BAIT – bankaufsichtliche Anforderungen an die IT
Bankaufsichtliche Anforderungen an die IT (BAIT) – Was ist im Auslagerungsmanagement zu beachten
- Welche Anforderungen ergeben sich für das Auslagerungsmanagement
- Handhabung der Auslagerung von IT-Dienstleistungen
- Handhabung von Cloud-Dienstleistungen
- Bezug von Software
- Fremdbezug von IT-Dienstleistungen
- Vertragsmanagement und Risikobewertung von IT-Dienstleistern
Mit Konsultation 02/2017 hat die BaFin die bankaufsichtsrechtlichen Anforderungen an die IT (BAIT) im Entwurf veröffentlicht.
Der Einsatz von Informationstechnik (IT) in den Instituten hat eine zentrale Bedeutung und wird weiter an Bedeutung gewinnen. Dieses Rundschreiben gibt auf der Grundlage des § 25a Abs. 1 des Kreditwesengesetzes (KWG) einen flexiblen und praxisnahen Rahmen für die Ausgestaltung der IT der Institute, insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement vor. Es konkretisiert ferner die Anforderungen des 25a Abs. 3 KWG (Risikomanagement auf Gruppenebene) sowie des § 25b KWG (Auslagerung).
Die prinzipienorientierten Anforderungen tragen dem Proportionalitätsprinzip Rechnung und ermöglichen den Instituten somit eine risikoorientierte Umsetzung. Unter Berücksichtigung der Größe des Instituts sowie der Komplexität, einer besonderen Risikoexponierung oder Internationalität seiner Geschäftsaktivitäten kann gleichwohl die Erfüllung weitergehender als in diesem Rundschreiben explizit formulierter Anforderungen erforderlich sein.
Die in den Mindestanforderungen an das Risikomanagement (MaRisk) enthaltenen Anforderungen bleiben unberührt und werden im Rahmen ihres Gegenstands durch dieses Rundschreiben konkretisiert. Die in diesem Rundschreiben konkretisierten Themenbereiche sind nach Regelungstiefe und –umfang nicht abschließender Natur. Das Institut bleibt folglich auch insbesondere jenseits der Konkretisierungen dieses Rundschreibens gemäß 25a Abs. 1 Nr. 4 KWG i. V. m. AT 7.2 Tz. 2 MaRisk verpflichtet, bei der Ausgestaltung der IT-Systeme und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards (z. B. der Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik und der internationale Sicherheitsstandard ISO/IEC 2700X) abzustellen.
Anforderungen an das Auslagerungsmanagement – BAIT – bankaufsichtliche Anforderungen an die IT
Die Auslagerungen der IT-Dienstleistungen haben die Anforderungen nach AT 9 der MaRisk zu erfüllen.
Dies gilt insbesondere für
- Auslagerungen von IT-Dienstleistungen, die dem Institut durch ein Dienstleistungsunternehmen über ein Netz bereitgestellt werden (z.B. Rechenleistung, Speicherplatz, Plattformen oder Software) und
- deren Angebot, Nutzung und Abrechnung dynamisch und an den Bedarf angepasst über definierte technische Schnittstellen sowie Protokolle erfolgen (Cloud-Dienstleistungen).
Das Institut hat auch beim sonstigen Fremdbezug von IT-Dienstleistungen die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG zu beachten (vgl. AT 9 Tz. 1 MaRisk).
Beim Bezug von Software sind die damit verbundenen Risiken angemessen zu bewerten (vgl. AT 7.2 Tz. 4, Satz 2 MaRisk).
Fremdbezug von IT-Dienstleistungen – BAIT – bankaufsichtliche Anforderungen an die IT
Im Rahmen des Auslagerungsmanagements ist zu prüfen:
- Die Verträge betreffend den sonstigen Fremdbezug von IT-Dienstleistungen sind strategisch analog den Auslagerungsverträgen bzgl. IT-Dienstleistungen zu steuern.
- Für den sonstigen Fremdbezug von IT-Dienstleistungen wird eine Vertragsevidenz im Einklang mit den Vorgaben der IT-Strategie des Instituts vorgehalten.
- Die Steuerung kann auf der Basis einer Bündelung der Verträge des sonstigen Fremdbezugs von IT-Dienstleistungen (Vertragsportfolio) erfolgen.
Wegen der grundlegenden Bedeutung der IT für das Institut ist auch für jeden sonstigen Fremdbezug von IT-Dienstleistungen vorab eine Risikobewertung durchzuführen.
Die für Informationssicherheit und Notfallmanagement des Instituts verantwortlichen Funktionen sind angemessen einzubinden.
Im Rahmen des Auslagerungsmanagements ist zu prüfen:
- Die aus der Risikobewertung zum sonstigen Fremdbezug von IT-Dienstleistungen abgeleiteten Maßnahmen sind angemessen in der Vertragsgestaltung zu berücksichtigen.
- Vom Institut akzeptierte und genehmigte Restrisiken werden überwacht und, sofern relevant, in den Prozess des Managements der operationellen Risiken überführt.
- Dies beinhaltet Vereinbarungen zum Informationsrisikomanagement, zur Informationssicherheit und zum Notfallmanagement, die im Regelfall den Zielvorgaben des Instituts entsprechen.
- Dies gilt auch im Falle der Einbindung von Subunternehmern.
- Die Risikobewertungen in Bezug auf den sonstigen Fremdbezug von IT-Dienstleistungen sind regelmäßig und anlassbezogen zu überprüfen und ggf.inkl. der Vertragsinhalte anzupassen.
- Die Leistungserbringung im Rahmen des sonstigen Fremdbezugs von IT-Dienstleistungen ist angemessen zu überwachen. Die institutsinternen Steuerungsmechanismen können hierzu genutzt werden.
Hier kommen Sie direkt zur Konsultation 02-2017 BAIT – bankaufsichtsliche Anforderungen an die IT.