2.1 Rechtsinstrumente und Akteure im Überblick Die Rechtsgrundlagen der Bankenaufsicht sind mit dem Einheitlichen Aufsichtsmechanismus und der zunehmenden Tätigkeit der Europäischen Bankenaufsichtsbehörde (European Banking Authority, EBA) komplexer geworden. Oftmals ist Praktikern unklar, welche der oftmals stark überlappenden Regelungen sie nun tatsächlich einhalten müssen. Beim Thema IT ist dies umso schwieriger, da neben den »klassischen Bankenaufsichts- und Regulierungsinstitutionen« noch weitere Akteure dazukommen. Dies ist in Deutschland das Bundesamt für die Sicherheit in der Informationstechnik (BSI) sowie das Bundesinnenministerium, dem diese Behörde unterstellt ist. Auf internationaler Ebene ist dies der Rat für Finanzstabilität (Financial Stability Board, FSB), der neben dem Baseler Ausschuss für Bankenaufsicht (Basel Committee on Banking Supervision, BCBS) sich ebenfalls mit IT-Risiken befasst und hierzu bereits erste Publikationen veröffentlicht hat.12 Darüber hinaus sind auch Publikationen von Arbeitsgruppen auf Ebene der G7 von direkter Relevanz für die Institute in Deutschland.13 Ziel dieses Kapitels ist die Darstellung der Rechtsnormenhierarchie zum Thema IT-Sicherheit, so dass Praktiker schnell die Gesamtheit der sie betreffenden Anforderungen einordnen können. Darüber hinaus wird die Agenda der für IT-Sicherheit zuständigen Behörden und Regulierungsinstitutionen dargestellt. Abschließend findet sich eine Einführung in die wichtigsten Rechtsnormen zur IT-Sicherheit, die neben den BAIT eine wichtige Rolle spielen.14
2 Rechtsgrundlagen für Vorgaben zur Bank-IT
Abschnitt 2.2 stellt zunächst die übergeordneten bankaufsichtlichen Rechtsnormen, dar, auf deren Basis die spezifischen IT-Normen für Banken in Deutschland sowie auf EU-Ebene erlassen werden (Unterabschnitt 2.2.1). Hierauf aufbauend erfolgt die rechtliche Einordnung der Bankaufsichtlichen Anforderungen an die IT (BAIT) als zentrale deutsche Norm zur Bank-IT (Unterabschnitt 2.2.2). Ausgehend von der aktuellen BAIT-Version vom 14.09.2018 folgt dann kurz die geplante Fortentwicklung der BAIT im Zusammenspiel mit den neuen Normen auf EU-Ebene (Unterabschnitt 2.2.3).
Abschnitt 2.3 listet auf dieser Basis die bisher erlassenen bzw. geplanten Normen der EBA mit Bezug zu IT-Risiken überblicksartig auf (Unterabschnitt 2.3.1), skizziert die Aktivitäten der EZB-Bankenaufsicht zum IT-Risiko der Banken und geht dabei auch auf das sogenannte TIBER EU Framework ein (Unterabschnitt 2.3.2). Darüber hinaus werden die aktuellen Empfehlungen der europäischen Finanzaufsichtsbehörden vom April 2019 zur Fortentwicklung der Vorgaben zur IT-Sicherheit vorgestellt (Unterabschnitt 2.3.3).
Abschnitt 2.4 gibt einen Überblick über die internationale Abstimmung zu IT-Sicherheit. Hierzu wird die Arbeit des Baseler Ausschusses kurz gewürdigt (Unterabschnitt 2.4.1) und dann die laufende Tätigkeit des Financial Stability Board zu IT-Risiken erläutert (Unterabschnitt 2.4.2). Anschließend folgt die Darstellung der relevanten Publikationen auf Ebene der G7 (Unterabschnitt 2.4.3).
Abschnitt 2.5 erläutert zum Abschluss des Kapitels die Rolle des BSI und beschreibt die sektorenübergreifende Gesetzgebung zur IT-Sicherheit in Deutschland.
Auf Basis dieser Einführung wird dann in Kapitel 3 der Inhalt der BAIT im Detail dargestellt. Dabei wird auch auf die Verbindungen zum BSI-Grundschutz, zu den ISO-Normen und die europäische und internationale Bankenregulierung eingegangen. In Abschnitt 3.10 werden dabei anhand der diesbezüglichen neuen Anforderungen in den BAIT auch die vom BSI gestellten Anforderungen an kritische Infrastrukturen (wozu auch Banken gehören können) erläutert.
Das Thema Cloud-Computing ist Inhalt im Kapitel 4. Neben Regulierungsvorschlägen der EBA spielt hier das von der BaFin im November 2018 veröffentlichte Merkblatt eine maßgebliche Rolle.
