BaFin Update zur BAIT und neue ZAIT

In der vergangenen Woche hat die Bundesanstalt für Finanzdienstleitungen (BaFin) sowohl die Novelle der „Bankaufsichtliche Anforderungen an die IT" (BAIT) als auch das neue Rundschreiben „Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten“ (ZAIT) veröffentlicht, die unmittelbar in Kraft getreten sind. Übergangsfristen gibt es nicht, da die BaFin keine grundlegend neuen Anforderungen stellt, sondern bestehende Vorgaben konkretisiert bzw. ergänzend interpretiert hat.

Die finalen Versionen unterscheiden sich kaum von den im Oktober 2020 (BAIT) bzw. April 2021 (ZAIT) veröffentlichten Entwürfen. In der BAIT setzen nun die neuen Kapitel zur operativen Informationssicherheit (Kapitel 5), zum IT-Notfallmanagement (Kapitel 10) sowie zu den Kundenbeziehungen von Zahlungsdiensten (Kapitel 11) neue Schwerpunkte.

Ergänzungen wurden überwiegend

  • beim Informationsrisikomanagement,
  • beim Informationssicherheitsmanagement,
  • beim Identitäts- und Rechtemanagement (zuvor Benutzerberechtigungsmanagement),
  • bei IT-Projekten und Anwendungsentwicklung sowie
  • beim IT-Betrieb

vorgenommen.

Das Rundschreiben zur ZAIT orientiert sich sehr eng an den MaRisk und den BAIT. Darüber hinaus werden auch Zahlungsinstitute und E-Geld-Institute darauf verpflichtet, die Ausgestaltung ihrer IT auf gängige Standards wie den IT-Grundschutz des BSI, die internationalen Sicherheitsstandards der ISO/IEC 27000-Reihe oder branchenspezifischer auf den Payment Card Industry Data Security Standard (PCI-DSS) abzustellen.

Unsere Experten zeichnen sich durch umfassende Erfahrungen bei Banken und Zahlungsinstituten sowie langjährige Kenntnisse der Anforderungen im aufsichtsrechtlichen Umfeld (u.a. MaRisk, BAIT, KAIT und VAIT) und der genannten Standards (IT-Grundschutz, ISO/IEC 27000-Reihe) aus. Wir wissen, wie aufsichtsrechtliche Normen betriebswirtschaftlich sinnvoll und effizient angewendet werden können.

Gerne helfen wir Ihnen mit einem „Quick Check“, Ihren individuellen Grad der BAIT oder ZAIT Compliance zu beurteilen und auf Basis unserer Expertise einen Maßnahmenkatalog zu erarbeiten. Wenn Sie Fragen rund um die Themen BAIT oder ZAIT haben, sprechen Sie uns gerne an. Wir stehen Ihnen als kompetenter Partner gerne zur Seite. Kontaktieren Sie uns.

 

Empfehlen