MaRisk Novelle 2017: Veröffentlichung der Endfassung durch das BaFin

Das BaFin hat am 27.10.2017 die Endfassung der MaRisk Novelle 2017 veröffentlicht. Wesentliche inhaltliche Änderungen betreffen die Themenbereiche Risikodatenaggregation und Risikoberichterstattung, Risikokultur und Verhaltenskodex sowie Auslagerungen. Aus Sicht des Business Continuity Management gab es an der zentralen Regelung im AT 7.3 Notfallkonzept keine Änderungen. Indirekt ist das BCM insbesondere durch die überarbeiteten Regelungen im Themenbereich Auslagerungen betroffen. Der Tatbestand des Vorliegens einer Auslagerung ist in der Neufassung für den Fremdbezug von IT-Leistungen genauer spezifiziert. Bei Vorliegen einer Auslagerung sind unverändert die Notfallkonzepte des auslagernden Instituts und des Auslagerungsunternehmens aufeinander abzustimmen.

Neu aufgenommen wurde der Schutzbedarf von Informationswerten als Anforderungskriterium. Die Ergebnisse des Informationssicherheitsmanagements finden somit stärkere Berücksichtigung in den Regelungen. Dies betrifft das IT-Risikomanagement, die Überprüfung von Berechtigungen im Berechtigungsmanagement sowie Anforderungen an die Individuelle Datenverarbeitung IDV.

Anforderungen an die Überwachungs- und Steuerungsprozesse für IT-Risiken und Regelungen zur IDV sind neu in die MaRisk aufgenommen.

Die Änderungen der neuen Fassung sind in Anlage 2 zum Rundschreiben ersichtlich.

Aktuelle Übersicht “BCM Legislations, Regulations & Standards produced by the BCI”

Es gibt national und international zahlreiche Gesetze, Standards und Normen, die bei der Umsetzung des Business Continuity Managements zu beachten sind. Trotz des internationalen ISO Standards ISO 22301 haben Behörden und Institutionen national ergänzende spezifische Anforderungen an das Business Continuity Management. In Deutschland ist zum Beispiel das IT-Sicherheitsgesetz zu nennen, aber auch branchenspezifische Standards und Regelungen. Gerade für international agierende Unternehmen ist es sehr bedeutsam, diese nationalen Anforderungen in den einzelnen Ländern zu kennen und zu berücksichtigen. Das Business Continuity Institute (BCI) hat hierzu einen sehr umfassenden Überblick erstellt:  BCM Legislations, Regulations & Standards produced by the BCI. Diese Zusammenstellung internationaler Gesetze, Normen und Standards für das BCM wurde im Januar 2015 aktualisiert und steht nach Registrierung auf der Seite des BCI kostenfrei zum Download zur Verfügung.