Erscheinung:26.10.2020, Stand:geändert am 27.10.2020 | Geschäftszeichen GIT 3-FR 1903-2019/0020 | Thema Risikomanagement Öffentliche Konsultation des Rundschreibens „Bankaufsichtliche Anforderungen an die IT" (BAIT)
Konsultation 13/2020
Sehr geehrte Damen und Herren,
die Europäische Bankenaufsichtsbehörde (EBA) hat im November 2019 mit den „EBA-Leitlinien für IKT und Sicherheitsrisikomanagement“ (ICT Guidelines) für den Binnenmarkt einheitliche Anforderungen an das Management von Informationstechnik und Informationssicherheit für Kreditinstitute, Wertpapierfirmen und Zahlungsdienstleister veröffentlicht.
Aus dem Anlass haben Vertreterinnen und Vertreter meines Bereichs sowie der Deutschen Bundesbank das Rundschreiben „Bankaufsichtliche Anforderungen an die IT“ (BAIT) in der Fassung vom 14.09.2018 umfassend daraufhin geprüft, inwiefern Ergänzungen aufgrund der ICT-Guidelines sowie Aktualisierungen notwendig sind, um aktuellen Risiken der Institute im Zusammenhang mit Informationsverarbeitung gerecht zu werden. Unterstützt wurden sie hierbei wiederum vom Fachgremium IT. Neben der Aufsicht sind kleine und große Institute, Verbände und die Wissenschaft im Fachgremium IT vertreten.
Dabei wurde einerseits Bedarf für Ergänzungen an den bestehenden Themen der BAIT festgestellt. Andererseits wurden mit den neuen Kapiteln zur operativen Informationssicherheit, zu den Kundenbeziehungen von Zahlungsdiensten im Sinne des § 1 Abs. 1 Satz 2 ZAG sowie zu dem für die BAIT bereits angekündigten Thema Notfallmanagement neue Schwerpunkte gesetzt. Mit diesen ermittelten Ergänzungen, die in die BAIT Einzug finden sollen, wird das Rundschreiben auch künftig den europäischen Anforderungen und Rahmenbedingungen gerecht.
Ich bitte Sie bei Bedarf der Deutschen Bundesbank und der BaFin schriftliche Stellungnahmen zum angefügten Rundenschreiben bis zum 23.11.2020 postalisch oder elektronisch (per E-Mail an Konsultation-13-20@bafin.de und B34_MaRisk-BAIT@bundesbank.de) zukommen zu lassen. Im Anschluss an dieses Konsultationsverfahren werden die Deutsche Bundesbank und die BaFin die eingegangenen Stellungnahmen bewerten und konsolidieren. Das Ergebnis wird dem Fachgremium IT vor der Veröffentlichung der BAIT erneut vorgestellt. Darüber hinaus ist vorgesehen, die eingegangenen Stellungnahmen auf der Website der Deutschen Bundesbank und der BaFin zu veröffentlichen, soweit die Verfasser der Stellungnahmen keine Einwände dagegen vorbringen.
Ich freue mich auf Ihre fachliche Unterstützung und bin zuversichtlich, dass auch künftig im Rundschreiben zu den BAIT praxisnahe Anforderungen formuliert sein werden, die den aktuellen Risiken und Bedürfnissen der betroffenen Institute entsprechen.
Mit freundlichen Grüßen
Raimund Röseler