Besuchen Sie uns auf der it-sa 2024!
Home>
IT-Sicherheit als wesentliche Auslagerung nach MaRisk AT 9
03
Seit der 6. Novelle 2021 sehen die MaRisk vor, dass jedes Institut, das Auslagerungen vornimmt, einen zentralen Auslagerungsbeauftragten ernennen muss. Dieser ist der Geschäftsführung direkt unterstellt und kümmert sich um die sukzessive Weiterentwicklung des Auslagerungsmanagements mitsamt der darin enthaltenen Kontroll- und Überwachungsfunktionen. Speziell große Institute, die viele Auslagerungen zu verwalten haben, kamen schon bisher um ein zentrales Auslagerungsmanagement nicht herum – dieses dient als Unterstützung für den Auslagerungsbeauftragten. Hier müssen für die Aufsicht jährlich Berichte erstellt werden, die alle wesentlichen Auslagerungen festhalten. Ferner sind Institute zu entsprechenden Kontroll- und Überwachungsprozessen verpflichtet. Eine kontinuierliche Dokumentation sowie die Koordination und Überprüfung der durchgeführten Risikoanalysen sind ebenso sicherzustellen. Ebenso verpflichtet die BaFin Banken dazu, ein aktuelles Auslagerungsregister zu pflegen, das detaillierte Angaben über sämtliche ausgelagerten und weiterverlagerten Prozesse enthält.
06
Um die Qualität und Beständigkeit der ausgelagerten Prozesse auch formell abzusichern, sind in einem umfangreichen Auslagerungsvertrag etwa die zu erbringenden Leistungen, Prüf- und Weisungsrechte sowie Kündigungsfristen festzulegen. Darüber hinaus ist auch das vertragliche Verhältnis im Hinblick auf sogenannte Weiterverlagerungen zu klären. Diese liegen vor, wenn der Dienstleister seinerseits zur Erfüllung der Leistungen ein Subunternehmen engagiert. Besonderes Augenmerk liegt dabei auf mögliche Zustimmungsvorbehalte und einer vertraglich zugesicherten Informationspflicht über die gesamte Lieferkette hinweg bis hin zum Institut.
Mit den Mindestanforderungen an das Risikomanagement (MaRisk) gibt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) einen ganzheitlichen Rahmen für das Management aller wesentlichen Risiken von Banken und Finanzdienstleistern vor. Das aufsichtsrechtliche Regelwerk ist prinzipienorientiert und modular aufgebaut, damit Institute individuelle und bedarfsgerechte Prozesse für ein ganzheitliches Risikomanagement aufbauen können. Die MaRisk enthalten etwa Vorgaben zu Aufbau und Absicherung von IT-Systemen sowie zur Auslagerung von Prozessen.
Für den Compliance-gerechten Betrieb ihrer digitalen Dienste müssen Banken und Finanzdienstleister unter anderem die Vorgaben der MaRisk beachten. Die Regulatorik zielt darauf ab, Integrität, Verfügbarkeit, Authentizität sowie Vertraulichkeit von Daten sicherzustellen. Zu diesem Zweck müssen etwa angemessene Prozesse für die IT-Berechtigungsvergabe sowie bedarfsgerechte Identifikationsmethoden und Schutzmaßnahmen für den IT-Betrieb implementiert werden. Außerdem geben die MaRisk ein striktes Regelwerk vor, das beim Outsourcing von Prozessen zu befolgen ist.
Die MaRisk gelten für alle Banken und Finanzdienstleister in Deutschland. Die darin definierten Anforderungen sind von allen Instituten im Sinne von § 1 Abs. 1b KWG beziehungsweise im Sinne von § 53 Abs. 1 KWG zu beachten. Sie gelten auch für die Zweigniederlassungen deutscher Institute im Ausland. Finanzdienstleister haben die Anforderungen insoweit zu beachten, wie dies vor dem Hintergrund der Institutsgröße sowie von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten zur Einhaltung der gesetzlichen Pflichten aus §§ 25a und 25b KWG geboten erscheint.