Sehr geehrte Damen und Herren,

ich freue mich, Ihnen die Bankaufsichtlichen Anforderungen an die IT (BAIT) vorzulegen, die nunmehr um ein weiteres Modul ergänzt sind, das sich an diejenigen Unternehmen richtet, die die BAIT einzuhalten haben und die zugleich Betreiber kritischer Infrastrukturen im Sinne des BSI-Gesetzes sind („KRITIS-Modul“).

Um für diese Institute zusätzliche Belastungen durch das Hinzutreten der Anforderungen des § 8a BSI-Gesetzes neben denen des § 25a KWG möglichst gering zu halten, haben die Präsidenten der BaFin und des BSI bereits in ihrem gemeinsamen Schreiben am 03.08.2018 an die Geschäftsleitungen der KRITIS-Betreiber im Sektor Finanz- und Versicherungswesen die Veröffentlichung des KRITIS-Moduls angekündigt. Das KRITIS-Modul beschreibt für den einschlägigen Adressatenkreis, welche zusätzlichen Anforderungen zu berücksichtigen sind, um den Nachweis gemäß § 8a Abs. 3 BSI-Gesetz durch den Jahresabschlussprüfer erbringen zu lassen. Dieser bewertet im Rahmen der Prüfung des Risikomanagements und der Geschäftsorganisation des Unternehmens auch die Einhaltung und die wirksame Umsetzung der Anforderungen des § 13 Prüfungsberichtsverordnung und er kann nunmehr gleichzeitig auch die Erfüllung der Anforderungen des § 8a Abs. 1 BSI-Gesetz überprüfen und bestätigen.

Die zur Nachweiserbringung gemäß § 8a Abs. 3 BSI-Gesetz erforderlichen Formblätter sind durch den jeweiligen KRITIS-Betreiber fristgerecht beim BSI einzureichen.

Alternativ können die KRITIS-Betreiber auch einen unternehmensindividuellen Ansatz verfolgen oder einen branchenspezifischen Sicherheitsstandard (B3S) gemäß § 8a Abs. 2 BSI-Gesetz erstellen. Der Nachweis gemäß § 8a Abs. 3 BSI-Gesetz ist in diesen Fällen unter Hinzuziehung einer geeigneten Prüfstelle (vgl. "Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG") zu erstellen.

Zwischenzeitlich hat die BaFin das KRITIS-Modul mit dem BSI und der Deutschen Bundesbank abgestimmt.

Von einem Konsultationsverfahren hat die BaFin abgesehen, weil sich das KRITIS-Modul im Gegensatz zu den übrigen Modulen der BAIT nur an diejenigen Unternehmen richtet, die die BAIT einzuhalten haben und außerdem KRITIS-Betreiber sind. Diesen Unternehmen steht es außerdem selbst frei, das Modul anzuwenden. Um den KRITIS-Betreibern dennoch einen Überblick über den Inhalt des Moduls zu geben, hat die BaFin die Verbände zu einem Workshop eingeladen, von denen sie vertreten werden. In diesem Workshop hat die BaFin die Verbandsvertreter über Hintergrund und Inhalt des KRITIS-Moduls informiert.

Das um das KRITIS-Modul ergänzte BAIT-Rundschreiben ist diesem Schreiben als Anlage beigefügt. Die Dokumente können unter www.bafin.de und www.bundesbank.de abgerufen werden.

Mit freundlichen Grüßen

Raimund Röseler