31.08.2021: Die ZAIT ist gekommen - BaFin veröffentlicht Novellen von MaRisk und BAIT sowie neues Rundschreiben ZAIT.

Schreibmaschine News

Am 16. August 2021 veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Novellen der Mindestanforderungen an das Risikomanagement der Banken (MaRisk), das neue Rundschreiben der Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT) und der Bankaufsichtlichen Anforderungen an die IT (BAIT). Im folgenden Beitrag möchten wir kurz auf die Änderungen gegenüber den Konsultationen der MaRisk, ZAIT und BAIT eingehen.

 

MaRisk

Parallel mit der BAIT wurde im Oktober 2020 die Neufassung der MaRisk zur Konsultation gestellt (wir berichteten). Grund dafür sind Änderungen von EBA-Leitlinien, die in der 6. Novelle der MaRisk umgesetzt werden sollten:

Innerhalb von drei Sitzungen des Fachgremiums der MaRisk von Februar bis März 2021 wurden die Stellungnahmen zur Konsultation ausgewertet und Lösungen für strittige Punkte gefunden. Dadurch ergaben sich einige Änderungen. Unter anderem wurden einige Formulierungen für das bessere Verständnis angepasst, Streichungen vorgenommen und einige Erläuterungen ergänzt. Einige der Änderungen möchten wir gerne aufzeigen.

AT 1 Vorbemerkung:

Punkt 4: Hier wurde der §33 Abs. 1 des Gesetzes über den Wertpapierhandel (WpHG) auf Grund einer neuen Nummerierung des WpHG auf §80 Abs. 1 korrigiert.

Punkt 6: Hier wurde der Anwenderkreis auf bedeutende Institute geändert mit dem Hinweis, dass es sich dabei um Institute handelt, die gemäß Artikel 6 der Verordnung (EU) 1024/2013 (SSM-Verordnung) als bedeutende eingestuft wurden, da sich laut BaFin der Begriff große und komplexe Institute als zu unbestimmt erwies.

AT 2.1 Anwenderkreis:

Punkt 2: Bei diesem Punkt spezifiziert die BaFin nun den Anwenderkreis zu große Wertpapierfirmen gemäß § 2 Abs. 18 des Wertpapierinstitutsgesetztes, welche aufgrund der Vorgaben des § 4 dieses Gesetztes zur Anwendung der §§ 25 a und 25 b verpflichtet sind.

AT 4.3.4 Datenmanagement, Datenqualität und Aggregation von Risikodaten:

Punkt 1: Es wird verdeutlicht, dass sich die Anforderungen des Moduls an bedeutende Institute richten. Im Erläuterungsteil weist die BaFin nun darauf hin, dass die Umsetzung sich nach dem Proportionalitätsprinzip richtet. Dies stellt sie auch nochmal in ihrem Übersendungsschreiben klar und erklärt, dass „der zu Grunde liegende BCBS 239 Standard sich zwar in erster Linie an systemrelevante Institute richtet, es der zuständigen Aufsicht jedoch ausdrücklich freistellt, die Anforderungen unter Beachtung des Proportionalitätsprinzips auch an einen erweiterten Institutskreis zu stellen“.

AT 4.4.1. Risikocontrolling-Funktion:

Punkt 2: Im Erläuterungsteil wird ergänzt, dass die Risikocontrolling-Funktion zur Erfüllung der Aufgaben sich anderer marktunabhängiger Einheiten und deren Informationen bedienen kann, sofern sie diese plausibilisiert.

Punkt 5: Hier wird nun ebenfalls auf bedeutende Institute abgestellt. Weiterhin wurde in den Erläuterungen ergänzt, dass sich die proportionale Umsetzung dieser Anforderungen nach Tz. 184 sowie Titel I der EBA/GL/2017/11 richtet.

AT 5 Organisationsrichtlinien:

Punkt 3: Im Erläuterungsteil wurde ergänzt, dass die Regelungen zu Verfahrensweisen zu Auslagerungen sicherstellen sollen, dass die Werte und der Verhaltenskodex des Auslagerungsunternehmen im Einklang mit dem auslagernden Institut stehen.

BTO 1.2 Anforderung an die Prozesse im Kreditgeschäft:

Punkt 2: Hier wird nun verdeutlicht, dass bei der jährlichen Überprüfung der Sicherheiten für diese vor ihrer erstmaligen Verwendung und bei wesentlichen Änderungen eine Genehmigung der Geschäftsleitung eingeholt werden muss. Zudem ist die regelmäßige Überprüfung eines Wertermittlungsverfahrens nicht erforderlich, sofern ein allgemein anerkanntes, normiertes Verfahren gengewendet wird.

