Es ist an der ZAIT: BaFin veröffentlicht Regelentwurf für die IT von Zahlungs- und E-Geld-Instituten
Die BaFin-Anforderungen BAIT, VAIT und KAIT bekommen ein Geschwisterchen: Mit den „Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten – ZAIT“ formuliert die BaFin Auflagen für die IT von Zahlungsdienstleistern. Die im Rundschreiben enthaltenen Bestimmungen orientieren sich an denen, die heute schon an Banken gestellt werden und in den BAIT niedergeschrieben sind. Zudem wurden bei der Erstellung auch die Anforderungen aus den EBA-Leitlinien für das Sicherheitsrisikomanagement in der Informations- und Kommunikationstechnik (GL/2017/17) sowie die EBA-Leitlinien zu Auslagerungen (GL/2019/02) berücksichtigt.
Inhaltlich orientieren sich die ZAIT stark an der im November vergangenen Jahres veröffentlichten BAIT-Novelle. So enthält das Kapitel zum Thema Auslagerungsmanagement bereits bekannte Formulierungen der BAIT und ist damit strenger in den Auflagen, als es in den VAIT und KAIT definiert ist. An vielen Stellen im Entwurf wird der Rückbezug zu etablierten IT-Standards wie beispielsweise der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik sowie dem PC DSS hergestellt.
Die ZAIT befinden sich aktuell in Konsultation. Aus den Erfahrungen des Veröffentlichungsprozesses der KAIT, kann damit gerechnet werden, dass die Auflagen bereits mit Publikation der finalen Fassung in Kraft treten werden – eine Übergangsfrist für Zahlungsdienstleister, in der die notwendigen Anpassungen vorgenommen werden können, scheint unwahrscheinlich.
» Mit den ZAIT nimmt die BaFin nun auch Finanzdienstleister und FinTechs stärker unter die Aufsicht, die keine Bank im klassischen Sinne sind und somit nicht BAIT-reguliert waren. Das bringt ein stückweit mehr Klarheit in den Markt. Zahlungsabwickler sollten ihre IT-Strategie und die darin verankerten Regelungen mit Blick auf die neuen Anforderungen auf den Prüfstand stellen. Auch wenn die ZAIT sich noch in der Konsultationsphase befinden, lautet meine Empfehlung an die Zahlungsdienstleister ganz klar: Setzen Sie sich schon jetzt mit den neuen Regelungen auseinander und gleichen Sie die formulierten Anforderungen mit dem Ist-Zustand der IT-Organisation Ihres Unternehmens ab. «
Jürgen Brombacher
Head of Cloud Consulting und stellvertretender CISO bei matrix technology