Die Bundesanstalt für Finanzdienstleistungen (BaFin) veröffentlichte Ende 2017 die bankaufsichtlichen Anforderungen an die IT (BAIT), die die Verwaltungsanweisungen für die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und diesbezüglicher Anforderungen an die IT-Governance in deutschen Kreditinstituten umfassen.
Die BAIT thematisieren unter anderem IT-Governance, IT-Ressourcen, Informationsrisikomanagement, IT-Betrieb und Auslagerungen. Sie präzisieren nicht nur die in den MaRisk enthaltenen Anforderungen an die IT, insbesondere in den Bereichen des Informationssicherheitsmanagements und des Benutzerberechtigungsmanagements sowie der IT-Projekte und Anwendungsentwicklung, sondern schränken diese noch weiter ein. Zudem enthalten sie Vorgaben wie die Verpflichtung, einen Informationssicherheitsbeauftragten einzusetzen.
Hinsichtlich der technischen und organisatorischen Maßnahmen für eine verbesserte IT- und Datensicherheit orientieren sich diese Anforderungen an den Grundsätzen des IT-Sicherheitsgesetzes bzw. an den Grundsätzen der Normen der ISO 2700x-Standards.
Bereits am 14. September 2018 kam es zu einer Aktualisierung der BAIT mit einem ergänzenden Abschnitt für die Betreiber von kritischen Infrastrukturen und den damit verbundenen zusätzlichen Anforderungen. Der derzeitige Stand der BAIT ist nur eine Momentaufnahme. Aufgrund ihrer modularen Struktur können zukünftige Themen wie beispielsweise Notfallmanagement, BCM oder Cybersecurity flexibel ergänzt bzw. angepasst werden. Internationalisierung wurde bereits als weiterer Schwerpunkt seitens der BaFin benannt.
Weiterführende Informationen finden Sie
Durch weitreichende Maßnahmen wird sichergestellt, dass alle gesetzlich und regulatorisch relevanten Anforderungen erfüllt werden, insbesondere die Regelungen aus dem KWG § 25a, der MaRisk und dem BAIT. Es erfolgen hierzu regelmäßige externe Audits.