BaFin ergänzt BAIT um Anforderungen an kritische Infrastrukturen
Verhältnis zu den MaRisk
Die BAIT ergänzen die bereits existierenden Mindestanforderungen an das Risikomanagement der Banken (MaRisk) von Oktober 2017. In ihrem Anschreiben vom 06.11.2017 hatte die BaFin mitgeteilt, dass die BAIT in einer Gesamtschau mit der MaRisk gelten, soweit die BAIT auf dezidierte Textziffern der MaRisk verweisen. Die restlichen Textziffern der MaRisk bleiben danach unberührt. Dies gilt vor allem für das Notfallkonzept (AT 7.3 MaRisk).Im Überblick: Regelungsinhalte der BAIT |
|
Das nun hinzugefügte spezielle Modul KRITIS (Ziffer 9 der BAIT) beschreibt die zusätzlichen Anforderungen, die der einschlägige Adressatenkreis berücksichtigen muss, um den Nachweis durch den Jahresabschlussprüfer nach § 8a Absatz 3 BSI-Gesetz zu erbringen.
Im Wortlaut: § 8a Absatz 3 (BSI-Gesetz - BSIG) – Sicherheit in der Informationstechnik Kritischer Infrastrukturen |
(3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Das Bundesamt kann die Vorlage der Dokumentation, die der Überprüfung zugrunde gelegt wurde, verlangen. Es kann bei Sicherheitsmängeln im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen. |
KRITIS richtet sich – im Kontext mit den anderen Modulen der BAIT und den sonstigen einschlägigen bankaufsichtlichen Anforderungen in Bezug auf die Sicherstellung angemessener Vorkehrungen zur Gewährleistung von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Informationsverarbeitung – eigens an die Betreiber kritischer Infrastrukturen.
Kritische Infrastrukturen (KRITIS) - gemeinsame Definition des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe und des Bundesamts für Sicherheit in der Informationstechnik: |
KRITIS sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. |
Infrastrukturen der KRITIS-Betreiber im Sinne der BAIT
KRITS-Schutzziel im Sinne der BAIT ist also das Bewahren der Versorgungssicherheit der Gesellschaft mit kritischen Dienstleistungen,- wie Bargeldversorgung,
- kartengestützter Zahlungsverkehr,
- konventioneller Zahlungsverkehr
- sowie Verrechnung und Abwicklung von Wertpapier- und Derivategeschäften
Schutzniveau
Für Kritische Dienstleistungen müssen die jeweiligen KRITIS-Betreiber – und bei Auslagerungen zusätzlich die IT-Dienstleister – geeignete Maßnahmen beschreiben und wirksam umsetzen, die die Risiken für den sicheren Betrieb auf ein Niveau senken, das dem KRITIS-Schutzziel angemessen ist.Grundsätzlich: Orientierung an einschlägigen Standards
- Hierzu müssen sich KRITIS-Betreiber und IT-Dienstleister an den einschlägigen Standards orientieren und Konzepte der Hochverfügbarkeit berücksichtigen. Maßstab ist grundsätzlich der jeweilige Stand der Technik.
- Optional kann dieses Modul eingesetzt werden, um den Nachweis nach § 8a Absatz 3 BSIG im Rahmen einer Jahresabschlussprüfung zu erbringen. Auch zu diesem Zweck müssen alle informationstechnischen Systeme, Komponenten oder Prozesse der kritischen Infrastrukturen in der Prüfung komplett abgebildet und abgedeckt sein.
Alternativ können die KRITIS-Betreiber auch eigene unternehmensindividuelle Ansätze verfolgen oder branchenspezifische Sicherheitsstandard (B3S) nach § 8a Absatz 2 BSIG festlegen. Für Nachweise nach § 8a Absatz 3 BSIG sind dann geeignete prüfende Stellen hinzuzuziehen.
Rundschreiben 10/2017 (BA) - Bankaufsichtliche Anforderungen an die IT(BAIT)
|
21.11.2017 |
BaFin veröffentlicht „Bankaufsichtliche Anforderungen an die IT” | |
Im März 2017 hatte die BaFin ihren Entwurf der „Bankaufsichtlichen Anforderungen an die IT (BAIT)” zur Konsultation gestellt. Mit ihrem Rundschreiben vom 03.11.2017 - AZ: 10/2017 (BA) - hat die Finanzaufsicht diese Anforderungen nun verbindlich konkretisiert. mehr … |
Datenschutz & IT-SicherheitHerausgegeben von: Michael Berndt |
(ESV/bp)
Programmbereich: Bank- und Kapitalmarktrecht