BAIT, ICT und Dora – Regulatorik die Sie betrifft?

Die Menge an Verordnungen zum Management von IT- und Informationssicherheits- Risiken hat in den letzten Jahren deutlich zugenommen, was nicht nur durch das geänderte Arbeitsumfeld während der COVID-19-Pandemie begründet ist. Die Tatsache, dass es diese Anforderungen sowohl auf deutscher als auch auf europäischer Ebene gibt, macht die Umsetzung in die Praxis nicht unbedingt leichter.

Um nicht nur gesetzes-konforme, sondern vor allen Dingen auch kosteneffiziente Umsetzungen sicherzustellen, ist es entscheidend, Überschneidungen und Unterschiede zwischen diesen Vorschriften zu verstehen.

In diesem Artikel vergleicht FCG Risk & Compliance die wichtigsten regulatorischen Anforderungen und geht insbesondere auf die Aktualisierung der Bankaufsichtlichen Anforderungen an die IT (BAIT) der Bafin und den Entwurf des „Digital Operational Resilience Act“ (DORA) der Europäischen Kommission ein.

Ein wesentlicher Unterschied vorneweg: DORA betrifft auch nicht-finanzielle (kritische) IT-Drittanbieter, wenn Sie als Dienstleister in der Finanzbranche genutzt werden.

Die wachsende Rolle von Informationssystemen …

Im vergangenen Jahrzehnt hat die Rolle der Informationssysteme (IS) in der täglichen Arbeit bei allen Arten von Betrieben an Bedeutung gewonnen. Besonders ausgeprägt ist diese Bedeutung bei Finanzinstituten, in denen das Tagesgeschäft ohne ein adäquates IS unvorstellbar ist. Dies hat jedoch nicht nur die Effizienz verbessert, sondern auch völlig neue Risiken mit sich gebracht: Diese Risiken wurden von den Aufsichtsbehörden als wesentlich identifiziert. Um schädliche Folgen sowohl für die Finanzindustrie als auch für die Endnutzer zu vermeiden, wurden diese Risiken bei den regulatorischen Anforderungen berücksichtigt.

… und die Reaktion der Aufsichtsbehörden

Die Anpassungen der regulatorischen Anforderungen an die IT- und Informationssicherheit haben in den letzten Jahren mit der Einführung der EBA/EIOPA IKT (Information and Communications Technologies) Verordnungen und der geplanten DORA zu großen Veränderungen im täglichen Geschäft geführt. In Deutschland befasst sich die Aktualisierung der BAIT und teilweise auch die MaRisk mit den Anforderungen des Geschäfts- und Sicherheitsrisikomanagement im Zusammenhang mit Informationssystemen.
Die Informations- und Kommunikationstechnik (IKT)-Vorschriften von EBA und EIOPA
EBA/GL/2019/04 (EBA IKT) ist eine Verordnung, die sich an Banken, Wertpapierfirmen und Zahlungsdienstleister richtet, während sich EIOPA-BoS-20/600 auf Versicherungsunternehmen bezieht. Beide IKT-Verordnungen führen neue und strengere Vorschriften für Informationssicherheit, Geschäftskontinuität, Auslagerungen und Informationstechnologie ein. Auch für die Risikomanagement-Funktion der zweiten Linie gibt es erweiterte Anforderungen. Die IKT-Verordnung von EBA und EIOPA sind beide in sieben Kapitel unterteilt, die jeweils detaillierte spezifische Umsetzungsanforderungen enthalten und im Folgenden kurz beschrieben werden.
Die Verordnungen gehen sowohl in die Breite als auch in die Tiefe und decken alles von der Geschäftsstrategie, dem Risikomanagement, der Informationssicherheit und der IT-Governance ab. Mit den Verordnungen sollen systemischen Risiken berücksichtigt werden, die bei Finanzdienstleister und Versicherungen durch die IKT entstehen.

BAIT

Die ersten BAIT wurde 2017 von der BaFin veröffentlicht, mit dem Ziel das Management von IT-Risiko und Informationssicherheit zu stärken. Die neueste Aktualisierung verstärkt die Anforderungen an das IKT-Risikomanagement und passt die BAIT an die IKT der EBA an – primär durch die Einführung von drei neuen Themengebieten:

Das neue Kapitel “5. Operative Informationssicherheit“ definiert Anforderungen an die Informationssicherheit für den laufenden Betrieb von IKT-Systemen und -Diensten. Beispiele dafür sind die Überwachung zur Erkennung von Informationssicherheits-Verstößen und -Bedrohungen sowie die Notwendigkeit der regelmäßigen Durchführung von unabhängigen Tests in Form von Vulnerability-Scans und Penetrationstests. Dieses Kapitel spiegelt die EBA-IKT Kapiteln “3.4.4 IKT-Betriebssicherheit”, “1.4.5 Überwachung der IKT- und Informationssicherheit“ und “1.4.6 Überprüfungen, Bewertungen und Tests der Informationssicherheit” wider.

