30.09.2021

Update zu neuen BaFin-Rundschreiben (MaRisk, BAIT und ZAIT) – Anpassungsbedarf für Auslagerungsverträge

Background

Finanzinstitute verlagern kritische Operationen wie Zahlungssysteme und Online-Banking einschließlich der Identifizierungs- und Authentifizierungsprozesse zunehmend in die Cloud. Damit wächst die Gefahr, dass der Ausfall eines Cloud-Unternehmens die Dienste einer Bank zum Erliegen bringt und Kunden nicht mehr in der Lage wären, Zahlungen zu leisten oder auf Dienste zuzugreifen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 16. August 2021 drei novellierte bzw. neue Rundschreiben veröffentlicht: Die  Mindestanforderungen an das Risikomanagement der Banken (MaRisk), die Bankaufsichtlichen Anforderungen an die IT (BAIT) sowie die Zahlungsdiensteaufsichtlichen Anforderungen an die IT (ZAIT).

In der novellierten MaRisk hat die BaFin u. a. die 2019 verabschiedeten EBA-Leitlinien zu Auslagerungen (EBA/ GL/2019/02) umgesetzt. Aus den BAIT ergibt sich, welche Rahmenbedingungen für eine sichere Informationsverarbeitung und Informationstechnik von Instituten umgesetzt werden müssen. Die ZAIT geben Zahlungs- und E-Geld-Instituten aufsichtsrechtliche Anforderungen an den Einsatz von Informationstechnik und in Bezug auf Cybersicherheit vor. Institute müssen ihre Auslagerungsverträge und -prozesse an diese inhaltlich Anforderungen an den Einsatz von Informationstechnik und in Bezug auf Cybersicherheit vor. Institute müssen ihre Auslagerungsverträge und -prozesse an diese inhaltlich geschärften Anforderungen anpassen. Daneben können Finanzinstitute, aber auch Dienstleister, als Betreiber Kritischer Infrastrukturen verpflichtet sein, die Melde- und IT-Sicherheitsvorgaben aus dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) einzuhalten, wenn sie die in der BSI-KRITIS-Verordnung festgelegten Schwellenwerte im Hinblick auf die von ihnen durchgeführten Transaktionen überschreiten. Dienstleister sollten vorhandene Handlungsspielräume identifizieren und analysieren, um ihre Leistungen, Geschäftsbedingungen und Verhandlungsstrategien auf die Compliance-Anforderungen der Institute ausrichten zu können.

Author
Dr. Stefanie Hellmich, LL.M.

Dr. Stefanie Hellmich, LL.M.
Partnerin
Frankfurt a.M.
stefanie.hellmich@luther-lawfirm.com
+49 69 27229 24118

Dr. Rolf Kobabe

Dr. Rolf Kobabe
Partner
Hamburg
rolf.kobabe@luther-lawfirm.com
+49 40 18067 24680

Dr. Michael Rath

Dr. Michael Rath
Partner
Köln
michael.rath@luther-lawfirm.com
+49 221 9937 25795

Pierre Daniel Wittmann

Pierre Daniel Wittmann
Senior Associate
Frankfurt a.M.
pierre.daniel.wittmann@luther-lawfirm.com
+49 69 27229 24687