BaFin veröffentlicht Anforderungen an die IT für Banken BAIT

Die Bundesanstalt für Finanzdienstleistungsaufsicht hat am 06.11.2017 die BAIT veröffentlicht.

“Wie die Mindestanforderungen an das Risikomanagement der Banken (MaRisk), deren neueste Fassung die BaFin Ende Oktober veröffentlicht hat, interpretieren auch die BAIT die gesetzlichen Anforderungen des § 25a Absatz 1 Satz 3 Nr. 4 und 5 Kreditwesengesetz (KWG). Die Aufsicht erläutert darin, was sie unter einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme, unter besonderer Berücksichtigung der Anforderungen an die Informationssicherheit sowie eines angemessenen Notfallkonzepts, versteht. Da die Institute zunehmend IT-Dienstleistungen von Dritten beziehen, auch im Rahmen von Auslagerungen, wird auch der § 25b KWG in diese Interpretation einbezogen.”

Quelle: BaFin

MaRisk Novelle 2017: Veröffentlichung der Endfassung durch das BaFin

Das BaFin hat am 27.10.2017 die Endfassung der MaRisk Novelle 2017 veröffentlicht. Wesentliche inhaltliche Änderungen betreffen die Themenbereiche Risikodatenaggregation und Risikoberichterstattung, Risikokultur und Verhaltenskodex sowie Auslagerungen. Aus Sicht des Business Continuity Management gab es an der zentralen Regelung im AT 7.3 Notfallkonzept keine Änderungen. Indirekt ist das BCM insbesondere durch die überarbeiteten Regelungen im Themenbereich Auslagerungen betroffen. Der Tatbestand des Vorliegens einer Auslagerung ist in der Neufassung für den Fremdbezug von IT-Leistungen genauer spezifiziert. Bei Vorliegen einer Auslagerung sind unverändert die Notfallkonzepte des auslagernden Instituts und des Auslagerungsunternehmens aufeinander abzustimmen.

Neu aufgenommen wurde der Schutzbedarf von Informationswerten als Anforderungskriterium. Die Ergebnisse des Informationssicherheitsmanagements finden somit stärkere Berücksichtigung in den Regelungen. Dies betrifft das IT-Risikomanagement, die Überprüfung von Berechtigungen im Berechtigungsmanagement sowie Anforderungen an die Individuelle Datenverarbeitung IDV.

Anforderungen an die Überwachungs- und Steuerungsprozesse für IT-Risiken und Regelungen zur IDV sind neu in die MaRisk aufgenommen.

Die Änderungen der neuen Fassung sind in Anlage 2 zum Rundschreiben ersichtlich.

Öffentliche Konsultation des Rundschreibens „Bankaufsichtliche Anforderungen an die IT” (BAIT)

Die BAIT (Bankaufsichtliche Anforderungen  an die IT) konkretisieren die Anforderungen der MaRisk an die Ausgestaltung der Informationstechnologie durch BaFin und Deutsche Bundesbank.

Die Konkretisierungen umfassen die Themen

  • IT-Strategie
  • IT-Governance
  • Informationsrisikomanagement
  • Informationssicherheitsmanagement
  • Benutzerberechtigungsmanagement
  • IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
  • IT-Betrieb (inkl. Datensicherung)
  • Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen.

Das Rundschreiben, das nunmehr im Entwurf zur Konsultation vorliegt, adressiert die Geschäftsleitung der Kreditinstitute und soll die Anforderungen der MaRisk konkretisieren. Die Anforderungen der MaRisk bleiben hiervon unberührt. Daneben bleiben die Institute verpflichtet, “bei der Ausgestaltung der IT-Systeme und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards und sowie grundsätzlich auf den Stand der Technik abzustellen.”

Die Konsultationsphase endet am 5. Mai 2017.

BCM Test –im Speziellen der Nachweis der Angemessenheit und Wirksamkeit des Notfallkonzeptes gem. der MaRisk für Kreditinstitute – welche Informationen benötigt das Top Management?

Ein Gast-Beitrag von Torsten Zacher für die BCM-News.

Verantwortlich für die Umsetzung des Business Continuity Management (BCM) ist das Top Management. Hier sind die BCM Standards und die KWG Novelle zu nennen. Im Rahmen dieser Verantwortung muss das Top Management ein entsprechendes Reporting erhalten. Der Artikel beschäftigt sich mit möglichen qualitativen Inhalten eines Berichts von Test speziell unter der Berücksichtigung der MaRisk AT 7.3 und dem Nachweis der Wirksamkeit und der Angemessenheit des Notfallkonzeptes, das regelmäßig durch Notfalltests zu überprüfen ist[1].

