In der am 16. August 2021 veröffentlichten BAIT-Novelle werden die EBA-Leitlinien, insbesondere zu IKT- und Sicherheitsrisiken, aufgegriffen und erweiternd konkretisiert. Auf dieser Basis wächst der Umfang der BAIT von bisher neun auf nun zwölf Kapitel.
Die drei zusätzlichen BAIT-Kapitel „Operative Informationssicherheit“, „IT-Notfallmanagement“ und „Management der Beziehungen mit Zahlungsdienstnutzern“ enthalten neue, umzusetzende Anforderungen. Letzteres entstammt dem neuen Rundschreiben „Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld Instituten“ (ZAIT). Die Inhalte sind auch für große Teile der BAIT-Zielgruppe relevant.
Die Novelle enthält in den drei neuen Kapiteln zusätzliche Themen, welche Erweiterungen bei den Finanzinstituten nach sich ziehen.
Operative Informationssicherheit
Abgrenzung des Informationsrisiko- und Informationssicherheitsmanagements als 2nd Line of Defense (LoD) zur 1st LoD. Dabei Betonung der Verantwortung der 1st LoD, die übergeordneten Vorgaben zur Informationssicherheit operativ umzusetzen und dies organisatorisch/ prozessual sicherzustellen. Besonders betont wird die Pflicht zur regelbasierten Identifizierung und Bewertung von Bedrohungen und die zeitnahe Reaktion auf diese (SOC/ SIEM).
IT-Notfallmanagement
Verschärfung der Vorgaben für die Vorsorge zur Verhinderung von IT-Notfällen und der Ergreifung von Maßnahmen bei IT-Notfällen. Enge Verzahnung mit dem Business Continuity Management (BCM). Vorgaben zur systematischen Gewährleistung der Wiederherstellbarkeit und Sicherstellung der Leistungserbringung bei RZ-Ausfällen.
Management der Beziehungen mit Zahlungsdienstnutzern
Vorgabe einer aktiven Unterstützung und Beratung der Zahlungsdienstnutzer zu sicherheitsrelevanten Risiken bei Zahlungsdiensten. Anforderungen an Prozesse, Maßnahmen und Kommunikation.
Sieben etablierte Kapitel wurden inhaltlich konkretisiert bzw. ergänzt, wobei das Ausmaß unterschiedlich ausfällt. Die folgenden Kapitel sind besonders betroffen:
Eher niedriger Anpassungsbedarf ergibt sich in den Kapiteln „IT-Strategie“, „Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen“ und „Management der Beziehungen mit Zahlungsdienstnutzern“. So sind z.B. die Ziele sowie Schulungen/ Sensibilisierungen zur Informationssicherheit thematisch in die IT-Strategie aufzunehmen. Darüber hinaus sind sonstige wichtige Abhängigkeiten von Dritten zu benennen. Die Prüfungspflicht, ob Vorgaben in Vereinbarungen/ Verträge eingehen müssen (Risikoanalyse), erstreckt sich nun auch auf Vorgaben des IT-Betriebs.
Die Kapitel „IT-Governance“ und „Kritische Infrastrukturen“ sind unverändert geblieben.
Die Ergänzungen/ Änderungen der BAIT ziehen insgesamt einen erheblichen Handlungsbedarf in den Banken nach sich. Die erforderlichen Maßnahmen sind dabei von der jeweiligen Ausgangssituation abhängig und unter Proportionalitätsgesichtspunkten zu sehen. Da als Umsetzungszeitraum der Anforderungen „sofort“ ab Veröffentlichung gilt, sollte mit der eigenen Standortbestimmung schnellstmöglich begonnen werden. Mit einem kompakten und ressourcenschonenden „BAIT Delta-Check“, der Ihnen in kurzer Zeit Ihre individuellen Handlungsbedarfe aufzeigt, bieten wir Ihnen diese individuelle Standortbestimmung zu den Änderungen innerhalb weniger Wochen.
Weitere Informationen zum Beratungsprozess sowie unserem Dienstleistungsangebot finden Sie in unserem Flyer!
Wir verwenden auf unserer Webseite verschiedene Cookies: notwendige Cookies, die für die Nutzung unserer Webseiten zwingend erforderlich sind sowie Performance Cookies, mit denen wir aggregierte Daten zur Webseitennutzung und Statistiken generieren. Wenn Sie auf "zustimmen" klicken, stimmen Sie der Verwendung aller Cookies zu. Unter "cookie-einstellungen" können Sie eine individuelle Auswahl treffen. Aus Anlass der Rechtsprechung des EuGH haben sich die Rechtsgrundlagen der Datenübermittlung für die Nutzung des Analysetools Google Analytics und des Verzeichnisses Google Fonts geändert. Wenn Sie auf "zustimmen" klicken, willigen Sie auch in den Datentransfer in die USA ein. Mehr in unseren Datenschutzregelungen.
ihre einstellungen für diese webseite
Wir verwenden folgende nicht technisch notwendigen Cookies auf unserer Webseite. Mit Setzen des Hakens willigen Sie der Datenverarbeitung des angeklickten Cookies ein. Die Einwilligung ist freiwillig und kann jederzeit mittels der Cookie-Einstellungen widerrufen bzw. angepasst werden. Weitere Informationen dazu und zur Datenverarbeitung mittels Cookies finden Sie in unserer Datenschutzerklärung.
Wir verwenden ausschließlich technisch notwendige Cookies. Technisch notwendig sind die Cookies, die die Seitennutzung technisch nötig machen.
Dieser Cookie ermöglicht uns die Analyse der Benutzung unserer Webseite. Durch die Verarbeitung Ihrer Daten sammeln wir Informationen, um die Nutzung der Webseite auszuwerten. Aus Anlass der Rechtsprechung des EuGH haben sich die Rechtsgrundlagen der Datenübermittlung für die Nutzung des Analysetools Google Analytics geändert und nach einer Zustimmung zu diesem Cookie willigen Sie auch in den Datentransfer in die USA ein. Näheres zu den über diesen Cookie verarbeitete Daten finden Sie in unserer Datenschutzerklärung.