BaFin veröffentlicht Konsultationen für MaRisk und BAIT

Abgelegt in: Regulatorische Anforderungen 1 Antwort

Das BaFin hat am 26. Oktober 2020 die Konsultationen für die Mindestanforderungen an das Risikomanagement (MaRisk) und die Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht.

Gerade auch zum (IT-) Notfallmanagement (früher IT-Notfallkonzept) gibt es in den beiden überarbeiteten Konsultationen zahlreiche Änderungen, Konkretisierungen und Erweiterungen.

So werden in der zu erwartenden MaRisk im AT 7.3 Notfallmanagement die Anforderungen an die Durchführung einer Business Impact Analyse konkretisiert. Dies beinhaltet zum Beispiel die Anforderungen an eine zu Grunde liegende Prozesslandkarte sowie die Mindestinhalte der Auswirkungs (Impact-)analyse.

Auch die Mindestanforderungen an die Inhalte von Notfallkonzepten sind weiter konkretisiert. Dies beinhaltet insbesondere auch die Berücksichtigung der BCM-Szenarien (Ausfall von kritischen Standorten, Personal, IT und Dienstleistern).

Die Anforderungen an die Überprüfung der Notfallvorsorge ist deutlich verschärft worden. So sind für zeitkritische Aktivitäten und Prozesse Wirksamkeits- und Angemessenheitsprüfungen für alle Szenarien mindestens jährlich und anlassbezogen nachzuweisen.

Gerade die konkretisierten und verschärften Anforderungen an die Durchführung von Tests und Übungen wird viele Institute vor Herausforderungen stellen und erfordert eine gut durchdachte und überwachte Test- und Übungsprogrammplanung.

Die Konsultationen sind auf der Webseite des BaFin verfügbar.

BaFin veröffentlicht Anforderungen an die IT für Banken BAIT

Abgelegt in: Regulatorische Anforderungen 1 Antwort

Die Bundesanstalt für Finanzdienstleistungsaufsicht hat am 06.11.2017 die BAIT veröffentlicht.

“Wie die Mindestanforderungen an das Risikomanagement der Banken (MaRisk), deren neueste Fassung die BaFin Ende Oktober veröffentlicht hat, interpretieren auch die BAIT die gesetzlichen Anforderungen des § 25a Absatz 1 Satz 3 Nr. 4 und 5 Kreditwesengesetz (KWG). Die Aufsicht erläutert darin, was sie unter einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme, unter besonderer Berücksichtigung der Anforderungen an die Informationssicherheit sowie eines angemessenen Notfallkonzepts, versteht. Da die Institute zunehmend IT-Dienstleistungen von Dritten beziehen, auch im Rahmen von Auslagerungen, wird auch der § 25b KWG in diese Interpretation einbezogen.”

Quelle: BaFin

MaRisk Novelle 2017: Veröffentlichung der Endfassung durch das BaFin

Abgelegt in: Regulatorische Anforderungen 1 Antwort

Das BaFin hat am 27.10.2017 die Endfassung der MaRisk Novelle 2017 veröffentlicht. Wesentliche inhaltliche Änderungen betreffen die Themenbereiche Risikodatenaggregation und Risikoberichterstattung, Risikokultur und Verhaltenskodex sowie Auslagerungen. Aus Sicht des Business Continuity Management gab es an der zentralen Regelung im AT 7.3 Notfallkonzept keine Änderungen. Indirekt ist das BCM insbesondere durch die überarbeiteten Regelungen im Themenbereich Auslagerungen betroffen. Der Tatbestand des Vorliegens einer Auslagerung ist in der Neufassung für den Fremdbezug von IT-Leistungen genauer spezifiziert. Bei Vorliegen einer Auslagerung sind unverändert die Notfallkonzepte des auslagernden Instituts und des Auslagerungsunternehmens aufeinander abzustimmen.

Neu aufgenommen wurde der Schutzbedarf von Informationswerten als Anforderungskriterium. Die Ergebnisse des Informationssicherheitsmanagements finden somit stärkere Berücksichtigung in den Regelungen. Dies betrifft das IT-Risikomanagement, die Überprüfung von Berechtigungen im Berechtigungsmanagement sowie Anforderungen an die Individuelle Datenverarbeitung IDV.

