Deutsche Bankenaufsicht updated Anforderungen an die IT-Sicherheit von Banken
Nachdem die BaFin (Bundesanstalt für die Finanzdienstleistungen) bereits im Oktober neue Mindestanforderungen an das Risikomanagement der Banken (MaRisk) veröffentlicht hat, veröffentlichte sie nun eine ergänzendes Rundschreiben zu den bankaufsichtlichen Anforderungen an die IT (BAIT).
Rundschreiben der BaFin haben den Charakter von Verwaltungsvorschriften und geben für die jeweiligen beaufsichtigenden Institute vor, wie gesetzliche Anforderungen zu interpretieren und konkretisieren sind.
Das Rundschreiben zu den BAIT ergeht auf Grundlage des § 25a Kreditwesengesetz (KWG), der besondere technische und organisatorische Pflichten regelt, sowie des § 25b KWG, der die geltenden Anforderungen an die Auslagerung von Aktivitäten und Prozessen normiert.
Die BAIT konkretisieren die Anforderungen an folgende Bereiche:
- IT-Strategie
- IT-Governance
- Informationsrisikomanagement
- Informationssicherheitsmanagement
- Benutzerberechtigungsmanagement
- IT-Projekte, Anwendungsentwicklung
- IT-Betrieb inklusive Datensicherung
- Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen
Für den Bereich des Informationssicherheitsmanagements sehen die BAIT insbesondere vor, dass adressierte Institute die Funktion eines Informationssicherheitsbeauftragten einzurichten haben. Dessen Funktion soll die Unterstützung der Geschäftsleitung beim Festlegen und Anpassen einer Informationssicherheitsrichtlinie sowie die Beratung zu Fragen der Informationssicherheit umfassen. Außerdem soll der Informationssicherheitsbeauftragte unter anderem die Informationssicherheitsprozesse im Unternehmen managen, die Umsetzung von Informationssicherheitsmaßnahmen betreuen und als Ansprechpartner innerhalb des Institutes fungieren. (KB)
Bildnachweis: kentoh/shutterstock.com