Was ist in der MaRisk für die Bank IT relevant?
Die MaRisk (Mindestanforderungen an das Risikomanagement) sind Vorschriften, die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) herausgegeben wurden, um das Risikomanagement von Banken in Deutschland zu regeln. In Bezug auf die Bank-IT sind speziell einige Bereiche der MaRisk besonders relevant:
- IT-Governance: Die MaRisk verlangen eine klare Governance-Struktur für die IT, einschließlich klarer Verantwortlichkeiten und einer effektiven Steuerung und Überwachung der IT-Systeme.
- IT-Risikomanagement: Banken müssen angemessene Verfahren zur Identifikation, Messung, Steuerung und Überwachung von IT-Risiken etablieren. Dazu gehört die Bewertung von Risiken, die mit IT-Systemen, -Prozessen und -Daten verbunden sind.
- IT-Sicherheit: Sicherheitsmaßnahmen müssen implementiert werden, um die Integrität, Verfügbarkeit und Vertraulichkeit von Informationen zu gewährleisten. Dazu zählen Themen wie Zugriffskontrollen, Verschlüsselung, Datenschutz und der Schutz vor Cyberangriffen.
- Notfallmanagement (Business Continuity Management): Banken müssen Notfallpläne entwickeln und testen, um sicherzustellen, dass kritische IT-Systeme und Geschäftsprozesse auch bei schwerwiegenden Störungen fortgeführt werden können.
- Auslagerungen und Drittanbieter-Management: Die MaRisk schreiben vor, dass Risiken, die durch die Auslagerung von IT-Dienstleistungen an Dritte entstehen, sorgfältig gesteuert und überwacht werden müssen. Dies umfasst die Auswahl von Dienstleistern, die Vertragsgestaltung und die kontinuierliche Überwachung der Leistungserbringung.
- Dokumentation und Berichterstattung: Eine angemessene Dokumentation der IT-Systeme und -Prozesse ist erforderlich, um die Nachvollziehbarkeit und Prüfbarkeit zu gewährleisten. Zudem müssen relevante IT-Risiken und Sicherheitsvorfälle an das Management und gegebenenfalls an die Aufsichtsbehörden berichtet werden.
Diese Anforderungen sollen sicherstellen, dass die IT-Systeme der Banken sicher, resilient und in der Lage sind, die verschiedenen Risiken, denen sie ausgesetzt sind, zu handhaben und zu mildern.
In welchen Ziffern der MaRisk sind diese IT Anforderungen zu finden?
Die spezifischen IT-Anforderungen in den MaRisk (Mindestanforderungen an das Risikomanagement) sind hauptsächlich in folgenden Abschnitten zu finden:
- AT 7.2 – Informations- und Kommunikationstechnik (IKT):
- Diese Ziffer behandelt explizit die Anforderungen an die Informations- und Kommunikationstechnik. Sie umfasst Vorgaben zur IT-Governance, IT-Sicherheit, zum IT-Risikomanagement sowie zum Notfallmanagement.
- AT 4.3.4 – Notfallkonzept (Business Continuity Management):
- Hier werden Anforderungen an die Aufrechterhaltung der Geschäftstätigkeit und die IT-Systeme im Falle von Betriebsstörungen und anderen Notfällen definiert.
- AT 9 – Auslagerungen und weitere Fremdbezug von wesentlichen Aktivitäten und Prozessen:
- Diese Ziffer enthält Anforderungen an das Management von Auslagerungen, einschließlich IT-Dienstleistungen, die an externe Dienstleister ausgelagert werden.
Diese Abschnitte sorgen dafür, dass Banken eine robuste und sichere IT-Infrastruktur haben, die den regulatorischen Anforderungen entspricht und gleichzeitig das Risiko minimiert. Die MaRisk wird regelmäßig aktualisiert, um auf neue technologische Entwicklungen und Risiken zu reagieren, daher ist es wichtig, die neueste Version der Vorschriften zu konsultieren.