Kapitel 5 stellt die in absehbarer Zeit anstehenden Änderungen der Anforderungen dar. Änderungen sind zum einen durch EBA-Aktivitäten nach Veröffentlichung der BAIT bedingt, zum anderen durch die allgemeine nationale Gesetzgebung im Bereich Datenschutz und zur Bekämpfung der Cyber-Kriminalität. Weitere Aspekte, welche die zukünftige Regulierung im IT-Bereich beeinflussen werden, sind das Aufkommen der Fintechs sowie Aktivitäten im Bereich Künstliche Intelligenz und BigData. In Kapitel 6 findet sich schließlich eine Zusammenfassung und ein Ausblick.
2.2 Die BAIT im Kontext des deutschen und EU-Bankenaufsichtsrechts
2.2.1 KWG, CRD und EBA
Die Themenbereiche IT-Risiken sowie IT-Sicherheit sind bisher weder im Kreditwesengesetz (KWG) noch in den grundlegenden europarechtlichen Normen zur Bankenaufsicht umfangreich behandelt.
Das KWG enthält allerdings die Anforderung, dass die ordnungsgemäße Geschäftsorganisation der Institute ein angemessenes und wirksames Risikomanagement umfasst. Gemäß § 25a Abs. 1 Satz 3, Nr. 4 & 5 KWG umfasst das Risikomanagement u. a. Folgendes:
eine angemessene technisch organisatorische Ausstattung des Instituts sowie
die Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme.
Gemäß § 25a Abs. 1 Nr. 4 KWG kann das Bundesministerium der Finanzen (BMF) per Rechtsverordnung die Anforderungen des § 25a Abs. 1 Satz 3, Nr. 3-5 sowie Absatz 3 auf Einzelinstituts- und Gruppenebene näher bestimmen. Eine solche Rechtsverordnung wurde bisher noch nicht erlassen. Stattdessen erfüllen die sog. Mindestanforderungen an das Risikomanagement (MaRisk) als von der BaFin veröffentlichte norminterpretierende Verwaltungsvorschrift diese Aufgabe.15
Ebenfalls relevant für die Anforderungen an die IT der Banken sind die Vorgaben des § 25b KWG zu Auslagerungen. Diese sollen sicherstellen, dass die Institute trotz der grundsätzlichen Möglichkeit der Auslagerung von Geschäftsprozessen und Teilen des Risikomanagements weiterhin die Anforderungen an die ordnungsgemäße Geschäftsorganisation erfüllen und somit insbesondere ein angemessenes und wirksames Risikomanagement gewährleistet bleibt. Das Risikomanagement muss die ausgelagerten Aktivitäten und Prozesse einbeziehen. Das Bundesfinanzministerium bzw. die BaFin (nach Übertragung entsprechender Befugnisse) kann nach § 25b Abs. 5 KWG nähere Bestimmungen zu Auslagerungen ebenfalls per Rechtsverordnung erlassen.
Bisher sind die Anforderungen an Auslagerungen Teil der MaRisk: Hierzu wurden im Abschnitt AT 9 der MaRisk im Zuge der jüngsten Novelle vom 27.10.2017 Regelungen zum Fremdbezug von Software und unterstützenden IT-Dienstleistungen aufgenommen.16 Darüber hinaus wurden auch in den BAIT besondere Anforderungen im Zusammenhang mit IT-Auslagerungen und dem sonstigen Fremdbezug von IT-Dienstleistungen integriert (vgl. Abschnitt 3.9).
Die Bedeutung der IT-Anforderungen wird dadurch deutlich, dass sie explizit in § 25c KWG unter den Aufgaben der Geschäftsleitung genannt werden: Demnach haben die Geschäftsleiter eines Instituts im Rahmen ihrer Gesamtverantwortung für die ordnungsgemäße Geschäftsorganisation des Instituts nach § 25a Absatz 1 Satz 2 KWG dafür Sorge zu tragen, dass das Institut über folgende Strategien, Prozesse, Verfahren, Funktionen und Konzepte verfügt:
eine angemessene personelle und technisch-organisatorische Ausstattung des Instituts nach § 25a Absatz 1 Satz 3 Nummer 4, mindestens haben die Geschäftsleiter dafür Sorge zu tragen, dass die quantitative und qualitative Personalausstattung und der Umfang und die Qualität der technisch-organisatorischen Ausstattung die betriebsinternen Erfordernisse, die Geschäftsaktivitäten und die Risikosituation berücksichtigen;
für Notfälle in zeitkritischen Aktivitäten und Prozessen angemessene Notfallkonzepte nach § 25a Absatz 1 Satz 3 Nummer 5, mindestens haben die Geschäftsleiter dafür Sorge zu tragen, dass regelmäßig Notfalltests zur Überprüfung der Angemessenheit und Wirksamkeit des Notfallkonzeptes durchgeführt werden und über die Ergebnisse den jeweils Verantwortlichen berichtet wird;
im Fall einer Auslagerung von Aktivitäten und Prozessen auf ein anderes Unternehmen nach § 25b Absatz 1 Satz 1 mindestens angemessene Verfahren und Konzepte, um übermäßige zusätzliche Risiken sowie eine Beeinträchtigung der Ordnungsmäßigkeit der Geschäfte, Dienstleistungen und der Geschäftsorganisation im Sinne des § 25a Absatz 1 zu vermeiden.
Durch die Auflistung in § 25c KWG...
mehr