DK-Stellungnahme zur BAIT-Konsultation
Öffentliche Konsultation des Rundschreibens "Bankaufsichtliche Anforderungen an die IT" (BAIT): DK-Stellungnahme.
Die Deutsche Kreditwirtschaft hat auf Basis der Arbeiten im BaFin-Fachgremium IT eine Stellungnahme zum konsultierten Entwurf der BAIT erstellt.
Aufgrund neuer konkreter nationaler Vorgaben für Anforderungen an die operative Informationssicherheit und das IT-Notfallmanagement sollte für die Umsetzung eine angemessene Übergangsfrist von einem Jahr eingeräumt werden.
Die BAIT-Novelle zeigt einen deutlich erhöhten Detaillierungsgrad. Dieser sollte im Hinblick auf risikoorientierte Vorgehensweisen und Proportionalitätsgesichtspunkte zurückgenommen werden. Dokumentationsaufwände sollten sich nicht unverhältnismäßig zu erhöhen.
Die Ausweitung der Regelungen führt zu Verständnisfragen. Zur Sicherstellung der Anwendbarkeit sind Erläuterungen erforderlich.
Weitere Detailanmerkungen betreffen die
- die Akzeptanz von agilen Vorgehensweisen bei der Aufbau- und Ablauforganisation
- die Ermittlung des Schutzbedarfes für die Bestandteile des Informationsverbundes aus dem Zusammenspiel von Schutzbedarf der Information und des Geschäftsprozesses
- die Überprüfung der Schutzbedarfsfeststellung durch das Informationsrisikomanagement
- die nicht der Prinzipienorientiertheit entsprechende Anforderung einer zentralen und regelbasierten Auswertung sicherheitsrelevanter Informationen
- die Möglichkeit der Überprüfung der Sicherheit von IT-Systemen durch den IT-Dienstleister
- die Berücksichtigung agiler Arbeitsmethoden in IT-Projekten und Anwendungsentwicklung
- die Begrenzung der vorgesehenen Intensivierung der Notfalltests auf IT-Systeme, die kritische Geschäftsfunktionen mit sehr hoher Verfügbarkeit unterstützen
- die Konkretisierung der Anforderungen an die Ausfalltests eines Rechenzentrums aufgrund der mit solchen Tests verbundenen erheblichen Risiken.
