Welche aufsichtlichen Anforderungen an eine ordnungsgemäße Geschäftsführung müssen Zahlungs- und E-Geld-Institute hinsichtlich des Einsatzes von Informationstechnik und Cybersicherheit beachten? Das erläutert die BaFin in ihrem neuen Rundschreiben Zahlungsdiensteaufsichtliche Anforderungen an die IT, kurz ZAIT. Dieses schafft Rechtssicherheit, indem es auf die speziellen Regelungen des Zahlungsdiensteaufsichtsgesetzes (ZAG) abgestimmt ist. Es ergänzt damit die Reihe der IT-Rundschreiben der BaFin: die Bankaufsichtlichen, die Versicherungsaufsichtlichen und die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (BAIT , VAIT und KAIT).

Bisher wurden für Zahlungs- und E-Geld-Institute die BAIT in Verbindung mit den Mindestanforderungen an das Risikomanagement (MaRisk) analog angewendet. Durch die ZAIT können die individuellen Besonderheiten von Zahlungs- und E-Geld-Instituten unter Beachtung des Proportionalitätsgrundsatzes zukünftig noch besser berücksichtigt werden.

Inhaltlich orientiert sich das Rundschreiben sehr eng an den BAIT. Es beinhaltet insbesondere die Anforderungen aus den Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) für das Management von IKT- und Sicherheitsrisiken und den EBA-Leitlinien zu Auslagerungen. IKT steht für Informations- und Kommunikationstechnologie.

Wachsende Bedrohung von Cyberangriffen

Die ZAIT erläutern beispielsweise die aufsichtlichen Anforderungen an das Informationsrisiko- und Informationssicherheitsmanagement. Diese sind im Hinblick auf die stetig wachsende Bedrohung durch Cyberangriffe von grundlegender Bedeutung, um die IT-Sicherheit der Institute zu stärken. Es ist wichtig, dass die Institute Sicherheitsvorfälle zeitnah erkennen und mit entsprechenden Maßnahmen die regulären Geschäftsprozesse sicherstellen können. Grundlage dafür ist ein wirksames Risikomanagement, welches dem individuellen Geschäftsmodell und der Größe des jeweiligen Instituts angemessen sein muss.

Darüber hinaus enthält das Rundschreiben wesentliche Anforderungen an die IT-Betriebsprozesse, die IT-Infrastruktur und das Betriebliche Kontinuitätsmanagement (Business Continuity Management). Diese sollen insbesondere sicherstellen, dass die Institute eine hohe Verfügbarkeit ihrer Dienstleistungen gewährleisten können und die eingesetzte IT-Ausstattung grundsätzlich dem aktuellen Stand der Technik entspricht. Gerade bei Softwareanwendungen ist dies essenziell, um IT-Sicherheitslücken zu vermeiden. Außerdem muss jedes Institut nachweisen können, dass die wesentlichen Betriebsprozesse in einem angemessenen Zeitraum nach einer Störung wieder zur Verfügung stehen.

Auslagerung von IT-Prozessen

Ein weiterer wichtiger Teil des Rundschreibens konkretisiert die aufsichtlichen Anforderungen an Institute, die IT-Prozesse oder IT-Aktivitäten auf ein anderes Unternehmen auslagern. In der Praxis nutzen Institute beispielsweise Cloud-Dienstleister, um Geschäftsprozesse abzuwickeln, Daten zu speichern oder schlicht, um flexible IT-Kapazitäten nutzen zu können.

Die Institute müssen sich bereits mit den Risiken einer solchen Auslagerung auseinandersetzen, bevor sie einen Dienstleister beauftragen. Da sie aufsichtsrechtlich für alle ausgelagerten IT-Prozesse und -Aktivitäten verantwortlich bleiben, müssen sie stets überwachen, dass ihre Dienstleister den Auftrag ordnungsgemäß erfüllen, und die Risiken der Auslagerung permanent im Blick behalten.

BaFin prüft Umsetzung

Die BaFin wird aufsichtliche IT-Prüfungen bei den Zahlungs- und E-Geld-Instituten durchführen, um die Umsetzung der ZAIT zu überwachen.