Anforderungen an die Überwachungs- und Steuerungsprozesse für IT-Risiken und Regelungen zur IDV sind neu in die MaRisk aufgenommen.

Die Änderungen der neuen Fassung sind in Anlage 2 zum Rundschreiben ersichtlich.

Öffentliche Konsultation des Rundschreibens „Bankaufsichtliche Anforderungen an die IT” (BAIT)

Abgelegt in: Regulatorische Anforderungen Antworten

Die BAIT (Bankaufsichtliche Anforderungen  an die IT) konkretisieren die Anforderungen der MaRisk an die Ausgestaltung der Informationstechnologie durch BaFin und Deutsche Bundesbank.

Die Konkretisierungen umfassen die Themen

  • IT-Strategie
  • IT-Governance
  • Informationsrisikomanagement
  • Informationssicherheitsmanagement
  • Benutzerberechtigungsmanagement
  • IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
  • IT-Betrieb (inkl. Datensicherung)
  • Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen.

Das Rundschreiben, das nunmehr im Entwurf zur Konsultation vorliegt, adressiert die Geschäftsleitung der Kreditinstitute und soll die Anforderungen der MaRisk konkretisieren. Die Anforderungen der MaRisk bleiben hiervon unberührt. Daneben bleiben die Institute verpflichtet, “bei der Ausgestaltung der IT-Systeme und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards und sowie grundsätzlich auf den Stand der Technik abzustellen.”

Die Konsultationsphase endet am 5. Mai 2017.

Die Konsequenzen der Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSi) für das BCM

Abgelegt in: Antworten

ein  Gastbeitrag von Dr. Christian Zänker (Business Continuity Partner, zaenker@bcmpartner.de) für die BCM-News.

Was bedeuten die neuen regulatorischen Anforderungen für das BCMS der Institute?

Im Mai vergangenen Jahres wurden von der BaFin mit Rundschreiben 4/2015 die Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSi) veröffentlicht. Nach Aussage der BaFin müssen die Institute nach Ablauf der 6-monatigen Übergangsfrist ab dem 05.11.2015 mit Prüfungen durch die Bankenaufsicht rechnen. Weiterlesen…

Aktuelle Übersicht “BCM Legislations, Regulations & Standards produced by the BCI”

Abgelegt in: 2 Antworten

Es gibt national und international zahlreiche Gesetze, Standards und Normen, die bei der Umsetzung des Business Continuity Managements zu beachten sind. Trotz des internationalen ISO Standards ISO 22301 haben Behörden und Institutionen national ergänzende spezifische Anforderungen an das Business Continuity Management. In Deutschland ist zum Beispiel das IT-Sicherheitsgesetz zu nennen, aber auch branchenspezifische Standards und Regelungen. Gerade für international agierende Unternehmen ist es sehr bedeutsam, diese nationalen Anforderungen in den einzelnen Ländern zu kennen und zu berücksichtigen. Das Business Continuity Institute (BCI) hat hierzu einen sehr umfassenden Überblick erstellt:  BCM Legislations, Regulations & Standards produced by the BCI. Diese Zusammenstellung internationaler Gesetze, Normen und Standards für das BCM wurde im Januar 2015 aktualisiert und steht nach Registrierung auf der Seite des BCI kostenfrei zum Download zur Verfügung.

Das Buch zum IT-Sicherheitsgesetz

Abgelegt in: Antworten

Wer sich intensiver mit dem IT-Sicherheitsgesetz auseinandersetzen will oder muss, findet beim Bundesanzeiger Verlag das aktuell erschienene Buch “IT-Sicherheitsgesetz”:

“Die kommentierte Materialsammlung zum IT-Sicherheitsgesetz unterrichtet über Konsequenzen hieraus und gibt einen Überblick darüber, welche Änderungen sich in welchen Gesetzen ergeben. In einer kurzen Einleitung erläutert der Autor Werdegang, Begründung und Auswirkungen des IT-Sicherheitsgesetzes. Im Anschluss werden die geänderten Normen nebst Gesetzesbegründung aufgeführt und kommentiert. Einen Gesamtüberblick zur veränderten Rechtslage gibt eine umfassende Synopse.”