Im Entwurf des KWG § 25c Absatz 4a Nummer 5 haben „die Geschäftsleiter dafür Sorge zu tragen, das regelmäßig Notfalltest zur Überprüfung der Angemessenheit und Wirksamkeit des Notfallkonzeptes durchgeführt werden und über die Ergebnisse den jeweils Verantwortlichen berichtet werden“.[2] Die Nichteinhaltung kann gemäß KWG § 54a mit Freiheitsstrafe bis zu 5 Jahren bestraft werden.

In diesem Zusammenhang ist die Verantwortung des Top Managements für das BCM insbesondere hinzuweisen. Für die Umsetzung des Business Continuity Management Systems (BCMS) ist die Verantwortung und die Unterstützung des Top Managements ein elementarer Erfolgsfaktor. Dies wird durch die KWG Novelle unterstrichen.

Diese Verantwortung beinhaltet die regelmäßige Durchführung von Tests der Notfallkonzepte und den Nachweis über die Angemessenheit und Wirksamkeit. Daher hat das Top Management entsprechende Berichte als Nachweis empfangen.

Der Ist-Zustand ist hierbei stark durch ein quantitatives Reporting geprägt. Inhalte dieser Berichte sind selbstverständlich die Anzahl der „erfolgreich“ durchgeführten Tests.

Erfolgreich bedeutet hier, dass die definierten Testziele pro einzelnem Test erfüllt werden. Dies ist für die Durchführung auf operativer Ebene angemessen.

Das Top Management erhält ein zielgerichtetes, komprimiertes Reporting. Die ISO 22301 schreibt vor, dass Tests durchgeführt werden sollen, die mit dem Kriterium „are consistent with the scope and objectives of the BCMS“.[3] Hier zeigt sich deutlich, dass die Tests systematisch zu planen und durchzuführen sind und somit die Vorgaben der Unternehmensleitung und den Unternehmenszielen verifizieren sollen. Damit ist von der Leitungsebene eine festzulegende Notfallstrategie[4] auszuarbeiten.

Inhalte dieser Notfallstrategie in Bezug auf das Notfallkonzept können u.a. sein, dass „Geschäftsprozesse mit mindestens 50% der Leistungsfähigkeit oder des Durchsatzes funktionieren sollen“.[5]

Zentrale Inhalte zur Messung der Wirksamkeit und der Angemessenheit der Notfallkonzepte gem. der MaRisk sind der Abgleich der Vorgaben der Geschäftsleitung und deren operative Umsetzung. Ein derartiges Reporting, welches sich rein auf die quantitative Anzahl der durchgeführten Übungen bezieht, ist gemäß den Anforderungen der MaRisk (Wirksamkeit und Angemessenheit) nicht ausreichend.

Im ersten Schritt ist zu klären, was die MaRisk unten den Begriffen Wirksamkeit und Angemessenheit versteht.

Die Wirksamkeit bedeutet allgemein Leistungsgrad und Ausmaß in dem geplante Tätigkeiten verwirklicht und geplante Ergebnisse erreicht werden.

Generell sind zwei Grundaussagen über den Nachweis der Wirksamkeit zu treffen. Hier liegen in der Regel operative SLA vor, also letztendlich die Umsetzung der Vorgaben von der Geschäftsleitung.

Der erste Punkt betrifft die Wiederanlaufzeit in den Notbetrieb, also ob im Ernstfall diese einzuhalten ist. Die z.B. RTO ist in jedem (Teil-) Testprotokoll zu dokumentieren und durch das zentrale BCM zu aggregieren und zu reporten. Über die umfangreichen Prozesskettentests ist die Einhaltung z.B. der gesamt RTO an die Geschäftsleitung zu reporten. Alternativ können andere zeitlichen Messungen (MAO, MTPD) vorgenommen werden. Entscheidend sind klare Definitionen, z.B. ab wann die Zeit läuft.

