Bankaufsichtliche Anforderungen an Datenräume

19.12.2017

Der Einsatz von Informationstechnik (IT) in Bankinstituten – auch unter Einbeziehung von IT-Services wie Datenräumen, die durch IT-Dienstleister bereitgestellt werden – hat eine zentrale Bedeutung für die Finanzwirtschaft und wird nach Auffassung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) weiter an Bedeutung gewinnen.

Praxisnaher Rahmen für die technisch-organisatorische Ausstattung

Die BaFin-Zentrale in Berlin
(Foto: BaFin)

Ein Rundschreiben der Behörde gibt auf der Grundlage des § 25a Abs. 1 des Kreditwesengesetzes (KWG) einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement – vor. Es präzisiert ferner die Anforderungen des § 25b KWG (Auslagerung von Aktivitäten und Prozessen).

Mindestanforderungen an das Risikomanagement

Die in den Mindestanforderungen an das Risikomanagement, kurz MaRisk, enthaltenen Anforderungen bleiben unberührt und werden im Rahmen seines Gegenstands durch das Rundschreiben konkretisiert. Die Themenbereiche dieses Rundschreibens sind nach Regelungstiefe und -umfang nicht abschließender Natur. Das Institut bleibt folglich, auch insbesondere jenseits der Konkretisierungen in diesem Rundschreiben gemäß § 25a Abs. 1 Satz 3 Nr. 4 KWG i. V. m. AT 7.2 Tz. 2 MaRisk verpflichtet, bei der Ausgestaltung der IT-Systeme und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen. Zu diesen zählen beispielsweise die IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik und der internationale Sicherheitsstandard ISO/IEC 2700X der International Organization for Standardization.

Nachhaltige IT-Strategie durch Geschäftsleitung

Die IT-Strategie hat die Anforderungen nach AT 4.2 der MaRisk zu erfüllen. Dies beinhaltet insbesondere, dass die Geschäftsleitung eine nachhaltige IT-Strategie festlegt, in der die Ziele sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden. Die Geschäftsleitung ist dafür verantwortlich, dass auf Basis der IT-Strategie die Regelungen zur IT-Aufbau- und IT-Ablauforganisation festgelegt und bei Veränderungen der Aktivitäten und Prozesse zeitnah angepasst werden. Es ist sicherzustellen, dass die Regelungen zur IT-Aufbau- und IT-Ablauforganisation wirksam umgesetzt werden.

dataroomX® kostenlos testen!

Probieren Sie unsere digitalen Datenräume ganz unverbindlich aus und werden Sie unser nächster zufriedener Kunde.