BAIT-Novelle 2021: IT-Sicherheit erhält größeren Rahmen
Die Bankaufsicht BaFin hat eine neue Fassung der Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht. Die Novelle setzt Vorgaben aus den „EBA-Leitlinien für IKT und Sicherheitsrisikomanagement“ aus dem November 2019 um. Zeitgleich veröffentlichte die BaFin die 6. Novelle der „Mindestanforderungen an das Risikomanagement von Banken“ (MaRisk).
Beide Novellen spiegeln die aktuelle Schwerpunktsetzung und Wahrnehmung der Bankenaufsicht zum Thema Informationssicherheit und Risikomanagement wider. Demnach zeichnet sich eine ganzheitliche Sicht ab, mit der die BaFin relevante Risiken künftig auch außerhalb der institutseigenen IT verortet und analysiert. Banken müssen daher nicht nur den selbst organisierten IT-Betrieb sowie vor- und nachgelagerte Prozesse strukturieren und absichern, sondern auch das Zusammenspiel mit externen Dienstleistern und Sub-Dienstleistern den MaRisk- und BAIT-Regeln anpassen.
Allgemein um Auslagerungen geht es im geänderten Abschnitt AT9 der MaRisk-Novelle. Wesentliche Neuerungen sind laut Meldung der BaFin vom 16. August 2021:
- Jedes Institut, das Auslagerungen vornimmt, soll einen Auslagerungsbeauftragten bestimmen
- Bei komplexen Auslagerungen soll ein zentrales Auslagerungsmanagement hinzukommen
- Unternehmen sollen außerdem ein Auslagerungsregister führen, in dem Auslagerungsvereinbarungen vorgehalten und laufend aktualisiert werden
- Entsprechende Register-Parameter sind in den Nr. 54 und 55 der EBA-Leitlinien festgelegt
Darüber hinaus erhalten die in den BAIT festgelegten Anforderungen zum Bezug von IT-Dienstleistungen kleinere Ergänzungen. Komplett neu hinzugefügt wurden die BAIT-Kapitel „Operative Informationssicherheit“ und „IT-Notfallmanagement“. Diese präzisieren und erweitern bisherige Anforderungen an Prozesse für die Risikobewertung und das Risikomanagement. Die neu festgesetzten Regeln gelten explizit auch für den Fall einer (Teil-)Auslagerung des IT-Betriebs an Dienstleister. So heißt es beispielsweise im Punkt 10.3 des neuen BAIT-Kapitels 10 „IT-Notfall-Management“:
- „IT-Notfallpläne umfassen Wiederanlauf-, Notbetriebs- und Wiederherstellungspläne sowie die dafür festgelegten Parameter und berücksichtigen Abhängigkeiten, um die zeitkritischen Aktivitäten und Prozesse wiederherzustellen.“ (…)
- „Abhängigkeiten umfassen u. a.: Abhängigkeiten von vor- und nachgelagerten Geschäftsprozessen und den eingesetzten IT-Systemen des Instituts und der (IT-)Dienstleister“
Das bisherige BAIT-Kapitel „Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen“ wird fortan unter der Kapitel-Nummer 9 (bisher: 8) geführt. Im Zuge der Novelle erhält es kleine textuelle Änderungen, die wie alle weiteren genannten Änderungen die erweiterten Blickwinkel der BaFin-Prüfer belegen. So wurde der Punkt 9.4. ergänzt um die Feststellung, dass sämtliche aus der Risikobewertung für die Zusammenarbeit mit IT-Dienstleistern abgeleiteten Maßnahmen und Kontrollmechanismen auch für die Subunternehmen eines beauftragten IT-Dienstleisters gelten. Hierzu hat die BaFin eine hilfreiche Version der novellierten BAIT mit veröffentlicht, in der sämtliche Änderungen sichtbar sind.
Erfolgreiches IT-Outsourcing für regulierte Unternehmen
Ausschreibungsverfahren – Providerauswahl – Vertragswerke
Der Erfolg des Outsourcing-Vorhabens hängt maßgeblich von den Vereinbarungen ab, die während der Vertragsverhandlungen zwischen dem auslagernden Unternehmen und dem Service Provider geschlossen werden. Daher ist es von zentraler Bedeutung, dass Sie sich ausführlich über den richtigen Provider und die richtige Zusammenstellung der Vertragswerke informieren. Wir haben die wichtigsten Informationen für Sie in diesem Whitepaper zusammengestellt.
