Skip to main content

BaFin veröffentlicht Novellen von MaRisk, BAIT & ZAIT

By 7. September 2021Insights
Reg Update

Die BaFin hat am 16. August 2021 die 6. Novelle ihrer Mindestanforderungen an das Risikomanagement der Banken (MaRisk) veröffentlicht. Damit werden vor allem die Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) zu notleidenden und gestundeten Risikopositionen sowie zu Auslagerungen umgesetzt. Dazu kommen einige Anforderungen aus den EBA-Leitlinien hinsichtlich dem Management von IKT- und Sicherheitsrisiken. Diese sechste MaRisk-Novelle ist sofort mit Veröffentlichung in Kraft getreten. Die Umsetzungsfristen für neue Regelungen gehen aus dem Übersendungsschreiben an die Finanzinstitute hervor.

MaRisk

MaRisk: BaFin veröffentlicht sechste Novelle

Mit der 6. Novelle setzt die BaFin insbesondere EBA Leitlinien in ihrer Regulatorik um, nämlich die  EBA-Leitlinien über das Management notleidender und gestundeter Risikopositionen (EBA/GL/2018/06), die EBA-Leitlinien zu Auslagerungen (EBA/GL/2019/02) sowie die Vorgaben der EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04).

Des Weiteren enthält  die 6. Novelle eine sehr bedeutende Änderung für sog. bedeutende Institute gemäß SSM Verordnung. Anforderungen, welche zuvor nur für systemrelevante Institute galten, gelten nun auch für die Menge der bedeutenden Insitute.

Die Grundmenge der bedeutenden deutschen Institute (direkt beaufsichtigt durch die EZB) enthält derzeit (Stand Jul 2021) 20 deutsche Institute, wohingegen die systemrelevanten Institute je nach Auslegeung (global bzw. anderweitig systemrelevant) lediglich 1 bzw. 13 Institute einschließt.

Somit müssen nun 20 deutsche Institute zwingend folgende MaRisk Anforderungen erfüllen:

  • Anforderungen und strategische Aussagen zur Risikodatenaggregation (siehe auch BCBS239)
  • Für die Compliance Funktion muss eine eigene Organisationeinheit eingerichtet werden
  • die exklusive Wahrnehmung der Leitung
  • der Risikocontrolling-Funktion hat grundsätzlich durch einen Geschäftsleiter zu erfolgen
  • Risikoberichte über die Liquiditätsrisiken und die Liquiditätssituation mindestens monatlich erstellen

Wesentliche Änderungen im Vergleich zur Konsultationsphase betreffen:

  • den Umgang mit notleidenden Forderungen
  • den gesamten Auslagerungszyklus von der Risikoanalyse über die Ausgestaltung des Auslagerungsvertrags bis hin zur Steuerung und Überwachung der Risiken der Auslagerung
  • Risikosteuerungs- und -controllingprozesse, IT- und Notfallmanagement, Risikotragfähigkeitsrechnungen und Stresstests
  • Datenmanagement, Datenqualität, und Aggregation von Risikodaten

Umgang mit notleidenden Krediten (Non-performing Loans – NPL)

Die Übernahme der EBA-Leitlinien in die nationale Aufsichtspraxis folgt dem Proportionalitätsprinzip. Das heißt, die Umsetzung nach Größe, Art, Komplexität und Geschäftsmodell der Institute ist zulässig.

  • Institute mit NPL über 5 % müssen bis 2022 eine Strategie entwickeln, um die Risikopositionen über einen realistischen Zeithorizont abzubauen.
  • Hohe NPL Quoten führen in Zukunft dazu, dass eine spezialisierte Abwicklungseinheit im Risikocontrolling eingeführt werden muss und NPL gesondert in Risikoberichten aufgeführt werden müssen.
  • Die Anforderung muss erfüllt werden, sobald die NPL-Quote an zwei aufeinanderfolgenden Quartalsstichtagen überschritten wird.
  • Kreditinstitute müssen künftig solide Forbearance-Prozesse einrichten sowie eine Forbearance-Richtlinie entwickeln
  • Anpassungen am Überwachungsturnus von Sicherheiten und Sachverständigenrotation bei Immobiliensicherheiten
  • Analyse der Wechselwirkungen zwischen Wiedergesundungsperioden durch die neue Ausfalldefinition, Mindestdeckungsregelungen für NPE und zusätzlichen Prozess- und Governance-Anforderungen bei hohen NPE-Beständen

Anforderungen an das Auslagerungsmanagement

Für die Steuerung und Überwachung von Auslagerungen sehen die Ausgestaltungen der Mindestanforderungen zukünftig eine vertiefende Risikoanalyse vor, die über den bisherigen Anforderungen liegen. 