Die zweite Aussage befasst sich mit dem in Notbetrieb möglichen Durchsatz, also wie viel Geschäftsvorgänge im Notfall abgearbeitet werden können. Hier können verschiedene Kennzahlen gewählt werden. Z.B. der in der ISO 22301 genannte MBCO (minimum business continuity objektive). Dieser wird als minimum service level (MSL) beschrieben, diese Bezeichnung ist auch für Personen außerhalb der BCM-Welt verständlich und daher gut zu verwenden. Dieser MSL ist letztendlich eine Vorgabe der Geschäftsleitung. Die Einhaltung ist eine existenzielle Anforderung. Die Tests werden in der Regel nicht als Ernstfall- oder Vollübung durchgeführt. Daher ist die MSL von den Experten zu schätzen.

Als qualitative Informationen gehören damit auch in den Management review die Einschätzung der Test, ob mit den gegebenen Mittel die Notfallstrategie umgesetzt werden kann.

Angemessenheit bedeutet generell Verhältnismäßigkeit sowie Eignung der ergriffenen Maßnahmen. Die Angemessenheit ist individuell zu definieren. Hier hat jedes Unternehmen in Relation zu seiner volkswirtschaftlichen Bedeutung eine „Angemessenheit“ seiner Notfallfähigkeit zu definieren. Besonders hohe Anforderungen an die Umsetzungsreife der Notfallkonzepte sind bei Stichworten wie systemrelevanten Banken oder Unternehmen der kritischen Infrastruktur (KRITIS) zu erwarten.

Für andere Unternehmen ist diese Verhältnismäßigkeit z.B. anhand der Größe, Umsatz, Produkte, Dienstleisterstruktur usw. zu definieren. Hier entscheidet letztendlich die Unternehmensstrategie, wie viel Notfallvorsorge angemessen ist. Zukünftig sollte die BCM-Strategie an dieser Stelle um den Begriff der Angemessenheit erweitert werden.

Zusammenfassung:

Das Top Management ist für das BCMS inklusive dem erfolgreichen Testen verantwortlich. Daher sind qualitative Informationen an das Management zur berichten. Vorgeschlagen wird eine zeitliche Messung, wie lange benötigt wird in den Notbetrieb zu gelangen (z.B. der RTO) und wie viel Geschäft im Notbetrieb bearbeitet werden kann (z.B. der MSL). Diese basieren auf der Notfallstrategie bzw. Vorgaben durch die Geschäftsleitung. Die Tests werden gegen diese Anforderungen durchgeführt und bewertet. Die Ergebnisse werden aggregiert an die Geschäftsleitung berichtet. Qualitative Zahlen über die Wirksamkeit sind aussagefähiger als rein quantitative Zahlen.

Über die BCM-Strategie wird auch definiert, was die Angemessenheit des Notfallkonzeptes für das eine Unternehmen bedeutet.

Disclaimer:

Der Artikel beinhaltet ausdrücklich die persönliche Meinung des Autors.

 


[1] MaRisk AT 7.3

[2] Drucksache 378/13, Gesetz zur Abschirmung von Risiken und zur Planung der Sanierung und Abwicklung von Kreditinstituten und Finanzgruppen, Seite 19

[3] ISO 22301 , Kapitel 8.5 Exercising and testing

[4] Vgl. BSI 100-4, Kapitel 4.2.4, Zielsetzung und Anforderung an das Notfallmanagement

[5] BSI 100-4, Kapitel 4.2.4, Zielsetzung und Anforderung an das Notfallmanagement

MaRisk-Novelle 2012 des BaFin erschienen

Am 14. Dezember 2012 hat das BaFin die endgültige Fassung der überarbeiteten MaRisk für Banken (MaRisk BA) veröffentlicht. Der Schwerpunkt der Änderungen liegt in den neuen Modulen AT 4.4.1 (Risikocontrolling-Funktion) und AT 4.4.2 (Compliance-Funktion) sowie in den Änderungen des BTR 3.1 (Verrechnungssystem für Liquiditätskosten, -nutzen und –risiken). Die für das Business Continuity Management relevanten Regelungen (insbesondere AT 7.2, 7.3 und AT 9) sind nahezu unverändert übernommen. Eine detaillierte Auflistung der Veränderungen wird vom BaFin zur Verfügung gestellt. Die neue Fassung der MaRisk tritt mit dem 01.01.2013 in Kraft. “Um den Instituten trotzdem ausreichende Umsetzungszeiträume einzuräumen, sind Anforderungen, die im MaRisk-Kontext neu sind und nicht lediglich Klarstellungen ohnehin schon vorhandener Anforderungen darstellen, bis zum 31.12.2013 umzusetzen.”

