Die Corona-Pandemie hat gezeigt, dass effiziente und sichere IT-Infrastrukturen einen zentralen Wirtschaftsfaktor darstellen. IT-Sicherheit ist nicht erst seit der Pandemie im Fokus von Aufsichtsbehörden und Gesetzgebern, ihre Relevanz hat aber in der letzten Zeit noch einmal deutlich zugenommen. Daher hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) mit den Bankaufsichtliche[n] Anforderungen an die IT (BAIT) und den Versicherungsaufsichtliche[n] Anforderungen an die IT (VAIT) Regeln und Anforderungen definiert, wie Finanzinstitute und Versicherer IT-Risiken, die sich im Kontext intern oder extern bereitgestellter Informations- und Kommunikationstechnologie ergeben, identifizieren, mindern und handhaben sollten. Mit einer BAIT Novelle in 2021 wurden die Anforderungen dann noch einmal verschärft. Die VAIT zogen Anfang 2022 mit analogen Anforderungen nach und rückte damit wieder näher an die BAIT heran.
Die Verschärfungen der Vorgaben betreffen zum Beispiel die Vorsorge zur Verhinderung und Behandlung von IT-Notfällen sowie die Umsetzung des Informationssicherheitsmanagement in der operativen Informationssicherheit. So müssen unter anderem sicherheitsrelevante Ereignisse zukünftig nachweislich zeitnah analysiert, und auf daraus resultierende Informationssicherheitsvorfälle angemessen reagiert werden. Dies kann in der Regel nur durch die Einrichtung einer ständig besetzten Stelle zum Beispiel in Form eines SOC (Security Operation Center) sichergestellt werden.
Auch wenn in den aktuellen Versionen der BAIT bzw. VAIT viele Anforderungen noch einmal konkretisiert wurden, bleibt der Interpretationsspielraum hoch. Dies stellt viele betroffene Unternehmen vor eine besondere Herausforderung, wenn z.B. im Rahmen einer § 44 KWG-Sonderprüfung, die in der Regel erheblich von den Standardprüfungen durch einen Abschlussprüfer abweicht, Compliance zu den regulatorischen Anforderungen nachgewiesen werden muss. Hier ist es notwendig auf Erfahrungswerte und Best Practices aus regulatorischer Prüfpraxis zurückzugreifen.
In diesem und noch folgenden Beiträgen wollen wir einzelne regulatorische Aspekte in den Blick nehmen, wo die regulatorischen Vorgaben Spielraum lassen und die Gefahr besteht, dass dies zu Umsetzungslücken und zu wesentlichen Feststellungen im Rahmen von regulatorischen Prüfungen führt.
Fazit
Um trotz der Interpretationsspielräume die BAIT & VAIT noch lassen, die regulatorischen Vorgaben korrekt umzusetzen und optimal auf eine regulatorische Prüfung vorbereitet zu sein, ist es notwendig auf bewährte Best Practices und bestehende Erfahrungen aus der regulatorischer Prüfpraxis zuzugreifen. Wir haben am Beispiel IDV die wesentlichen Anforderungen vorgestellt und Hinweise für deren Umsetzung gegeben. Eine Umsetzung von regulatorischen Anforderungen sollte aber immer unternehmensspezifisch und unter Berücksichtigung der konkreten Risikosituation erfolgen.
An dieser Stelle sei abschließend darauf hingewiesen, dass es natürlich unabhängig von regulatorischen Vorgaben im eigenen Interesse eines Unternehmens liegt, angemessene Regeln, Prozesse und Infrastrukturen für die Informations- und Kommunikationstechnologie im Unternehmen zu etablieren sowie auf eine adäquate IT-Sicherheit abzustellen.