Bezug über den Bundesanzeiger Verlag

Aktuelles zum IT-Sicherheitsgesetz

Abgelegt in: 1 Antwort

Am 25.07.2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Bereits die ersten Entwürfe des Gesetzes wurden heftigst diskutiert. Die Spannungskurve ist nach der Verabschiedung allerdings nicht abgesunken, da viele Fragen erst durch Rechtsverordnungen geklärt und festgelegt werden müssen. Hierzu gehören die betroffenen Unternehmen und Dienstleistungen wie auch die konkreten Anforderungen aus dem Gesetz. Dass das IT-Sicherheitsgesetz keine langweilige und trockene Angelegenheit wird, zeigte die Veranstaltung der Gesellschaft für Informatik zu diesem Thema am vergangenen Freitag in Frankfurt. Trotz Streiks bei der Lufthansa war die Veranstaltung sehr gut besucht. Den Gastgeber Bahn hat dies natürlich auch sehr gefreut ;-). Weiterlesen…

Kritik am IT-Sicherheitsgesetz in der ersten Lesung im Bundestag

Abgelegt in: Antworten

Am Freitag, den 20. März 2015 fand im Bundestag die erste Lesung des Entwurf für das IT-Sicherheitsgesetz statt. Der Entwurf wurde im Bundestag kontrovers diskutiert. Die Bundesregierung sieht sich mit dem Gesetz als als “Vorbild und Vorreiter der IT-Sicherheit”, so Bundesinnenminister Dr. Thomas de Maizière. Die Opposition bemängelte an dem Entwurf, dass nicht geklärt ist, welche Unternehmen zu den Kritischen Infrastrukturen gehören. Dies soll im Rahmen von Rechtsverordnungen nach Verabschiedung des Gesetzes geregelt werden. In einer ersten Zahl wurden 2.000 betroffene Unternehmen genannt. Wie viel Substanz diese Größenordnung hat, wird sich noch zeigen. Nimmt man zum Beispiel alleine die Energie- und Wasserversorger hinzu, wird diese Zahl kaum zu halten sein. Mit dem IT-Sicherheitsgesetz kommt auch eine Meldepflicht für Sicherheitsvorfälle bei Unternehmen der Kritischen Infrastrukturen. Welche Vorfälle gemeldet werden müssen und was mit den gesammelten Daten passiert, ist im Gesetzesentwurf ebenfalls nicht genau geregelt. Der Cyber-Sicherheitsrat hat zudem gar verfassungsrechtliche Bedenken gegenüber dem Gesetzesentwurf: Behörden des Bundes werden von den Pflichten der Kritischen Infrastrukturen nicht erfasst und müssen demzufolge keine vergleichbare Pflichten zum Schutz vor Cyberattacken leisten. Einig sind sich zumindest alle Parteien, dass Aktivitäten zum Schutz vor Cyber-Attacken dringend nötig sind.

Aus meiner bescheidenen Sicht ist die Definition der Kritischen Infrastrukturen tatsächlich ein kritischer Erfolgsfaktor für die Wirksamkeit des Gesetzes. Die Verlagerung der Definition des Scopes der gesetzlichen Regelungen auf die nachgelagerten Rechtsverordnungen hat zumindest Unsicherheit und Diskussionen erzeugt, die die Verabschiedung des Gesetzes verzögern können. Zur Zeit laufen branchenbezogene Studien zur Definition der kritischen Prozesse für die Kritischen Infrastrukturen. Zudem finden Gespräche mit den Branchenvertretern statt. Es gilt auch je Branche die Standards festzulegen, die von den betroffenen Unternehmen einzuhalten sind. Die Lobbyarbeit läuft sicherlich hinter den Kulissen auf Hochtouren. Die bereits stark regulierten Branchen wie Finanzdienstleister werden mit den Konsequenzen dieses Gesetzes wesentlich leichter umgehen können als Unternehmen, die sich diesen Anforderungen erst neu stellen müssen. Gerade für mittelständische Unternehmen kann dies zu einer Herausforderung werden, aber gerade diese Unternehmen sind auch besonders stark gefährdet, ohne dass das Bewusstsein – und Budget – hierfür immer vorhanden ist. Es besteht Handlungsbedarf und ein erster Schritt muss getan werden. Der Gesetzgeber wäre gut beraten, gerade den mittelständischen Unternehmen auch bessere Hilfsmittel zur Umsetzung an die Hand zu geben. Das Umsetzungsrahmenwerk für den BSI 100-4 Standard Notfallmanagement ist ein guter Ansatz in diese Richtung. Mehr davon, kann ich da nur appellieren. Auch der BSI 100-4 hat mittlerweile eine dicke Staubschicht angesammelt. Vorschriften sind das eine, doch darf man gerade kleine und mittelständische Unternehmen bei der Umsetzung nicht alleine lassen – auch wenn wir als Berater den Bedarf natürlich gerne ganz uneigennützig aufgreifen 😉

