In der Fassung vom 16.08.2021 verabschiedete die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den aktuellen Anforderungskatalog mit dem illustren Namen BAIT (Bankaufsichtliche Anforderungen an die IT) mittels eines Rundschreibens „An alle Kreditinstitute und Finanzdienstleistungsinstitute in der Bundesrepublik Deutschland“. Wesentliche Grundlage des Rundschreibens bildet der Paragraph 25a Abs. 1 des Kreditwesengesetzes (KWG) und das Rundschreiben 10/2021 (BA) „Mindestanforderungen an das Risikomanagement (MaRisk)“. Letzteres wird durch Ersteres konkretisiert, liegt ebenfalls in der Fassung vom 16.08.2021 vor und spricht denselben Empfängerkreis an.
Aber worum geht es denn nun eigentlich und wie sehen diese „Anforderungen an die IT“ aus? In den Vorbemerkungen der BAIT unter I. 2 wird konstatiert: „Der Einsatz von Informationstechnik (IT) in den Instituten, auch unter Einbeziehung von IT-Services, die durch IT-Dienstleister bereitgestellt werden, hat eine zentrale Bedeutung für die Finanzwirtschaft und wird weiter an Bedeutung gewinnen“.
Diese Erkenntnis ist wahrlich nicht neu! Weiter heißt es: „Dieses Rundschreiben gibt […] einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute – insbesondere für das Management der IT-Ressourcen, das Informationsrisikomanagement und das Informationssicherheitsmanagement – vor. Es präzisiert ferner die Anforderungen des § 25b KWG (Auslagerung von Aktivitäten und Prozessen)“. Das liest sich schon konkreter.
Das BAIT-Management-System
Listet man die Komponenten dieses Rahmenwerkes – nennen wir es mal das BAIT-Management-System – auf, ergibt sich folgendes Bild: