Am 27. Oktober 2017 veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ihre »Mindestanforderungen an ein Risikomanagement (MaRisk)«. Hierin wird ein ein internes Kontrollsystem beschrieben, das Finanzdienstleister absichert und u. a. diese Themen abdeckt: Prozesse zur Identifizierung, Beurteilung, Steuerung, Überwachung sowie Kommunikation der Risiken (Risikosteuerungs- und -controllingprozesse), Regelungen zur Aufbau- und Ablauforganisation sowie sowohl eine Risikocontrolling-Funktion als auch eine Compliance-Funktion.
Nun hat das BaFin am 3. November 2017 zusätzlich Anforderungen an die IT-Sicherheit vorgelegt, die für alle Kreditinstitute und Finanzdienstleistungsinstitute in Deutschland gelten und die die Berichts- und Informationspflicht zwischen IT-Beauftragten und den Bankenvorständen regeln. Die IT-Strategie hat die Anforderungen der MaRisk zu erfüllen.
Mindestinhalte der IT-Strategie sind Beschreibungen der strategischen Entwicklung der IT-Aufbau- und IT-Ablauforganisation des Instituts sowie der Auslagerungen von IT-Dienstleistungen, die Auswahl und Darstellung der gängigen Standards der IT-Bereiche, an denen sich das Institut orientiert, Beschreibungen der Zuständigkeiten und der Einbettung der Informationssicherheit in die Organisation, eine strategische Entwicklung der IT-Architektur, Aussagen zum Notfallmanagement unter Berücksichtigung der IT-Belange sowie Aussagen zu den in den Fachbereichen selbst betriebenen bzw. entwickelten IT-Systemen (Hardware- und Software-Komponenten).
Die »Bankaufsichtliche Anforderungen an die IT (BAIT)«, die Finanzdienstleister ab sofort berücksichtigen müssen, können Sie hier einsehen.