ZAIT: Welche Regelungen sind zu beachten?
ZAIT: Welche Regelungen sind zu beachten? Mit dem Rundschreiben Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT) werden die IT-Anforderungen speziell für diese Institute konkretisiert. Die Anforderungen orientieren sich an den bereits existierenden IT-Anforderungen für Banken (BAIT) und beinhalten insbesondere die EBA Anforderungen aus den EBA-Leitlinien für IKT und Sicherheitsrisikomanagement (GL/2017/17) sowie den EBA-Leitlinien zu Auslagerungen (GL/2019/02).
ZAIT: Welche Regelungen sind zu beachten? Einen Überblick zu den wesentlichen Neuerungen erhalten Sie mit dem S+P Informationsblog ZAIT.
ZAIT: Welche Regelungen sind zu beachten?
Die Anforderungen dieses Rundschreibens gelten für alle Institute im Sinne von § 1 Abs. 3 des Zahlungsdiensteaufsichtsgesetzes (ZAG), das heißt für Zahlungsinstitute und E-Geld-Institute (im Folgenden Institute genannt). Sie gelten auch für die Zweigniederlassungen deutscher Institute im Ausland im Sinne von § 38 ZAG. Auf Zweigniederlassungen von Unternehmen mit Sitz in einem anderen Staat des Europäischen Wirtschaftsraums nach
§ 39 ZAG finden sie keine Anwendung.
Der Einsatz von Informationstechnik (IT) in den Instituten, auch unter Einbeziehung von IT-Services, die durch IT-Dienstleister bereitgestellt werden, hat eine zentrale Bedeutung für die Finanzwirtschaft und wird weiter an Bedeutung gewinnen. Die ZAIT geben auf der Grundlage des § 27 Abs. 1 ZAG einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute – insbesondere für das
Management der IT-Ressourcen, das Informationsrisikomanagement und das Informationssicherheitsmanagement – vor.
Die ZAIT präzisieren ferner die Anforderungen des § 26 ZAG (Auslagerung von Aktivitäten und Prozessen) sowie die Anforderungen des § 53 Abs. 1 ZAG (Beherrschung operationeller und sicherheitsrelevanter Risiken bei der Erbringung von Zahlungsdiensten) .
Das Institut bleibt folglich jenseits der Konkretisierungen in diesem Rundschreiben verpflichtet, bei der Ausgestaltung der IT-Systeme und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen. Zu diesen zählen bspw. der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik, die internationalen Sicherheitsstandards ISO/IEC 270XX der International Organization for Standardization und der Payment Card Industry Data Security Standard (PCI-DSS).
Bei der Umsetzung der Anforderungen an die Geschäftsorganisation und somit auch der Ausgestaltung der Strukturen, IT-Systeme oder Prozesse spielt das Proportionalitätsprinzip eine erhebliche Rolle. Die Anforderungen dieses Rundschreibens sind durch angemessene Maßnahmen der
- Unternehmenssteuerung,
- Kontrollmechanismen und
- Verfahren umzusetzen (§ 27 Abs. 1 ZAG).
Das heißt, es ist der Wesensart, dem Umfang und der Komplexität der mit der Tätigkeit des Instituts einhergehenden Risiken Rechnung zu tragen. Das Proportionalitätsprinzip knüpft also an die individuellen Risiken eines jeden Instituts an. Art und Umfang der erbrachten Zahlungsdienste sowie eine geringe Institutsgröße können Indikatoren für schwächer ausgeprägte Risiken sein – und umgekehrt.
Die Anwendung des Grundsatzes der Proportionalität wirkt sich darauf aus, wie Anforderungen erfüllt werden können. So können bei Instituten mit schwächer ausgeprägten Risiken einfachere Strukturen, IT-Systeme oder Prozesse ausreichend sein. Umgekehrt kann das Proportionalitätsprinzip bei Instituten mit stärker ausgeprägten Risiken aufwändigere Strukturen, IT-Systeme oder Prozesse erfordern.
