Erscheinung:22.03.2017 | Geschäftszeichen BA 51-K 3142-2017/0004 Konsultation 02/2017 - Bankaufsichtliche Anforderungen an die IT (BAIT)
Öffentliche Konsultation des Rundschreibens „Bankaufsichtliche Anforderungen an die IT" (BAIT)
Sehr geehrte Damen und Herren,
Vertreterinnen und Vertreter meines Bereiches und auch der Deutschen Bundesbank wurden in den letzten Jahren seitens der Kreditwirtschaft verstärkt daraufhin angesprochen, dass die Anforderungen, die der § 25a Abs. 1 Kreditwesengesetz (KWG) an die ordnungsgemäße Geschäftsorganisation stellt - hier insbesondere bezogen auf die Informationstechnologie – aus Sicht der Industrie bislang nur unzureichend in den Mindestanforderungen an das Risikomanagement (MaRisk) abgebildet seien und deshalb im Zuge der sich erheblich beschleunigenden Digitalisierung im Finanzsektor einer Konkretisierung bedürfen.
Mit den „Bankaufsichtlichen Anforderungen an die IT“ (BAIT), die sich primär an die Geschäftsleitungen der Kreditinstitute richten, wollen Deutsche Bundesbank und BaFin die Erwartungshaltung der Aufsicht an die Institute transparenter darstellen.
Ich kann Ihnen nun den Entwurf des Rundschreibens zu den BAIT vorlegen, den Mitarbeiterinnen und Mitarbeiter von BaFin und Deutscher Bundesbank gemeinsam entwickelt haben. Unterstützt wurden sie hierbei vom Fachgremium IT. Dieses Gremium umfasst neben Vertreterinnen und Vertretern der Aufsicht insbesondere Vertreterinnen und Vertreter von großen und kleinen Instituten und bedeutenden IT-Dienstleistern sowie Vertreterinnen und Vertretern von Banken- und Prüfungsverbänden sowie der Wissenschaft.
Ziele des Rundschreibens zu den BAIT
Das nun vorliegende Rundschreiben zu den BAIT besteht aus insgesamt acht Themenbereichen. In den einzelnen Themenbereichen verweisen Leitsätze auf die jeweiligen Textziffern der MaRisk, die IT-spezifisch konkretisiert werden.
Zentrales Ziel dieses Rundschreibens zu den BAIT ist es, dem Management der Institute auf der Grundlage des § 25a Abs. 1 KWG einen flexiblen und praxisnahen Rahmen für die Ausgestaltung der Informationstechnik der Institute, insbesondere auch für das Management der IT-Ressourcen und für das IT-Risikomanagement vorzugeben. Es konkretisiert ferner die Anforderungen des § 25a Abs. 3 KWG (Risikomanagement auf Gruppenebene) sowie des § 25b KWG (Auslagerung).
Die prinzipienorientierten Anforderungen des Rundschreibens zu den BAIT tragen - analog zu den MaRisk - dem Proportionalitätsprinzip Rechnung.
Die in den MaRisk enthaltenen Anforderungen bleiben unberührt und werden im Rahmen ihres Gegenstands durch die BAIT konkretisiert. Die in den BAIT konkretisierten Themenbereiche sind nach Regelungstiefe und –umfang nicht abschließender Natur.
Jedes Institut bleibt folglich auch insbesondere jenseits der Konkretisierungen der BAIT gemäß § 25a Abs. 1 Nr. 4 KWG i. V. m. AT 7.2 Tz. 2 MaRisk verpflichtet, bei der Ausgestaltung der IT-Systeme und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards und sowie grundsätzlich auf den Stand der Technik abzustellen.
Konsultation des Rundschreibens zu den BAIT
Ich bitte Sie hiermit, bei Bedarf der BaFin und der Deutschen Bundesbank schriftliche Stellungnahmen zum beigefügten Rundschreiben zu den BAIT postalisch oder per E-Mail (Konsultation-02-17@bafin.de sowie b32_marisk@bundesbank.de) bis zum 05.05.2017 zukommen zu lassen.
Deutsche Bundesbank und BaFin werden die eingegangenen Stellungnahmen bewerten und konsolidieren. Im Anschluss daran wird das Ergebnis Gegenstand einer weiteren Sitzung des Fachgremiums IT sein. Meine Mitarbeiter werden die Mitglieder des Fachgremiums IT hierzu gesondert informieren.
Es ist vorgesehen, die eingegangenen Stellungnahmen auf den Homepages von BaFin und Deutscher Bundesbank zu veröffentlichen, soweit die Verfasser der Stellungnahmen dagegen keine Einwände erheben.
Ich freue mich auf Ihre fachliche Unterstützung und bin zuversichtlich, dass in dem Rundschreiben zu den BAIT Lösungen formuliert sind, die eine praxistaugliche Anwendung der BAIT im Sinne der IT-spezifischen Konkretisierung der MaRisk für Industrie und Aufsicht gewährleisten.
Mit freundlichen Grüßen
Raimund Röseler