Sollte es zu einer schwerwiegenden Betriebsunterbrechung kommen, ist es entscheidend, Kontinuitätspläne aufzuweisen, um den Betrieb fortzusetzen und um Verluste zu begrenzen. Für IKT bedeutet dies angemessene Backup- und Wiederherstellungskonzepte, die mit den Geschäftsanforderungen in Einklang sind. Das neue BAIT-Kapitel “10. IT-Notfallmanagement” entspricht den EBA-IKT Anforderungen “1.7 Geschäftsfort-führungsmanagement“.

Im Kapitel “11. Management der Beziehungen mit Zahlungsdienstnutzern ” spiegeln die aktualisierten BAIT die Anforderungen aus dem Kapitel “1.8 Pflege der Kundenbeziehungen mit Zahlungsdienstnutzern“ der EBA IKT wider. Hier wird definiert, wie Zahlungsdienstleister arbeiten müssen, um Zahlungsdienst-Nutzer bei ihrem Management von Risiken im Zusammenhang mit den Zahlungsdiensten zu unterstützen.

Einige bereits vorhandene BAIT-Kapitel wurden überarbeitet und erfordern weitere Umsetzungsmaßnahmen:

Die Änderungen am Kapitel “3. Informationsrisikomanagement” beruhen auf dem EBA Kapitel “1.3 Rahmenwerk für das Management von IKT- und Sicherheitsrisiken“. Hier geht es um die Identifizierung und Bewertung von IKT- und Sicherheitsrisiken in Geschäftsfunktionen zumindest hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit. Es müssen Maßnahmen definiert werden, wenn die Risiken über zuvor definierten Schwellenwerten liegen. Neu ist auch die Anforderung, regelmäßig Informationen über Bedrohungen und Schwachstellen zu sammeln und dokumentieren.

Im aktualisierten BAIT-Kapitel “4. Informationssicherheitsmanagement“ besteht nun die Anforderung, interne Richtlinien für die Überprüfung der Wirksamkeit von Maßnahmen zur Verbesserung der Informationssicherheit festzulegen und bei identifizierten Schwachstellen zu reagieren. Bereits in der Vorgängerversion wurde gefordert, ein Bewusstsein zur Informationssicherheit herzustellen und entsprechende Schulungen durchzuführen. Diese Anforderungen wurden nun hinsichtlich Pflicht-Schulungsinhalten sowie einer notwendigen Überprüfung der Trainingsergebnisse erweitert.

BAIT versus IKT

Schon auf Basis der Inhaltsverzeichnisse ist zu erkennen, dass BAIT und EBA IKT gut aufeinander abgestimmt sind, und eine Umsetzung der BAIT die Anforderungen der EBA IKT weitgehend erfüllt. Für Finanzinstitute, die die neuen BAIT bereits implementiert haben, ist daher kein signifikanter Umsetzungsaufwand zu erwarten. Dennoch ist eine Gap-Analyse empfehlenswert, um die hundertprozentige Einhaltung der neuen BAIT sicher zu stellen und gleichzeitig Lücken bei der Umsetzung der EBA-IKT-Anforderungen aufzuzeigen.

DORA

DORA ist Teil eines Maßnahmenpakets zur Digitalisierung des Finanzsektors in der EU und strebt danach, digitale Risiken zu managen, um sowohl systemische Risiken als auch Konzentrationsrisiken zu mindern. DORA richtet sich nicht nur an Finanzinstitute und Versicherungen, sondern beispielsweise auch an Krypto- und Crowdfunding-Firmen sowie IKT-Drittanbieter.

DORA nimmt eine europäische Perspektive auf die digitale Resilienz. Es werden Maßnahmen definiert, wie beispielsweise die zentralisierte Überwachung kritischer Drittanbieter, die zentralisierte Meldung signifikanter IKT-Vorfälle und den Austausch von IKT-Informationen zwischen den europäischen Ländern. Dies wird die Widerstandsfähigkeit der IKT auf europäischer Ebene stärken. Um dies zu erreichen, hat DORA einen deutlich breiteren Anwendungsbereich als die EBA IKT und BAIT und eine größere Menge an Instituten in Europa werden von der Verordnung betroffen sein.