BaFin veröffentlicht ersten Entwurf der überarbeiteten MaRisk für Banken

Das BaFin hat am 09. Juli 2010 den ersten Entwurf zur neuerlichen Überarbeitung der MaRisk für Banken veröffentlicht.

Der für das Business Continuity Management maßgebliche AT 7.3 ist in diesem ersten Entwurf unangetastet geblieben. Hier sind demzufolge keine (größeren) Änderungen zu erwarten. Dies wäre auch überraschend gewesen.

Interessant aus BCM-Sicht sind jedoch auch die Änderungen, die in diesem Entwurf vorgenommen wurden. Insbesondere die Änderungen in AT 4.2 “Strategien” halte ich für bemerkenswert. Betont wird noch einmal, dass der “Inhalt der Geschäftsstrategie allein in der Verantwortung der Geschäftsleitung liegt”. Die Inhalte der Geschäftsstrategie sind daher auch nicht Gegenstand von Prüfungen. Sehr wohl aber der prozessuale Rahmen für die Erstellung der Geschäftsstrategie, bestehend aus “Planung, Anpassung, Umsetzung und Beurteilung”. Nichts anderes als der uns aus dem BCM-Standard BS 25999-2 und anderen ISO-Standards wohlbekannte PDCA (Plan-Do-Check-Act) Zyklus. Für das BCM lässt sich aus der stärkeren Fokussierung der Aufsicht auf die Prozesse für die Geschäfts- und Risikostrategie und der eindeutigen Zuordnung der Verantwortung für die Inhalte der Strategien zu der Geschäftsleitung eine äquivalente Betrachtung ableiten.

Die inhaltlicher Verantwortung für die Festlegung des Risikos, das im BCM getragen wird, liegt bei der Geschäftsleitung. Dies beinhaltet beispielsweise die Festlegung der zeitkritischen Prozesse, für die Notfallkonzepte und Notfallplanungen erstellt werden (Risikoakzeptanzniveau). Die Geschäftsleitung kann hier, je nach Risikoappetit, risikofreudig oder eher risikoavers entscheiden. Von zentraler Bedeutung und Gegenstand der aufsichtlichen Prüfungen sind jedoch die Prozesse des BCM. Hierzu zählen beispielsweise die Prozesse

  • zur Ermittlung der zeitkritischen Prozesse (Business Impact Analyse)
  • zur Identifikation der relevanten Risiken (Risikoanalyse)
  • zur Festlegung der verfügbaren Notfallstrategien
  • zur Erstellung der Notfallkonzepte und Geschäftsfortführungs- und Wiederanlaufpläne
  • zur Überprüfung der Wirksamkeit der Maßnahmen in Form von Tests und Übungen.

Hinzu kommt die Festlegung der Organisation des BCM mit der Definition der Rollen, Aufgaben und Kompetenzen zum Beispiel in Form einer BCM-Policy.

Diese Prozesse müssen nicht nur vorhanden, sondern für ein externes oder internes Audit auch angemessen dokumentiert sein. Die Einhaltung der Prozesse und Aktualisierung muß in der BCM-Organisation zum Beispiel durch eine zentrale BCM-Verantwortung sichergestellt sein.

Standards helfen bei der Definition und Dokumentation der Prozesse. Im BCM sind dies insbesondere die Standards BS 25999-1, -2 und der deutsche Standard für Notfallmanagement BSI 100-4. Die in diesen Standards beschriebenen BCM-Prozesse bilden den PDCA-Zyklus, wie in den MaRisk gefordert, vollständig ab. Eine sehr gute Hilfe für die Implementierung der BCM-Prozesse sind auch die Good Practice Guidelines des BCI, die gerade in einer überarbeiteten neuen Version erschienen sind. Leider nicht mehr kostenlos für Nicht-Mitglieder, aber allemal das Geld wert.

