Hannemann/Biewer/Kocatepe/Zaruk/Weigl, MaRisk AT 7 Resso ... / 1.2 Berücksichtigung weiterer Vorgaben

Rz. 11

Bei der Umsetzung dieser Anforderungen sind zumindest bis zum 17. Januar 2025 die "Bankaufsichtlichen Anforderungen an die IT" (BAIT)^[1] zu beachten, mit deren Hilfe die MaRisk in den relevanten Bereichen weiter konkretisiert werden. Mithilfe der BAIT wird den Instituten die Erwartungshaltung der deutschen Aufsicht zur sicheren Ausgestaltung der IT-Systeme und zugehörigen IT-Prozesse vor dem Hintergrund der Integrität, Verfügbarkeit, Authentizität sowie Vertraulichkeit der Daten sowie zu den diesbezüglichen Anforderungen an die IT-Governance transparent gemacht. Die Aufsicht erläutert darin, was sie unter einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme, unter besonderer Berücksichtigung der Anforderungen an die Informationssicherheit sowie eines angemessenen Notfallkonzeptes, versteht. Da die Institute zunehmend IT-Services, sowohl im Rahmen von Auslagerungen von IT-Dienstleistungen als auch durch den sonstigen Fremdbezug von IT-Dienstleistungen, von Dritten beziehen, werden auch die Anforderungen an Auslagerungen in diese Interpretation einbezogen. Insofern sind die MaRisk und die BAIT in einer Gesamtschau anzuwenden.^[2] Die BAIT sollen auch dazu beitragen, das unternehmensweite IT-Risikobewusstsein in den Instituten und gegenüber den Auslagerungsunternehmen zu erhöhen.^[3]

Rz. 12

Die BAIT wurden parallel zur sechsten MaRisk-Novelle überarbeitet, insbesondere um die Leitlinien der EBA für das Management von IKT- und Sicherheitsrisiken^[4] umzusetzen. Nach Tz. 2.3 BAIT hat das Institut das Informationsrisikomanagement, das Informationssicherheitsma­nagement, den IT-Betrieb und die Anwendungsentwicklung quantitativ und qualitativ angemessen mit Ressourcen auszustatten. Das betrifft sowohl die personellen Ressourcen als auch die technisch-org...