Die neue Fassung der MaRisk trat mit ihrer Veröffentlichung in Kraft, da die Überarbeitungen hauptsächlich Klarstellungen enthalten und lediglich die Verwaltungspraxis widerspiegeln. Um aber den Instituten einen ausreichenden Zeitraum für die Implementierung der Änderungen einzuräumen, die neue Anforderungen enthalten, gilt bis zum 31.12.2021 eine Übergangsfrist.

ZAIT

Von April bis Mai 2021 stellte die BaFin die ZAIT zur Konsultation und wies darauf hin, dass die parallel diskutierten Änderungen der MaRisk und der BAIT bereits so weit wie möglich berücksichtigt wurden (wir berichteten). Folglich gibt es gegenüber der Konsultation keine bedeutenden fachlichen Änderungen, sondern nur einzelne Formulierungsanpassungen, die den Inhalt nicht wesentlich verändern. Da die ZAIT direkt nach ihrer Veröffentlichung Anwendung finden, sind diese bereits von den Instituten anzuwenden. Dass es keine Übergangsfrist gibt, begründet die BaFin damit, dass die ZAIT bereits bestehende aufsichtliche Anforderungen ergänzend interpretieren. Gleichzeitig sollen die Übergangsfristen der zu Grunde liegenden EBA-Leitlinien gelten. So orientieren sich die Anforderungen, wie bereits oben erwähnt, an die BAIT und beinhalten vorwiegend die Anforderungen aus den EBA-Leitlinien für IKT und Sicherheitsrisikomanagement (GL/2017/17) sowie den EBA-Leitlinien zu Auslagerungen (GL/2019/02).

BAIT

Gerade erst Ende 2020 hatten die BaFin und die Deutsche Bundesbank ihr Rundschreiben zu den BAIT entsprechend der (EBA/GL/2019/04) auf den Prüfstand gestellt (wir berichteten). Damals wurden den BAIT insgesamt drei Kapitel (Operative Informationssicherheit (Kapitel 5), IT-Notfallmanagement (Kapitel 10), Kundenbeziehungen mit Zahlungsdienstnutzern (Kapitel 11)) hinzugefügt sowie die Kapitel 4 und 8 angepasst. Die Inhalte von Kapitel 11 richten sich an Zahlungsdienstleister im Sinne des § 1 Abs. 1 Satz 2 ZAG und wurden später mit der ZAIT zur Konsultation gestellt und im Nachgang in die BAIT aufgenommen. Die neue Fassung enthält mehrere Änderungen gegenüber dem Entwurf von Ende 2020. Das Kapitel 11 beschreibt relativ umfangreich, welche Maßnahmen und Kommunikationsprozesse die Institute bezüglich ihrer Zahlungsdienstleister und sicherheitsrelevanter Risiken zu ergreifen haben. Institute sind angehalten ihre Zahlungsdienstnutzer zu unterstützen und zu beraten. Folgende Anforderungen müssen umgesetzt werden:

  • Sicherstellung der Aktualität der Informationen und Beratungsangebote der sicherheitsrelevanten Zahlungsdienste und Anpassung an aktuelle Bedrohungslagen,
  • Angebote an Zahlungsdienstnutzer, einzelne Funktionen zu deaktivieren (schriftlich oder online Antrag),
  • Möglichkeit für Zahlungsdienstnutzer zur Anpassung von Betragsobergrenzen, wie Tageslimits bei Überweisungen über das Online-Banking,
  • Zahlungsdienstnutzer in die Lage versetzen, betrügerische Aktivitäten zu erkennen, zum Beispiel über Informationen zu fehlgeschlagenen Transaktionen,
  • Kommunikation an Zahlungsdienstnutzer bei Neuerungen bei Sicherheitsverfahren von Zahlungsdienstleistern, insbesondere wenn diese Auswirkung auf Zahlungsdienstnutzer haben.

Generell wurden einige sprachliche Anpassungen vorgenommen bzw. Textpassagen angepasst. Ebenso wie die ZAIT trat die neue Fassung der BAIT mit dem Datum ihrer Veröffentlichung in Kraft.

Auch wenn die neuen Fassungen der MaRisk, ZAIT und BAIT zum Großteil Klarstellungen enthalten und daher unmittelbar nach der Veröffentlichung in Kraft treten, müssen die Institute sicherstellen mit den neuen Fassungen konform zu sein bzw. überprüfen, ob sie konform waren und die Anforderungen korrekt umgesetzt hatten. Des Weiteren enthalten die neuen Dokumente hier und da auch Änderungen, die neue Anforderungen mit sich bringen und bis zum Ende der Übergangfristen imple-mentiert werden müssen.  

Quelle: BaFin, EBA


 

Zurück