Anforderungen der ZAIT an die IT-Strategie
Die Geschäftsleitung hat eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen, in der die Ziele sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden. Die IT-Strategie ist durch die Geschäftsleitung regelmäßig und anlassbezogen zu überprüfen und erforderlichenfalls anzupassen. Die Geschäftsleitung muss für die Umsetzung der IT-Strategie Sorge tragen.
Mindestinhalte der IT-Strategie sind:
- die strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation des Instituts sowie IT-Dienstleistungen und sonstige wichtige Abhängigkeiten von Dritten
- die Zuordnung der gängigen Standards, an denen sich das Institut orientiert, auf die Bereiche der IT und der Informationssicherheit
- Ziele, Zuständigkeiten und Einbindung der Informationssicherheit in die Organisation
- die strategische Entwicklung der IT-Architektur
- Aussagen zum IT-Notfallmanagement unter Berücksichtigung der Informationssicherheitsbelange
- Aussagen zu den in den Fachbereichen selbst betriebenen bzw. entwickelten IT-Systemen (Hardware- und Software-Komponenten)
Anforderungen der ZAIT an die Operative Informationssicherheit
Die operative Informationssicherheit setzt die Anforderungen des Informationssicherheitsmanagements um. IT-Systeme, die zugehörigen IT-Prozesse und sonstigen Bestandteile des Informationsverbunds müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige
Standards abzustellen.
Für IT-Risiken sind angemessene Überwachungs- und Steuerungsprozesse einzurichten, die insbesondere die Festlegung von IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleitete Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung entsprechender Maßnahmen zur Risikobehandlung und -minderung umfassen.
Anforderungen der ZAIT an das Auslagerungs-Controlling
Eine Auslagerung liegt vor, wenn ein anderes Unternehmen mit der Wahrnehmung von IT-Aktivitäten oder IT-Prozessen, die für die Durchführung von Zahlungsdiensten, E-Geld-Geschäften oder sonstigen institutstypischen
Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden.
Zivilrechtliche Gestaltungen und Vereinbarungen können dabei das Vorliegen einer Auslagerung nicht von vornherein ausschließen.
Das Institut muss anhand einer Risikoanalyse vorab bewerten, welche Risiken mit einer Auslagerung von IT-Aktivitäten und IT-Prozessen bzw. dem Fremdbezug von IT-Dienstleistungen verbunden sind. Ausgehend von dieser Risikoanalyse ist eigenverantwortlich festzulegen, welche Auslagerungen von IT-Aktivitäten und IT-Prozessen unter Risikogesichtspunkten wesentlich sind (wesentliche Auslagerungen).
Diese ist auf der Grundlage von institutsweit bzw. gruppenweit einheitlichen Rahmenvorgaben sowohl regelmäßig als auch anlassbezogen durchzuführen.
Die Ergebnisse der Risikoanalyse sind in der Auslagerungs- und Risikosteuerung zu beachten. Die maßgeblichen Organisationseinheiten sind bei der Erstellung der Risikoanalyse einzubeziehen. Im Rahmen ihrer Aufgaben ist auch die Interne Revision zu beteiligen.
Management der Beziehungen mit Zahlungsdienstnutzern
Die nach § 53 ZAG geforderten Risikominderungsmaßnahmen zur Beherrschung der operationellen und sicherheitsrelevanten Risiken beinhalten auch Maßnahmen, mit denen die Zahlungsdienstnutzer für die Reduzierung, insbesondere von Betrugsrisiken, direkt adressiert werden. Dazu ist ein angemessenes Management der Beziehungen mit den Zahlungsdienstnutzern zu etablieren.
Betroffen sind insbesondere Kommunikationsprozesse zur Sensibilisierung der eigenen Zahlungsdienstnutzer für Risiken bei der Nutzung von Zahlungsdiensten. Die Sensibilisierung kann in Form allgemeiner Ansprachen
(Informationen auf der Web-Seite) oder bei Bedarf durch individuelle Ansprachen erfolgen.
Die Prozesse werden an die spezifische aktuelle Risiko- und Bedrohungslage angepasst und können sich in Bezug auf einzelne Zahlungsdienstnutzer unterscheiden.