Anforderungen an das externe Reporting des Notfallmanagements

Abgelegt in: Antworten

Im nachfolgenden Gastbeitrag geht der Autor Torsten Zacher auf die Anforderungen an das externe Reporting des Notfallmanagements ein. Torsten Zacher beleuchtet die unterschiedlichen Quellen der Anfragen sowie die rechtlichen und regulatorischen Rahmenbedingungen für das Reporting.

Ausgangslage

Kreditinstitute erhalten in letzter Zeit vermehrt Anfragen zu einem Reporting über die Notfallkonzepte. Diese werden mit der Wesentlichkeit der Auslagerung begründet. In einigen Fällen wird keine Begründung angegeben.

Ein kurzer Blick auf die Anforderungen lässt schnell erkennen, dass diese auf inhomogenen rechtlichen Anforderungen basieren. Doch welche Folgen ergeben sich hieraus für das externe BCM-Reporting? Welche Informationen muss das anfragende Unternehmen erhalten?

Wie kann der Begriff des Outsourcings in diesem Rahmen definiert werden?

Welchen Input kann die MaRisk, insb. die AT 9 und das KWG geben und was sagen die Standards BSI 100-4 und die ISO 22301 zu den Anfragen? Dieses wird im folgenden Artikel untersucht.

Im ersten Schritt sollten die verschiedenen Anfragen kategorisiert werden, um zu definieren, wie die anfragenden Unternehmen angemessen informiert werden und es wird der Begriff definiert, was eine Auslagerung ist.

Es werden nur die Anforderungen an das Reporting untersucht und nicht weitere Forderungen, die sich aus der MaRisk, der ISO 22301 usw. ergeben. Unter anderem wird auf Themen wie Prüfrechte nicht weiter eingegangen.
Weiterlesen…

Bundeskabinett beschließt IT-Sicherheitsgesetz

Abgelegt in: Antworten

Das Bundeskabinett hat heute den Entwurf des Sicherheitsgesetzes verabschiedet. Damit kommt die Meldepflicht für IT-Sicherheitsvorfälle und das Bundesamt für Sicherheit in der Informationstechnik BSI erhält umfassende Kompetenzen und Kapazitäten als Zentralstelle für die IT-Sicherheit. Welche Unternehmen und Organisationen als Betreiber kritischer Infrastrukturen dem neuen IT-Sicherheitsgesetz unterliegen, wird eine spannende Frage sein, die Anfang des neuen Jahres in konkreten Verordnungen ausgestaltet werden wird. Die Bundesregierung geht aktuell von rund 2.000 Betreibern der kritischen Infrastruktur aus. Auch die Hersteller von IT-Systemen unterliegen zukünftig der Aufsichtspflicht des BSI. Der Gesetzesenturf war heftig umstritten. Der Industrie ging er mit den Meldepflichten zu weit, während Sicherheitsfachleute befürchten, durch die anonymisierten Meldungen kein vollständiges Lagebild zu erhalten. Die Praxis wird bald zeigen, ob sich der Aufwand für die Unternehmen in einem konkreten Sicherheitsgewinn auszahlt.

Was das neue IT-Sicherheitsgesetz für das Business Continuity Management bedeutet

Abgelegt in: 2 Antworten

Das Bundesministerium des Innern hat vor kurzem den Referentenentwurf zum IT-Sicherheitsgesetz („Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“) vorgelegt. Ziel des Gesetzes ist „eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland“. Besondere Bedeutung misst der Entwurf des IT-Sicherheitsgesetzes dem Schutz der IT-Systeme Kritischer Infrastrukturen zu. Weiterlesen…