Auslagerungen von IT Dienstleistungen – BAIT
Auslagerungen von IT Dienstleistungen – BAIT
Die BAIT umfassen Regelungen zu folgenden Schwerpunkten:
- IT-Strategie
- IT-Governance
- Informationsrisikomanagement
- Informationssicherheitsmanagement
- Benutzerberechtigungsmanagement
- IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
- IT-Betrieb (inkl. Datensicherung)
- Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen
Auslagerungen von IT Dienstleistungen – BAIT
IT-Dienstleistungen umfassen alle Ausprägungen des Bezugs von IT; dazu zählen insbesondere die Bereitstellung von IT-Systemen, Projekte/Gewerke oder Personalgestellung. Die Auslagerungen der IT-Dienstleistungen haben die Anforderungen nach AT 9 der MaRisk zu erfüllen. Dies gilt auch für Auslagerungen von IT-Dienstleistungen, die dem Institut durch ein Dienstleistungsunternehmen über ein Netz bereitgestellt werden (z. B. Rechenleistung, Speicherplatz, Plattformen oder Software) und deren Angebot, Nutzung und Abrechnung dynamisch und an den Bedarf angepasst über definierte technische Schnittstellen sowie Protokolle erfolgen (Cloud-Dienstleistungen).
Das Institut hat auch beim sonstigen Fremdbezug von IT-Dienstleistungen die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG zu beachten (vgl. AT 9 Tz. 1 – Erläuterungen – MaRisk). Bei jedem Bezug von Software sind die damit verbundenen Risiken angemessen zu bewerten (vgl. AT 7.2 Tz. 4 Satz 2 MaRisk).
Auslagerungen von IT Dienstleistungen – BAIT
Wegen der grundlegenden Bedeutung der IT für das Institut ist auch für jeden sonstigen Fremdbezug von IT-Dienstleistungen vorab eine Risikobewertung durchzuführen.
Der sonstige Fremdbezug von IT-Dienstleistungen ist im Einklang mit den Strategien unter Berücksichtigung der Risikobewertung des Instituts zu steuern. Die Erbringung der vom Dienstleister geschuldeten Leistung ist entsprechend der Risikobewertung zu überwachen.
Die aus der Risikobewertung zum sonstigen Fremdbezug von IT-Dienstleistungen abgeleiteten Maßnahmen sind angemessen in der Vertragsgestaltung zu berücksichtigen. Die Ergebnisse der Risikobewertung sind in angemessener Art und Weise im Managementprozess des operationellen Risikos, vor allem im Bereich der Gesamtrisikobewertung des operationellen Risikos, zu berücksichtigen.
Auslagerungen von IT Dienstleistungen – BAIT
Die Risikobewertungen in Bezug auf den sonstigen Fremdbezug von IT-Dienstleistungen sind regelmäßig und anlassbezogen zu überprüfen und ggf. inkl. der Vertragsinhalte anzupassen.Art und Umfang einer Risikobewertung kann das Institut unter Proportionalitätsgesichtspunkten nach Maßgabe seines allgemeinen Risikomanagements flexibel festlegen.
Für gleichartige Formen des sonstigen Fremdbezugs von IT-Dienstleistungen kann auf bestehende Risikobewertungen zurückgegriffen werden.Die für Informationssicherheit und Notfallmanagement verantwortlichen Funktionen des Instituts werden eingebunden. Hierfür wird eine vollständige, strukturierte Vertragsübersicht vorgehalten.
Die Steuerung kann auf der Basis dieser Vertragsübersicht durch Bündelung von Verträgen des sonstigen Fremdbezugs von IT-Dienstleistungen (Vertragsportfolio) erfolgen. Bestehende Steuerungsmechanismen können hierzu genutzt werden. Dies beinhaltet beispielsweise Vereinbarungen zum Informationsrisikomanagement, zum Informationssicherheitsmanagement und zum Notfallmanagement, die im Regelfall den Zielvorgaben des Instituts entsprechen.
Bei Relevanz wird auch die Möglichkeit eines Ausfalls eines IT-Dienstleisters berücksichtigt und eine diesbezügliche Exit- bzw. Alternativ-Strategie entwickelt und dokumentiert. Als erforderlich erkannte Maßnahmen sind auch im Fall der Einbindung von Subunternehmen zu berücksichtigen.
BAIT – Neue Anforderungen an das IT-Sicherheitsmanagement
Am 06.11.2017 hat die BaFin die Verlautbarung BAIT – Bankaufsichtsrechtliche Anforderungen an die IT verabschiedet. Diese Verlautbarung ist mit sofortiger Wirkung in Kraft. Es gelten keine Umsetzungsfristen. Die BAIT umfassen Regelungen zu folgenden Schwerpunkten:
- IT-Strategie
- IT-Governance
- Informationsrisikomanagement
- Informationssicherheitsmanagement
- Benutzerberechtigungsmanagement
- IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
- IT-Betrieb (inkl. Datensicherung)
- Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen
Aktuelle Informationen zu den BAIT finden Sie direkt in unserem Informationsblog BAIT.