Neben dem Kreditwesengesetz und den MaRisk bildet künftig die BAIT (und auch das IT-Sicherheitsgesetz!
https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/it_sig_node.html) den Rahmen für die aufsichtliche Arbeit der BaFin bei den Finanzdienstleistern.
Wesentliches zu BAIT:• Die BAIT sind ein Rundschreiben der BaFin – Veröffentlichung ab Mitte 2017 (derzeit: Entwurf der BAIT in der Version vom 23.02.2017).
• Die BAIT präzisieren §25a Abs. 1 KWG und §25b KWG.
• Die BAIT konkretisieren die MaRisk und werden mit der MaRisk-Novelle "scharfgeschaltet".
• Die BAIT sind prinzipienorientiert ausgestaltet, damit das Proportionalitätsprinzip gewahrt bleiben kann.
• Der Aufbau der BAIT ist analog dem der MaRisk.
• Die BAIT beinhalten Verweise auf die MaRisk.
• Die in den MaRisk enthaltenen Anforderungen bleiben unberührt.
• Die Verpflichtung des Finanzdienstleisters, gängige Standards zu beachten (AT 7.2 Tz. 2 MaRisk) bleibt erhalten.
BAIT Anforderungen gem. Entwurf v. 23.2.20171. IT-Strategie Die Geschäftsleitung hat eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen.
2. IT-Governance Es ist eine Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse auf Basis der IT-Strategie festzulegen (= IT Governance)
3. Informationsrisikomanagement Es ist ein Risikomanagementprozess für IT Themen einzuführen:
• Bestandteile des Informationsverbundes sowie Abhängigkeiten und Schnittstellen
• Methodik zur Ermittlung des Schutzbedarfs (insbesondere im Hinblick auf die Schutzziele „Integrität“, „Verfügbarkeit“, „Vertraulichkeit“ und "Authentizität")
• Festlegung von Soll-Anforderungen
• Durchführung der Risikoanalyse
• Behandlung von Restrisiken
• Information der Geschäftsleitung über die Ergebnisse sowie Risikosituation
4. Informationssicherheitsmanagement • Informationssicherheitskonzepte und Informationssicherheitsprozesse hinsichtlich der Dimensionen Identifizierung, Schutz, Entdeckung, Reaktion und Wiederherstellung definieren.
• Einrichtung eines Informationssicherheitsbeauftragten (ISB) im eigenen Haus (externer ISB Dienstleister per Servicevertrag ist möglich!)
5. Benutzerberechtigungsmanagement • Ein IT-Berechtigungskonzept ist zu erstellen und Verfahren zur Einrichtung, Änderung, Deaktivierung oder Löschung von IT-Berechtigungen sind sicherzustellen
• Prozesse zur Protokollierung von IT-Berechtigungen
6. IT-Projekte, Anwendungsentwicklung • IT-Projekte sind angemessen zu steuern (Projektmanagement) und zu überwachen.
• Wesentliche IT-Projekte und IT-Projektrisiken sind der Geschäftsleitung regelmäßig und anlassbezogen zu berichten.
• Für die Anwendungsentwicklung sind angemessene tech. und orga. Prozesse festzulegen.
7. IT-Betrieb (inkl. Datensicherung) • IT-Systeme und Prozesse zur Änderung von IT-Systemen sind in geeigneter Weise zu verwalten und zu steuern.
• Störungen bzw. IT-Sicherheitsvorfälle und deren Ursachen sind in geeigneter Weise zu erfassen, zu bewerten, insbesondere hinsichtlich möglicherweise resultierender Risiken zu priorisieren und ggf. zu eskalieren.
8. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen• IT Outsourcing Verträge sind strategisch zu steuern.
• Für jeden sonstigen Fremdbezug von IT-Dienstleistungen ist eine Risikobewertung durchzuführen und regelmäßig und anlassbezogen zu überprüfen.
• Die Leistungserbringung von IT Outsourcing Partnern ist angemessen zu überwachen.
Eine Info Ihres Leasingforum Teams