a Abs. 1 Kreditwesengesetz (KWG) sowie des § 25b KWG und konkretisieren die in den Mindestanforderungen an das Risikomanagement (MaRisk) enthaltenen Anforderungen in Bezug auf die IT. 

Die BAIT basieren, wie die MaRisk, auf dem Prinzip der doppelten Proportionalität[3]. Das heißt, bei der Umsetzung und Prüfung der Anforderungen sind Art, Umfang, Komplexität und Risikogehalt der IT-gestützten Geschäftsaktivitäten zu berücksichtigen. Es handelt sich bei ihnen um normeninterpretierende Verwaltungsvorschriften, die eine Selbstbindung der deutschen Aufsicht gegenüber den relevanten Instituten darstellen. 

Am 14.09.2018 hatte die BaFin eine aktualisierte Fassung der BAIT mit einem zusätzlichen Abschnitt zum Thema „Kritische Infrastrukturen“ veröffentlicht[4]. Ansonsten waren die Inhalte gegenüber der ursprünglichen Fassung aus 2017 unverändert. 

Am 26.10.2020 hatte die BaFin die Entwürfe der Novellen der BAIT sowie MaRisk in ein öffentliches Konsultationsverfahren überführt. Stellungnahmen zu den Entwürfen, die der Deutschen Bundesbank sowie der BaFin bis zum 23.11.2020 (BAIT) bzw. 04.12.2020 (MaRisk) schriftlich mitgeteilt werden konnten, wurden auf den jeweiligen Websites veröffentlicht.

Die Novellierung der BAIT in der Fassung vom 16.08.2021 wurde nach der öffentlichen Konsultation des RS BAIT (13/2020) vom 27.10.2020^[5] abgeschlossen und mit geänderten BaFin RS 10/2017 (BA) in der neuen Fassung vom 16.08.2021^[6] gegenüber der früheren Fassung aus dem Jahr 2018 veröffentlicht. 

Mit dem RS werden die Anforderungen der Europäischen Bankenaufsichtsbehörde (EBA) aus den Leitlinien für das Management der Informations- und Kommunikationstechnologien (IKT) und Sicherheitsrisiken aus 2019[7] umgesetzt. Darüber hinaus sind Erfahrungen aus der Aufsichtspraxis in die Überarbeitung eingeflossen. In ihrem Verbändeanschreiben zur Veröffentlichung der BAIT hat die Aufsicht darauf hingewiesen, dass die neuen BAIT mit ihrer Veröffentlichung (sofort) in Kraft treten und Übergangsfristen für die Neuerungen der BAIT nicht notwendig sind, da es sich bei den Neuerungen um Konkretisierungen bereits bestehender Anforderungen und nicht um grundlegend neue Anforderungen handelt. 

Die Anforderungen der neuen BAIT gelten nicht nur für alle Kredit- und Finanzdienstleistungsinstitute, sondern auch für Zahlungs- und E-Geld-Institute einschließlich der Institute i. S. d. § 53 Abs. 1 des KWG bzw. § 42 des Zahlungsdiensteaufsichtsgesetzes (ZAG). Die BAIT wurden zusammen mit der MaRisk-Novelle 2021[8] und den neuen zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)[9] veröffentlicht. Mit den novellierten BAIT in Verbindung mit den MaRisk werden die ZAIT für Zahlungs- und E-Geld-Institute jedoch bereits komplett abgedeckt, so dass sich für Banken daraus keine weiteren Anforderungen ergeben.

Die neuen BAIT gelten auch für die Zweigniederlassungen deutscher Institute im Ausland. Auf Zweig-niederlassungen von Unternehmen mit Sitz in einem anderen Staat des Europäischen Wirtschaftsraums nach § 53b KWG bzw. § 39 ZAG finden sie keine Anwendung. Soweit die neuen BAIT auf Be-stimmungen der MaRisk verweisen, sind diese auch durch Zahlungsinstitute und E-Geld-Institute an-zuwenden. Dasselbe gilt für die Anforderungen gem. AT 4.4.3 i. V. m. BT 2.3 und BT 2.5 der MaRisk.

II.        Neue bankaufsichtliche Anforderungen der BAIT (i. d. F. vom 16.08.2021)

Die aktuell gültige Fassung der BAIT konkretisiert die parallel in Kraft gesetzten neuen Anforderungen gemäß MaRisk-Novelle. So werden die BAIT um die Kapitel „IT-Notfallmanagement“ sowie „Operative Informationssicherheit“ ergänzt, dessen Anforderungen im Wesentlichen technische Verfahren und die IT-Security umfassen. Hierbei können insbesondere die Anforderungen an das Schwachstellenmanagement, die Netzwerksegmentierung, die Härtung von IT-Systemen sowie an die Verschlüsselung einen wesentlichen Aufwandstreiber darstellen, weil diese Themen in manchen Instituten ggf. noch nicht vollumfänglich umgesetzt sind. 

Des Weiteren erfolgen in den bestehenden BAIT-Kapiteln Konkretisierungen sowie Ergänzungen von Anforderungen auf Basis der europäischen Regelwerke (z. B. EBA-Guidelines), die auch schon in der bestehenden Prüfungspraxis (z. B. bei Sonderprüfungen nach § 44 KWG) angewandt werden und deren Umsetzung durch die Bankenaufsicht bereits vorausgesetzt wird.  [...]
Beitragsnummer: 18273