IT Strategie – BAIT

Die BAIT umfassen Regelungen zu folgenden Schwerpunkten:

  1. IT-Strategie
  2. IT-Governance
  3. Informationsrisikomanagement
  4. Informationssicherheitsmanagement
  5. Benutzerberechtigungsmanagement
  6. IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
  7. IT-Betrieb (inkl. Datensicherung)
  8. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

 

IT Strategie - BAIT - Bankaufsichtsrecht

 

IT Strategie – BAIT – Bankaufsichtsrecht

Der Einsatz von Informationstechnik (IT) in den Instituten, auch unter Einbeziehung von IT-Services, die durch IT-Dienstleister bereitgestellt werden, hat eine zentrale Bedeutung für die Finanzwirtschaft und wird weiter an Bedeutung gewinnen. Dieses Rundschreiben gibt auf der Grundlage des § 25a Abs. 1 des Kreditwesengesetzes (KWG) einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute – insbesondere für das Management der IT Ressourcen und für das IT-Risikomanagement – vor. Es präzisiert ferner die Anforderungen des § 25b KWG (Auslagerung von Aktivitäten und Prozessen).

Die in den Mindestanforderungen an das Risikomanagement (MaRisk) enthaltenen Anforderungen bleiben unberührt und werden im Rahmen seines Gegenstands durch dieses Rundschreiben konkretisiert. Die Themenbereiche dieses Rundschreibens sind nach Regelungstiefe und –umfang nicht abschließender Natur. Das Institut bleibt folglich auch insbesondere jenseits der Konkretisierungen in diesem Rundschreiben gemäß § 25a Abs. 1 Satz 3 Nr.4 KWG i. V. m. AT 7.2 Tz. 2 MaRisk verpflichtet, bei der Ausgestaltung der IT-Systeme und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen. Zu diesen zählen beispielsweise die IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik und der internationale Sicherheitsstandard ISO/IEC 2700X der International Organization for Standardization.

Die prinzipienorientierten Anforderungen dieses Rundschreibens ermöglichen die Umsetzung des Prinzips der doppelten Proportionalität (vgl. insbesondere AT 1 Tzn. 3, 5 und 7 sowie AT 2.1 Tz. 2 MaRisk).

 

IT Strategie – BAIT – Anforderungen an die IT-Strategie

Die IT-Strategie hat die Anforderungen nach AT 4.2 der MaRisk zu erfüllen. Dies beinhaltet insbesondere, dass die Geschäftsleitung eine nachhaltige IT-Strategie festlegt, in der die Ziele, sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden. Die Geschäftsleitung hat eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen. Mindestinhalte der IT-Strategie sind:

  1. Strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation des Instituts sowie der Auslagerungen von IT-Dienstleistungen
  2. Zuordnung der gängigen Standards, an denen sich das Institut orientiert,auf die Bereiche der IT
  3. Zuständigkeiten und Einbindung der Informationssicherheit in die Organisation
  4. Strategische Entwicklung der IT-Architektur
  5. Aussagen zum Notfallmanagement unter Berücksichtigung der IT-Belange
  6. Aussagen zu den in den Fachbereichen selbst betriebenen bzw. entwickelten IT-Systemen (Hardware- und Software-Komponenten)

 

Zu 1): Beschreibung der Rolle, der Positionierung und des Selbstverständnisses der IT im Hinblick auf Personaleinsatz und Budget der IT-Aufbau- und IT-Ablauforganisation sowie die Darstellung und strategische Einordnung der IT-Dienstleistungen. Aussagen zu Auslagerungen von IT-Dienstleistungen können auch in den strategischen Ausführungen zu Auslagerungen enthalten sein.

Zu 2): Auswahl der gängigen Standards und Umsetzung auf die IT-Prozessendes Instituts sowie Darstellung des avisierten Implementierungsumfangs der jeweiligen Standards.

Zu 3): Beschreibung der Bedeutung der Informationssicherheit im Institut sowie der Einbettung der Informationssicherheit in die Fachbereiche und in das jeweilige Zusammenarbeitsmodell mit den IT-Dienstleistern.

Zu 4): Darstellung des Zielbilds der IT-Architektur in Form eines Überblicks über die Anwendungslandschaft.

 

BAIT – Neue Anforderungen an die IT-Strategie

Am 06.11.2017 hat die BaFin die Verlautbarung BAIT – Bankaufsichtsrechtliche Anforderungen an die IT verabschiedet. Diese Verlautbarung ist mit sofortiger Wirkung in Kraft. Es gelten keine Umsetzungsfristen. Die BAIT umfassen Regelungen zu folgenden Schwerpunkten:

  1. IT-Strategie
  2. IT-Governance
  3. Informationsrisikomanagement
  4. Informationssicherheitsmanagement
  5. Benutzerberechtigungsmanagement
  6. IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
  7. IT-Betrieb (inkl. Datensicherung)
  8. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Aktuelle Informationen zu den BAIT finden Sie direkt in unserem Informationsblog BAIT.

Pin It on Pinterest

Share This