Die BaFin überwacht und kontrolliert die Funktionsfähigkeit und Stabilität des deutschen Finanzsystems. Sie soll u.a. sicherstellen, dass Banken, Versicherungsunternehmen und Kapitalverwaltungen zahlungsfähig sind, dass ihre Finanzangebote verständlich sind und ihre Dienstleistungen transparent.
Eine informationstechnische Infrastruktur inkl. unterschiedlichster IT-Systeme fungiert als Kommunikations- und Arbeitsbasis für sämtliche Geschäftsprozesse in der Finanzbranche. Mit BAIT, VAIT und KAIT hat die BaFin hierfür entsprechende Vorgaben zur Sicherung dieser IT-Infrastruktur definiert. Dabei orientieren sich die BAIT, VAIT und KAIT Anforderungen am IT-Sicherheitsgesetz und an ISO 2700x. Diese Anforderungen können als Anforderungskataloge im Katalog-Manager von fuentis ISMS umgesetzt werden.
Was bedeutet BAIT, VAIT, KAIT?
BAIT, VAIT und KAIT bündeln konkrete Anweisungen der BaFin gegenüber Banken und Kreditinstituten, Versicherungsunternehmen sowie Investment-Gesellschaften in ihrer Eigenschaft als Kapitalverwaltungen:
- BAIT – Bankaufsichtliche Anforderungen an die IT (seit 2017),
- VAIT – Versicherungsaufsichtliche Anforderungen an die IT (seit 2018),
- KAIT – Kapitalaufsichtliche Anforderungen an die IT (seit 2019).
Worum geht es bei BAIT, VAIT, KAIT?
Mit den Anforderungskatalogen BAIT, VAIT, KAIT stellt die BaFin klare Maßgaben an die technisch-organisatorische Ausgestaltung der Informationstechnologie, IT-Systeme und IT-Peripherie in den Unternehmen der deutschen Finanzbranche.
Vorgaben für Informationssicherheit und IT-Governance sollen die IT-Sicherheit in den Finanzunternehmen erhöhen und das Bewusstsein für IT-bezogene Risiken schärfen.
Anforderungsbereiche von BAIT, KAIT, VAIT
Die Anforderungskataloge BAIT, VAIT und KAIT stimmen inhaltlich in allen wesentlichen Punkten überein und umfassen acht Bereiche:
Teilweise spezifizieren, vertiefen und/oder ergänzen die Anforderungskataloge BAIT, VAIT und KAIT bereits gegebene Vorgaben und Mindestanforderungen, etwa aus den Bereichen Kreditwesen, Versicherungsaufsicht oder Risikomanagement von Kapitalverwaltungsgesellschaften.
Bankaufsichtliche Anforderungen an die IT (BAIT)
BAIT-Anforderungen der BaFin zielen auf eine sichere Ausgestaltung der IT-Systeme ab, einschließlich der informationstechnischen Prozesse und diesbezüglicher Anforderungen an die IT-Governance in deutschen Banken und Kreditanstalten.
Dies betrifft u.a.
- die technisch-organisatorische Ausstattung der Kreditinstitute,
- das Management der IT-Ressourcen,
- das IT-Risikomanagement,
- das Auslagern von IT-Dienstleistungen,
- sowie kritische Infrastrukturen.
Versicherungsaufsichtliche Anforderungen an die IT (VAIT)
VAIT-Anforderungen der BaFin zielen ebenfalls auf eine sichere Ausgestaltung der IT-Systeme, inkl. der informationstechnischen Prozesse und Anforderungen an die IT-Governance in Versicherungsunternehmen. Dies betrifft z.B.
- die technisch-organisatorische Ausstattung der Versicherer,
- das Management der IT-Ressourcen,
- das IT-Risikomanagement,
- Risikoanalysen hinsichtlich der Auslagerung von IT-Dienstleistungen,
- Informationssicherheit, mindestens nach Stand der Technik.
Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT)
Wie BAIT und KAIT definieren auch die KAIT-Anforderungen der BaFin klare Anweisungen und Orientierungshilfen für die Ausgestaltung der IT-Systeme, inkl. IT-Systemprozesse und IT-Governance in Kapitalverwaltungsgesellschaften. Dies umfasst z.B.
- die technisch-organisatorische Ausstattung der Kapitalverwalter,
- das Management der IT-Ressourcen,
- das IT-Risikomanagement,
- Risikoanalysen vor Auslagerung von IT-Dienstleistungen,
- Informationssicherheit – mindestens nach Stand der Technik,
- die Inanspruchnahme von Cloud-Diensten.