Die EU-DORA-Verordnung befindet sich derzeit in der Entwurfs-Phase, daher basiert die folgende Bewertung auf dem Entwurf und die Anforderungen können sich vor der Umsetzung noch einmal ändern.

DORA vs IKT und BAIT

Die Verordnungen konzentrieren sich in erster Linie auf das Management von IKT-bezogenen Risiken, die im “IKT-Risikomanagement” (Kapitel 2) beschrieben sind. Eine Zuordnung zu den EBA-IKT ist nicht trivial. Grob betrachtet stimmen die Anforderungen mit den EBA-IKT Kapiteln 1.3, 1.4, 1.5 und 1.7 überein. Eine Ausnahme ist “1.2.3 Nutzung von Drittanbietern” und “3.4.6 Überprüfung, Bewertung und Prüfung der Informationssicherheit”, welche in zwei separaten Kapiteln in DORA behandelt werden. Die DORA-Anforderungen an das IKT-Risikomanagement werden somit durch die Implementierung des BAIT oder des EBA IKT weitgehend erfüllt und sollten keinen nennenswerten Umsetzungsaufwand bei Finanzinstituten erfordern.

DORA hat jedoch wesentlich spezifischere und detaillierte Anforderungen an die „Prüfung der digitalen Betriebsstabilität“ (Kapitel 4) als EBA IKT (1.4.6) und BAIT (4.8). Beispiele sind Anforderungen an die Tester, was als geeignete Tests angesehen wird und was genau getestet werden muss. Gleiches gilt für die “Steuerung des Risikos durch IKT-Drittanbieter“ (Kapitel 5), in dem die Anforderungen von DORA weit über EBA IKT (1.2.3) und BAIT (9) hinausgehen. Selbst wenn die Drittanbieter als Auslagerung eingestuft sind und die EBA-Richtlinien zum Outsourcing (EBA/GL/2019/02) und die MaRisk (9) die IKT/BAIT ergänzen, sind die Anforderungen in DORA deutlich detaillierter. Dies erfordert erheblichen Umsetzungsaufwand bei Finanzinstituten, selbst für diejenigen, die BAIT, MaRisk und die EBA-Richtlinien bereits erfüllen.

Schließlich ist DORA spezifischer in Bezug auf Anforderungen an die Klassifizierung von IKT-bezogenen Vorfällen (Kapitel 3, Artikel 16) als die IKT (Artikel 59) und BAIT (8.6). Wir empfehlen daher, die DORA-Anforderungen mit den internen Richtlinien abzugleichen, um eine konforme Umsetzung zu gewährleisten.

Zusammenfassung und Schlussfolgerungen

Finanzinstitute in Deutschland, die die Anforderungen der aktualisierten BAIT bereits umgesetzt haben, sollten auch bezüglich EBA IKT ein hohes Maß an Compliance aufweisen. Die bevorstehende DORA-Verordnung, die voraussichtlich bis Mitte 2023 umgesetzt werden muss, wird jedoch auch für Finanzinstitute, die bereits die BAIT- und EBA-IKT konform sind, erheblichen Aufwand erfordern.
Zu empfehlen ist daher eine zweistufige Gap-Analyse, deren erste Überprüfung die Einhaltung der BAIT/EBA IKT bestätigt und deren zweiter Check die Lücken zur Einhaltung der DORA-Anforderungen definiert. Auf Basis dessen kann ein Umsetzungsplan zum Schließen der Lücken unter Berücksichtigung der Größe und der Komplexität des Finanzinstituts definiert werden.

Die FCG Risk & Compliance GmbH hat ihre Wurzeln in Schweden, wo die EBA IKT schon seit dem 30.06.2020 im nationalen Recht berücksichtigt ist. Durch diverse Umsetzungs-Projekte bei Finanzdienstleistern sowie deren Unterstützung bei der Abarbeitung von Feststellungen behördlicher Überprüfungen hat FCG Risk & Compliance bereits fundierte Erfahrungen gesammelt. Somit kann FCG Risk and Compliance auch lokale Finanzinstitute dabei unterstützen, ihren Erfüllungsgrad bei der Einhaltung der aktualisierten BAIT-Anforderungen, der EBA IKT zu bewerten und die notwendigen Vorbereitungen zur Umsetzung von DORA zu treffen.

Let's connect

BAIT, ICT und Dora – Regulatorik die Sie betrifft? BAIT, ICT und Dora – Regulatorik die Sie betrifft?
I want an Advisense expert to contact me about:
BAIT, ICT und Dora – Regulatorik die Sie betrifft?

By submitting, you consent to our privacy policy

Thank you for connecting with us

An error occurred, please try again later