Die Verwaltungsvorschriften der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) geben den Rahmen für die technisch-organisatorische Ausstattung der IT in den Unternehmen der Finanzwirtschaft in Deutschland vor. Die BaFin gibt dadurch auch Regelungen für Informationssicherheit und IT-Governance vor, um die IT-Sicherheit zu erhöhen und das Bewusstsein für die mit der IT verbundenen Risiken zu schärfen. Grundsätzlich orientieren sich die Anforderungen von BAIT, VAIT und KAIT am IT-Sicherheitsgesetz und der ISO 27001. Hier eine kurze Begriffsklärung dazu:
Diese drei Verwaltungsvorschriften vertiefen und ergänzen teilweise bereits bestehende Anforderungen, etwa aus dem Kreditwesengesetz, dem Versicherungsaufsichtsgesetz sowie aus den BaFin-Verwaltungsanweisungen MaRisk (Mindestanforderungen für das Risikomanagement), MaGo (Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen) und KAMaRisk (Mindestanforderungen an das Risikomanagement von Kapitalverwaltungsgesellschaften).
Die Anforderungen gliedern sich dabei in folgende acht Bereiche:
Dieser Anforderungsbereich betrifft Kritische Infrastrukturen für die Anbieter, die aufgrund ihrer Dienstleistungen und ihrer Größe der BSI-KRITIS-Verordnung unterliegen und besondere Anforderungen an die Informationssicherheit erfüllen müssen. Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall Versorgungsengpässe oder andere dramatische Folgen eintreten würden. Dazu gehören beispielsweise Krankenhäuser, Energie- und Wasserversorger oder Telekommunikations-Unternehmen.
BAIT, VAIT und KAIT stimmen dabei inhaltlich weitgehend überein, mit Ausnahme der Kritischen Infrastrukturen. In den KAIT ist dieser Aspekt nicht enthalten, da der Tätigkeitsbereich nicht als kritisch eingestuft ist. Die Bafin aktualisiert diese drei Vorschriften regelmäßig und reagiert damit auf die neuesten technologischen Entwicklungen und die sich verändernden Angriffsvektoren der Cyberkriminellen.
Ein Beispiel ist hier die Novelle der BAIT vom 16. August 2021 mit einigen Erweiterungen und Anpassungen. Neu dabei ist etwa das Kapitel „Operative Informationssicherheit“ mit Anforderungen an Wirksamkeitskontrollen für bereits umgesetzte Maßnahmen für eine höhere Informationssicherheit. Dazu gehören beispielsweise Schwachstellenscans, Penetrationstests oder Simulationen von Angriffen.
Neu ist außerdem das Kapitel „IT-Notfallmanagement“ mit der Einrichtung von Wiederanlauf-, Notbetriebs- und Wiederherstellungsplänen für zeitkritische Prozesse und Aktivitäten. Laut BAIT müssen Banken jetzt jährlich auf Basis eines IT-Testkonzepts prüfen, ob diese drei Arten von IT-Notfallplänen wirksam sind. Hinzu kommen verschärfte Anforderungen an die Erkennung und Analyse von sicherheitsrelevanten Ereignissen, Security-Awareness-Schulungen, das Risikomanagement oder die physische Sicherheit.
Hier gelangen Sie zum ersten Teil und hier zum zweiten Teil der Blogartikelreihe.
Bei Fragen rund um Informationssicherheit oder Datenschutz wenden Sie sich gerne an Ihr Team der aigner business solutions GmbH. Verwenden Sie dafür einfach unser Kontaktformular. Außerdem sind wir für Sie telefonisch in unserer Zentrale in Hutthurm unter +49 (0) 8505 91927 – 0 oder in unserer Niederlassung in München unter +49 (0) 89 413 2943 – 0 erreichbar.
Unser Team – Ihr Vorteil | Hier stellen wir uns vor.
Unser Team besteht aus erfahrenen Juristen, Webspezialisten, IT-Experten, zertifizierten Datenschutz- und Informationssicherheitsbeauftragten. Mit unserer Erfahrung, Expertise und erprobten Verfahren, helfen wir Unternehmen, praxisnahe Lösungen im Bereich Datenschutz und Informationssicherheit zu finden. So helfen wir beispielsweise bei der Umsetzung der DSGVO oder der Einführung von Informationssicherheitsmanagementsystemen (ISMS).