Career at

News at

Techmonitor

[Translate to Deutsch:]

Schwerpunkte der Aufsicht und Prüfung der Bank-IT. Informationsveranstaltung IT-Aufsicht der BaFin

Key Facts

  • Schwerpunkte der Prüfung der Bank-IT durch BaFin und Bundesbank bekannt gegeben

  • Sourcing in Non-EU- bzw. US-Cloud möglich – unter verschärften Anforderungen

  • Informationssicherheitsbeauftrager mandatorisch – Überschneidung mit Datenschutzbeauftragtem in Klärung

  • IT-Sicherheitsgesetz IT-SiG – Spezialregelung für Finanzsektor

  • Steigender Grad regulatorischer Souveränität und aufsichtlicher Reife

REPORT

Am 16. März 2017 lud die BaFin zum vierten Mal zur Informationsveranstaltung „IT-Aufsicht bei Banken“ ein, zu der sich rund 500 Teilnehmer einfanden. Während Presse und Medien in ihrer Berichterstattung (FAZHandelsblattBörsenzeitung) gegenüber der Öffentlichkeit auf die Verwundbarkeit der Bank-IT und deren Nachholbedarfe hinsichtlich IT-Sicherheit abstellten, gaben BaFin und Bundesbank wesentliche Details der kommenden Aufsicht und Prüfung der Bank-IT bekannt – in Schwerpunktvorträgen zu Bankaufsichtliche Anforderungen an die Bank-IT (BAIT), Prüfungspraxis der Bankenaufsicht zu IT-Sachverhalten, Umsetzung des IT-Sicherheitsgesetzes (IT-SiG) durch das BSI-Gesetz sowie Payment Service Direktive (PSD) II.

Sourcing in US-Cloud möglich – unter verschärften Anforderungen

Für die Aufsicht steht die Prüfung von IT-Auslagerungen zunehmend im Fokus. Die Prüfungsintensität orientiert sich am Risiko, das anhand der Kriterien Standort, Zugriffsrechte, Prozesse und fortwährende Sicherstellung gesetzlicher, regulatorischer und datenschutzrechtlicher Vorgaben bestimmt wird. Banken erhielten insbesondere durch die Fragen zur „Transparenz des Cloud-Anbieters“ (siehe Abbildung) wertvolle Hinweise.

Abbildung 1: Prüfungsrelevante Entscheidungsparameter für Nutzung von Cloud-Services

Bemerkenswert hieran ist, dass Banken durch Wahl des Standortes und der Jurisdiktion ihres Cloud-Betreibers Einfluss auf die Intensität und Schärfe ihrer Prüfung und damit indirekt auf die Anzahl und Schwere der Feststellungen nehmen; vulgo: Die Auslagerung in eine US-Cloud oder in die Cloud einer US-Mutter bedingt Nachteile bei der Prüfung.

Informationssicherheitsbeauftrager mandatorisch – Überschneidung mit Datenschutz-beauftragten in Klärung

Eine längere Diskussion entfaltete sich zur Kombinierbarkeit der neu einzurichtenden Funktion des Informationssicherheitsbeauftragten mit der des Datenschutzbeauftragten. Die BaFin berichtete von der Konsultation mit dem Bundesdatenschutzbeauftragten und hielt als Ergebnis das Verbot der Wahrnehmung beider Funktionen durch einen einzigen Beauftragten fest. Dieser Auffassung widersprach ein Vertreter des bayerischen Datenschutzbeauftragten. Die BaFin sagte zu, das Thema erneut mit dem Bundesdatenschutzbeauftragten zu erörtern. Speziell für kleinere Institute wäre es eine Herausforderung, beide Funktionen personell separat abbilden zu müssen.

IT-Sicherheitsgesetz – Spezialregelung für Finanzsektor

Das IT-Sicherheitsgesetz (IT-SiG) verpflichtet Betreiber kritischer Anlagen aus den Bereichen Energie, Informations- und Telekommunikationstechnik, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen, einen Mindeststandard an IT-Sicherheit einzuhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Das (IT-SiG) wird durch das BSI-Gesetz umgesetzt und durch die KRITIS-Verordnung konkretisiert. Das Inkrafttreten der KRITIS-Verordnung ist für das 2. Quartal 2017 vorgesehen. BaFin und BSI beaufsichtigen die Einhaltung aus dem IT-SiG zum ersten Mal gemeinsam: BaFin für Fachaufsicht und Usancen im Bankgeschäft, BSI für die technische Expertise.

Beachtlich ist, dass zwischen der im Mai 2016 in Kraft getretenen KRITIS-Verordnung der vier Sektoren Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung und der Änderungsverordnung vom 23. Februar 2017 für die drei Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen eine Abweichung in der Definition des Betreiberbegriffs besteht. Bisher galt als „Betreiber“, wer unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb einer Anlage oder von Teilen davon hatte. Dies ändert sich durch die neue Verordnung – und zwar einzig für den Sektor Finanz- und Versicherungswesen: Betreiber ist, wer einen bestimmenden Einfluss auf eine Kritische Infrastruktur hat. D.h. die rechtlichen und wirtschaftlichen Umstände bleiben außer Betracht. Dadurch wird nicht mehr automatisch die Bank als rechtlich verantwortlicher Betreiber nach IT-SiG kritisch sein, sondern derjenige Dienstleister, der die tatsächlich als kritisch eingestufte Dienstleistung erbringt. Dadurch steigt der Prüfaufwand für Banken und die Dienstleister der Banken bezüglich der Betroffenheit durch das IT-SiG.

Fazit

Die BaFin nutzte ihre vierte Veranstaltung zur Aufsicht der Bank-IT zur Präzisierung verschiedener bestehender und sich entwickelnder Regelungen sowie zur Ankündigung weiterer Vorhaben sowohl der BaFin als auch der Europäischen Bankaufsicht EBA. Beispiele sind neben den bereits zur Konsultation veröffentlichten BAIT (Bankaufsichtliche Anforderungen an die IT) auch die MaRisk (noch im ersten Quartal 2017) und die „Recommendations on Outsourcing to Cloud Service Providers“ EBA (im dritten Quartal 2017).

Eine Überraschung stellen die klaren Aussagen zu Cloud-Anbietern dar, die im EU-Ausland beheimatet sind oder innerhalb der EU als Tochter eines ausländischen Cloud-Anbieters agieren (insbesondere bei US-Unternehmen).

Insgesamt hat die Veranstaltung nochmals an regulatorischer Souveränität und aufsichtlicher Reife gewonnen. Das sind zwei beruhigende Wegmarken auf dem langen Weg zur Professionalisierung der Bank-IT.