BaFin veröffentlicht MaRisk für Investmentgesellschaften

Nach den MaRisk für Banken (MaRisk BA) und den MaRisk für Versicherungen (MaRisk VA) hat das BaFin am 30. Juni 2010 die Mindestanforderungen an das Risikomanagement für Investmentgesellschaften InvMaRisk veröffentlicht.
Die Regelungen zum Notfallmanagement sind in Kapitel “7.3 Notfallkonzept” geregelt. Die Regelung sind inhaltlich identisch mit den MaRisk für Versicherungen bis auf den ergänzenden Punkt 3 mit den besonderen Anforderungen an die Depotbankfunktionen im Notfall:
“Das Notfallkonzept muss auch Pläne für den Fall umfassen, dass die Depotbank ihre Depotbankfunktionen nicht bzw. nur noch sehr eingeschränkt wahrnehmen kann. Das Notfallkonzept muss hierzu Maßnahmen vorsehen, die die unverzügliche Einleitung eines Depotbankwechsels ermöglichen.”

BaFin veröffentlicht die Neufassung der MaRisk für Banken

Heute hat das BaFin die Neufassung der MaRisk für Banken veröffentlicht. Die Änderungen sind in der Anlage 2 der Neufassung dokumentiert.

Die Inhalte des AT 7.3 “Notfallkonzept” sind unverändert geblieben.

Für Institutsgruppen, Finanzholdings und Finanzkonglomerate sind die Anforderungen an das Risikomangement auf Gruppenebene, die in AT 4.5 beschrieben sind, von besonderer Relevanz für die Umsetzung des Business Continuity Managements in der Gruppe.

Link zur Neufassung der MaRisk

BaFin veröffentlich MaRisk für Versicherungen MaRisk (VA)

Das BaFin hat die MaRisk VA  veröffentlicht.

Die “Mindestanforderungen an das Risikomanagement” (MaRisk  VA) legen den seit dem 01. Januar 2008 geltenden § 64a Versicherungsaufsichtsgesetz “Gesetz über die Beaufsichtigung der Versicherungsunternehmen”(VAG) für die Aufsicht verbindlich aus, der Mindeststandards für eine ordnungsgemäße Geschäftsorganisation und vor allem für ein angemessenes Risikomanagement vorsieht.

Die Anforderungen an das Notfallmanagement sind in Abschnitt 9 geregelt:

1    Unternehmen haben Vorsorge (Notfallplanung) zu treffen für Störfälle, Notfälle und Krisen, in denen die Kontinuität der wichtigsten Unternehmensprozesse und –systeme nicht mehr gewährleistet ist und die normalen Organisations-/Entscheidungsstrukturen nicht mehr ausreichen, um sie zu beherrschen.

Ziel der Notfallplanung ist die Fortführung der Geschäftstätigkeit mit Hilfe von definierten Verfahren und der Schutz von Personen und Sachen sowie Vermögen im Sinne der Wertschöpfung.

2    Die Notfallplanung ist regelmäßig hinsichtlich Wirksamkeit und Angemessenheit zu überprüfen.

3    Die Notfallplanung muss den beteiligten Geschäftsbereichen zur Verfügung gestellt werden.

Die Versicherungen verfügen somit ebenfalls wie die Finanzdienstleister über konkretisierte Regelungen, die Basis für Prüfungen des Risikomanagements sein werden.

Die MaRisk für Finanzdienstleister befinden sich derzeit in Überarbeitung beim BaFin.

Risikomanagement in Versicherungen: VAG Novelle verabschiedet

RechtDer deutsche Bundestag hat am 15. November 2007 die 9. Novelle des Versicherungsaufsichtsgesetz (VAG) verabschiedet.

Die 9. VAG Novelle definiert explizit die Anforderungen an das Risikomanagement der Versicherungen. Dies wird flankiert durch den jüngsten Entwurf der “Mindestanforderungen an das Risikomanagement von Versicherungen” MaRisk für die Versicherungen. Die MaRisk werden in ihrer endgültigen Version Ende 2008 durch Rundschreiben des BaFin veröffentlicht.

Weiterlesen…

Überarbeitete MaRisk des BaFin veröffentlicht

RechtDie Konsultationsphase zur Überarbeitung der Mindestanforderungen an das Risikomanagement des BaFin ist abgeschlossen (bcm-news berichtete).

Bezüglich deer Regelungen zum Notfallmanagement im Abschnitt AT 7.3 wurden die Neuformulierungen aus den Konsultationspapieren übernommen.

Dies betrifft insbesondere die Notwendigkeit bei internen und externen Auslagerungen die Notfallpläne aufeinander abzustimmen.

Die MaRisk sind mit Wirkung ab 01.11.2007 gültig und können von der Homepage des BaFin abgerufen werden (Aufsichtspraxis->Rundschreiben->2007).