Am 16. August 2021 hat die BaFin die 6. Novelle ihrer Mindestanforderungen an das Risikomanagement der Banken (MaRisk) veröffentlicht. Darin hat sie insbesondere die Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA)) zu notleidenden und gestundeten Risikopositionen sowie zu Auslagerungen umgesetzt. Daneben wurden auch einzelne Anforderungen aus den EBA-Leitlinien zum Management von IKT- und Sicherheitsrisiken einbezogen. IKT steht für Informations- und Kommunikationstechnologie. Die neue Fassung der MaRisk ist mit Veröffentlichung in Kraft getreten. Unmittelbar anwenden müssen die Institute aber nur die Konkretisierungen. Die Umsetzungsfristen für neue Regelungen gehen aus dem Übersendungsschreiben hervor.
Ebenfalls am 16. August 2021 hat die BaFin die neue Fassung ihrer BAIT veröffentlicht, ihrer Bankaufsichtlichen Anforderungen an die IT. Am selben Tag ist die Novelle in Kraft getreten. Die BAIT fußen auf den MaRisk. Die Aufsicht beschreibt in den geänderten BAIT, welche Rahmenbedingungen sie nun für eine sichere Informationsverarbeitung und Informationstechnik erwartet. Übergangsfristen gibt es keine, da die BaFin keine grundlegend neuen Anforderungen stellt, sondern bestehende Vorgaben konkretisiert hat. Einer der Hintergründe der BAIT-Novellierung waren die oben genannten Leitlinien der EBA zum Management von IKT- und Sicherheitsrisiken.
Die BaFin hat am 16. August 2021 auch ihr neues Rundschreiben Zahlungsdiensteaufsichtliche Anforderungen an die IT, kurz ZAIT, veröffentlicht. Darin erläutert die Aufsicht, welche aufsichtlichen Anforderungen an eine ordnungsgemäße Geschäftsführung Zahlungs- und E-Geld-Institute mit Blick auf den Einsatz von Informationstechnik und Cybersicherheit beachten müssen. Das Rundschreiben orientiert sich sehr eng an den MaRisk und den BAIT. Es beinhaltet insbesondere die Anforderungen aus den oben genannten Leitlinien der Europäischen Bankenaufsichtsbehörde EBA für das Management von IKT- und Sicherheitsrisiken und den EBA-Leitlinien zu Auslagerungen. Die ZAIT finden unmittelbar nach Veröffentlichung Anwendung. Einer allgemeinen Übergangsfrist bedarf es nicht, weil die ZAIT bereits bestehende aufsichtliche Anforderungen ergänzend interpretieren. Gleichwohl finden die Übergangsfristen aus den EBA-Leitlinien entsprechend Anwendung.
Quelle: BaFin