Am 16. August 2021 hat die BaFin die neuen BAIT veröffentlicht, gleichzeitig ist die 6. Novelle der Mindestanforderungen an das Risikomanagement der Banken (MaRisk) in Kraft getreten. Hierbei liegen vor allem Erweiterungen und Klarstellungen der IT-Risikoanforderungen durch die neuen BAIT im Fokus der Aufsicht.
Aber was sind die BAIT überhaupt?
Die BAIT beschreiben die bankaufsichtlichen Anforderungen an die IT, welche die abstrakten Aussagen der Mindestanforderungen an das Risikomanagement bezogen auf die Informationssicherheit bei Kreditinstituten und Finanzdienstleistern konkretisieren. Das Hauptziel der BAIT ist, Unternehmen vor potenziellen IT-Risiken zu schützen, indem Präventionsmaßnahmen getroffen und Richtlinien zur Schadensminimierung etabliert werden.
Was bedeutet das für die Branche?
Seit der Veröffentlichung des neuen Regelwerks beschäftigen sich die Verbände als Interessenvertretung verschiedener Institute vermehrt mit der Bedeutung der neuen Anforderungen der BaFin und den juristischen Implikationen für die Branche. Zu diesem Zweck gab es diverse Stellungnahmen und Gesprächskreise, welche u.a. eine verlängerte Übergangsfrist für Factoringinstitute bis zum 31.12.2022 erwirkt haben. Diese betrifft die Neuerungen der 6. MaRisk-Novelle, nicht die Präzisierungen bestehender Anforderungen. Das erfordert konkret eine zeitnahe Bewertung und Umsetzung der bestehenden sowie der neuen Anforderungen seitens der jeweiligen Institute.
Die Prozessgestaltung erweist sich häufig als schwierig. Die Umsetzung neuer innovativer Prozesse in der bestehenden Software ist oftmals kostenaufwendig und mühsam. Setzen Sie dem ein Ende – mit unserem HENRI-Workflowgenerator! So gestalten Sie Ihre Prozesse flexibel, auf Knopfdruck importieren Sie neue Prozesse in die Software und schalten diese zur sofortigen Anwendung aktiv.
Wie stark bin ich betroffen? Was bedeutet das für mich?
Das Thema Proportionalität bzw. lineare Anwendbarkeit für kleine Institute wurde vielfach diskutiert. Grundsätzlich sind alle Institute von den neuen Regeln betroffen. Im Rundschreiben der BaFin vom Oktober 2021 wurde jedoch mittels der General-Öffnungsklausel eine Proportionalität herstellt. Diese besagt, dass Finanzdienstleistungsinstitute die MaRisk insoweit zu beachten haben, wie dies vor dem Hintergrund der Institutsgröße sowie Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten geboten erscheint. Nichtsdestotrotz ist jedes Institut angehalten, sich mit den Themen auseinanderzusetzen und das Vorgehen sowie das gewählte Ausmaß der Anwendbarkeit auf das eigene Kreditinstitut schriftlich zu dokumentieren. Diese Dokumentation ist im Falle einer Prüfung vorzulegen.
Was bedeutet das für Softwarehersteller? Welche Voraussetzung muss mein aktueller oder potenzieller Hersteller erfüllen?
Grundsätzlich sehen wir zwei Themenschwerpunkte für Softwarehersteller, die in Bezug auf die Risikoanforderungen der BaFin getrennt voneinander zu betrachten sind.
- Die Organisation und Prozessgestaltung bei der Produktherstellung: Bereits bei der Produktentwicklung müssen auf den Finanzdienstleistungssektor spezialisierte Softwarehersteller Standards anwenden, die den Anforderungen der Aufsicht gerecht werden. Dies erfordert eine regelmäßige Revision und Adaption gelebter Prozesse.
- Die Leistungsfähigkeit und Qualität des Produktes selbst: Unabhängig von der Produktentwicklung muss die Qualität des Produktes insoweit gewährleistet sein, dass die Software valide Daten für die diversen Reportingverpflichtungen liefert. Außerdem muss die Verfügbarkeit und Performance sichergestellt sein.
Was beim Softwarebetrieb zu beachten ist, betrachten wir in einem weiteren Blogbeitrag.
Wie geht NAVAX konkret mit diesen Zusatzanforderungen um?
NAVAX ist IDW PS 330 auditiert und ISO zertifiziert. Kürzlich hat unsere jährliche IT-Revision stattgefunden, welche die uns betreffenden Neuerungen des letzten Jahres bereits vollumfassend behandelt hat. Die regelmäßigen Audits betreffend Softwareentwicklung und -pflege, lassen wir bereits seit 2012 von einem unabhängigen Wirtschaftsprüfer durchführen.
So schützen wir unsere Kunden und stellen diesen Nachweis zur Verfügung, welche die Rechtssicherheit bzw. MaRisk-konformität unserer Software(-entwicklung) belegen. Die Prüfungen erfolgen auf Grundlage abgestimmter risikoorientierter IT-Revisionspläne. Dabei hat sich unser Auditor verpflichtet, sämtliche bankaufsichtsrechtliche Vorschriften einzuhalten und insbesondere diejenigen Anforderungen vollumfänglich zu erfüllen, die in §25b KWG sowie in der aktuellen MaRisk-Novelle der BaFin aufgeführt sind.
Aufgrund unserer bankenähnlichen Revisionspraxis kennen wir die Aufwände und Herausforderungen nur zu gut, welche die Aufsicht der Branche auferlegt. Dennoch sehen wir einen deutlichen Mehrwert in der Auditierung, welche zu einem kontinuierlichen Verbesserungsprozess führt und uns aktiv bei der Gestaltung unserer Prozesse, insbesondere unter Risikogesichtspunkten, unterstützt, was natürlich unseren Kunden zu Gute kommt.
Fazit
Die Zusatzanforderungen, die sich aus den BAIT ergeben, dienen allem voran dazu, Unternehmen vor potenziellen IT-Risiken zu schützen. Sie fördern Prävention und Schadensminimierung. Das ist auch uns bei NAVAX wichtig. Wir sind ISO zertifiziert und IDW PS 330 auditiert.