IT-Sicherheit

BaFin ergänzt BAIT um Anforderungen an kritische Infrastrukturen

Mit Rundschreiben vom 03.11.2017 hatte die BaFin ihre bankenaufsichtlichen Anforderungen an die IT (BAIT) konkretisiert. Im August 2018 hatte die Aufsichtsbehörde angekündigt, die BAIT um das Modul KRITIS zu ergänzen. Dieses Modul liegt nun vor und wendet sich ausschließlich an Betreiber kritischer Infrastrukturen.

Die BAIT geben auf Basis von § 25a Absatz 1 KWG einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute. Dies gilt vor allem für das Management der IT-Ressourcen und für das IT-Risikomanagement.

Verhältnis zu den MaRisk

Die BAIT ergänzen die bereits existierenden Mindestanforderungen an das Risikomanagement der Banken (MaRisk) von Oktober 2017. In ihrem Anschreiben vom 06.11.2017 hatte die BaFin mitgeteilt, dass die BAIT in einer Gesamtschau mit der MaRisk gelten, soweit die BAIT auf dezidierte Textziffern der MaRisk verweisen. Die restlichen Textziffern der MaRisk bleiben danach unberührt. Dies gilt vor allem für das Notfallkonzept (AT 7.3 MaRisk).

Im Überblick: Regelungsinhalte der BAIT

IT-Strategie  IT-Governance Informationsrisikomanagement Informationssicherheitsmanagement Benutzerberechtigungsmanagement IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen) IT-Betrieb (inkl. Datensicherung) Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen Kritische Infrastrukturen (KRITS)

Das nun hinzugefügte spezielle Modul KRITIS (Ziffer 9 der BAIT) beschreibt die zusätzlichen Anforderungen, die der einschlägige Adressatenkreis berücksichtigen muss, um den Nachweis durch den Jahresabschlussprüfer nach § 8a Absatz 3 BSI-Gesetz zu erbringen.

Im Wortlaut: § 8a Absatz 3 (BSI-Gesetz - BSIG) – Sicherheit in der Informationstechnik Kritischer Infrastrukturen

(3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicherheitsmängeln im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.

KRITIS richtet sich – im Kontext mit den anderen Modulen der BAIT und den sonstigen einschlägigen bankaufsichtlichen Anforderungen in Bezug auf die Sicherstellung angemessener Vorkehrungen zur Gewährleistung von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Informationsverarbeitung – eigens an die Betreiber kritischer Infrastrukturen.

Kritische Infrastrukturen (KRITIS) - gemeinsame Definition des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe und des Bundesamts für Sicherheit in der Informationstechnik:

KRITIS sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Infrastrukturen der KRITIS-Betreiber im Sinne der BAIT

KRITS-Schutzziel im Sinne der BAIT ist also das Bewahren der Versorgungssicherheit der Gesellschaft mit kritischen Dienstleistungen,

• wie Bargeldversorgung,
• kartengestützter Zahlungsverkehr,
• konventioneller Zahlungsverkehr
• sowie Verrechnung und Abwicklung von Wertpapier- und Derivategeschäften

Deren Ausfall oder Beeinträchtigung würde voraussichtlich zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen.

Schutzniveau

Für Kritische Dienstleistungen müssen die jeweiligen KRITIS-Betreiber – und bei Auslagerungen zusätzlich die IT-Dienstleister – geeignete Maßnahmen beschreiben und wirksam umsetzen, die die Risiken für den sicheren Betrieb auf ein Niveau senken, das dem KRITIS-Schutzziel angemessen ist. 

Grundsätzlich: Orientierung an einschlägigen Standards

• Hierzu müssen sich KRITIS-Betreiber und IT-Dienstleister an den einschlägigen Standards orientieren und Konzepte der Hochverfügbarkeit berücksichtigen. Maßstab ist grundsätzlich der jeweilige Stand der Technik.
• Optional kann dieses Modul eingesetzt werden, um den Nachweis nach § 8a Absatz 3 BSIG im Rahmen einer Jahresabschlussprüfung zu erbringen. Auch zu diesem Zweck müssen alle informationstechnischen Systeme, Komponenten oder Prozesse der kritischen Infrastrukturen in der Prüfung komplett abgebildet und abgedeckt sein.

Aber: Individuelle Ansätze möglich

Alternativ können die KRITIS-Betreiber auch eigene unternehmensindividuelle Ansätze verfolgen oder branchenspezifische Sicherheitsstandard (B3S) nach § 8a Absatz 2 BSIG festlegen. Für Nachweise nach § 8a Absatz 3 BSIG sind dann geeignete prüfende Stellen hinzuzuziehen.

Rundschreiben 10/2017 (BA) - Bankaufsichtliche Anforderungen an die IT(BAIT)

Mehr zum Thema:	21.11.2017
BaFin veröffentlicht „Bankaufsichtliche Anforderungen an die IT”
	Im März 2017 hatte die BaFin ihren Entwurf der „Bankaufsichtlichen Anforderungen an die IT (BAIT)” zur Konsultation gestellt. Mit ihrem Rundschreiben vom 03.11.2017 - AZ: 10/2017 (BA) - hat die Finanzaufsicht diese Anforderungen nun verbindlich konkretisiert. mehr …

Datenschutz & IT-Sicherheit Herausgegeben von: Michael Berndt Dieses Werk unterstützt IT-Verantwortliche - Revisoren und Datenschutzbeauftragte - bei der Umsetzung und Prüfung des IT-Sicherheitsmanagements in Kreditinstituten. Es liefert Ihnen das praxisrelevante Know-how, unter andrem zur automatisierten Verarbeitung personenbezogener Daten, zur Überwachung von IT-Struktur und -Umfeld und zur Begleitung der Auslagerung von IT-Systemen. Zahlreiche Prüfungschecklisten helfen Ihnen bei Ihrer täglichen Arbeit!

(ESV/bp)

Programmbereich: Bank- und Kapitalmarktrecht