Autor Thema: Bankenaufsichtliche Anforderungen an die IT (BAIT) in Wartestellung  (Gelesen 7261 mal)

Offline Leasingforum-Administrator

  • Administrator
  • Jr. Mitglied
  • *****
  • Beiträge: 74
Neben dem Kreditwesengesetz und den MaRisk bildet künftig die BAIT (und auch das IT-Sicherheitsgesetz! https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/it_sig_node.html) den Rahmen für die aufsichtliche Arbeit der BaFin bei den Finanzdienstleistern.

Wesentliches zu BAIT:

•   Die BAIT sind ein Rundschreiben der BaFin – Veröffentlichung ab Mitte 2017 (derzeit: Entwurf der BAIT in der Version vom 23.02.2017).
•   Die BAIT präzisieren §25a Abs. 1 KWG und §25b KWG.
•   Die BAIT konkretisieren die MaRisk und werden mit der MaRisk-Novelle "scharfgeschaltet".
•   Die BAIT sind prinzipienorientiert ausgestaltet, damit das Proportionalitätsprinzip gewahrt bleiben kann.
•   Der Aufbau der BAIT ist analog dem der MaRisk.
•   Die BAIT beinhalten Verweise auf die MaRisk.
•   Die in den MaRisk enthaltenen Anforderungen bleiben unberührt.
•   Die Verpflichtung des Finanzdienstleisters, gängige Standards zu beachten (AT 7.2 Tz. 2 MaRisk) bleibt erhalten.

BAIT Anforderungen gem. Entwurf v. 23.2.2017

1.   IT-Strategie

Die Geschäftsleitung hat eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen.

2.   IT-Governance

Es ist eine Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse auf Basis der IT-Strategie festzulegen (= IT Governance)


3.   Informationsrisikomanagement

Es ist ein Risikomanagementprozess für IT Themen einzuführen:
•   Bestandteile des Informationsverbundes sowie Abhängigkeiten und Schnittstellen
•   Methodik zur Ermittlung des Schutzbedarfs (insbesondere im Hinblick auf die Schutzziele „Integrität“, „Verfügbarkeit“, „Vertraulichkeit“ und "Authentizität")
•   Festlegung von Soll-Anforderungen
•   Durchführung der Risikoanalyse
•   Behandlung von Restrisiken
•   Information der Geschäftsleitung über die Ergebnisse sowie Risikosituation


4.   Informationssicherheitsmanagement

•   Informationssicherheitskonzepte und Informationssicherheitsprozesse hinsichtlich der Dimensionen Identifizierung, Schutz, Entdeckung, Reaktion und Wiederherstellung definieren.
•   Einrichtung eines Informationssicherheitsbeauftragten (ISB) im eigenen Haus (externer ISB Dienstleister per Servicevertrag ist möglich!)


5.   Benutzerberechtigungsmanagement

•   Ein IT-Berechtigungskonzept ist zu erstellen und Verfahren zur Einrichtung, Änderung, Deaktivierung oder Löschung von IT-Berechtigungen sind sicherzustellen
•   Prozesse zur Protokollierung von IT-Berechtigungen



6.   IT-Projekte, Anwendungsentwicklung

•   IT-Projekte sind angemessen zu steuern (Projektmanagement) und  zu überwachen.
•   Wesentliche IT-Projekte und IT-Projektrisiken sind der Geschäftsleitung regelmäßig und anlassbezogen zu berichten.
•   Für die Anwendungsentwicklung sind angemessene tech. und orga. Prozesse festzulegen.

7.   IT-Betrieb (inkl. Datensicherung)

•   IT-Systeme und Prozesse zur Änderung von IT-Systemen sind in geeigneter Weise zu verwalten und zu steuern.
•   Störungen bzw. IT-Sicherheitsvorfälle und deren Ursachen sind in geeigneter Weise zu erfassen, zu bewerten, insbesondere hinsichtlich möglicherweise resultierender Risiken zu priorisieren und ggf. zu eskalieren.


8.   Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

•   IT Outsourcing Verträge sind strategisch zu steuern.
•   Für jeden sonstigen Fremdbezug von IT-Dienstleistungen ist eine Risikobewertung durchzuführen und regelmäßig und anlassbezogen zu überprüfen.
•   Die Leistungserbringung von IT Outsourcing Partnern ist angemessen zu überwachen.



Eine Info Ihres Leasingforum Teams

« Letzte Änderung: 05. Oktober 2017, 12:11:35 von Leasingforum-Administrator »