  • Institute sollen bei Auslagerungen nicht nur Informations- und Prüfrechte, sondern auch die Rechte für Zutritt, Zugang und Zugriff berücksichtigen
  • Ein Auslagerungsbeauftragter soll die Steuerung und Überwachung der Auslagerungsaktivitäten übernehmen. Bei komplexen Auslagerungen soll ein zentrales Auslagerungsmanagement unterstützen. Dieses kann auch auf Ebene der Gruppe bzw. des Verbunds eingerichtet werden.
  • Ein Auslagerungsregister muss angelegt werden, dass die Parameter in den Nummern 54 und 55 der EBA-Leitlinien erfasst.

IKT-Risiken

Aus den Leitlinien für das Management von IKT-Risiken setzen die MaRisk im neu gefassten Abschnitt AT 7.3 Anforderungen an das Notfallmanagement um.

  • Zeitkritische Aktivitäten und Prozesse sind einer Risikoanalyse zu unterziehen.
  • Das Notfallkonzept muss eine Strategie für die Rückkehr zum Normalbetrieb enthalten und Ersatzlösungen für einen Notfall parat halten.
  • Eine Prozesskarte soll für das Notfallkonzept als Basis dienen

Änderungen aus der Aufsichtspraxis

Die BaFin hat Änderungen vorgenommen, die sich aus der Aufsichtspraxis als notwendig gezeigt haben. Die Regeln für Handelsgeschäfte, Liquidität und Risikotragfähigkeit wurden aktualisiert.

  • Es gelten erhöhte Anforderungen zum Datenmanagement und der Aggregation von Risikodaten (AT 4.3.4) nicht nur für systemrelevanten, sondern für alle bedeutenden Institute.
  • Die Vorgaben für Handelsgeschäfte gelten nun auch für Kryptowerte
  • Bei der Liquidität muss in Zukunft zwischen institutionellen Anlegern aus der Finanzbranche und anderen professionellen Anlegern unterschieden werden
  • Hinsichtlich der Risikotragfähigkeit wurden die MaRisk Regelungen an den überarbeiteten Leitfaden Risikotragfähigkeit angepasst.

Vorbereitung  Auslagerung bei Kredit- und Finanzdienstleistungen nach den MaRisk – keine Klarstellung für Outsourcing in die Cloud

Ergänzungen speziell für die in der Praxis immer bedeutsameren Auslagerungen in die Cloud – bspw. im Hinblick auf Prüfungsrechte bei Mehrmandantendienstleistern – sind nicht vorgenommen worden

Ausblick  – 7. Novelle in Vorbereitung 

Die Bafin hat angekündigt, dass sie zeitnah nach der Inkraftsetzung der 6. Novelle mit den Vorbereitungen einer 7. Novelle beginnen würde. Die EBA-Leitlinien zur Kreditvergabe und -überwachung sowie der Umgang mit Nachhaltigkeitsrisiken sollen dabei im Fokus stehen. Die 7. Novelle wird voraussichtlich noch 2022 in Kraft gesetzt werden.

BAIT

BAIT – Aktualisierung der bankaufsichtlichen Anforderungen an die IT

Die Aktualisierung dient der Umsetzung der EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04). Inhaltlich weisen die novellierten BAIT zwar keine grundlegenden Änderungen auf, sind allerdings an bestimmten Stellen erweitert, angepasst sowie detailreicher geworden. Drei zusätzlichen BAIT-Kapitel „Operative Informationssicherheit“, „IT-Notfallmanagement“ und „Management der Beziehungen mit Zahlungsdienstnutzern“ enthalten neue, umzusetzende Anforderungen. 

Operative Informationssicherheit:

Anforderungen an die technische Umsetzung des Informationssicherheitsmanagements und Benennung von Instrumenten zur Kontrolle der Wirksamkeit von Informationssicherheitsmaßnahmen

Abgrenzung des Informationsrisiko- und Informationssicherheitsmanagements als 2nd Line of Defense (LoD) zur 1st LoD. Dabei Betonung der Verantwortung der 1st LoD, die übergeordneten Vorgaben zur Informationssicherheit operativ umzusetzen und dies organisatorisch/ prozessual sicherzustellen. Besonders betont wird die Pflicht zur regelbasierten Identifizierung und Bewertung von Bedro­hungen und die zeitnahe Reaktion auf diese (SOC/ SIEM). Verbindliche Wirksamkeitskontrollen und Abweichungsanalysen ( Gap-Analysen), Schwachstellenscans, Penetrationstest und Simulation von Angriffen. Die IT-Systeme sind regelmäßig und Anlassbezogen

IT-Notfallmanagement:

Vorgaben für zeitkritische Prozesse und Aktivitäten bezüglich der Einrichtung von Wiederanlauf-, Notbetriebs- und Wiederherstellungsplänen.

Die Basis für das Kapitel bildet das Kapitel AT 7.3 „Notfallmanagement“ der MaRisk. Für zeitkritische Prozesse und Aktivitäten sind Wiederanlauf-, Notbetriebs- und Wiederherstellungspläne einzurichten, die jährlich auch Wirksamkeit zu prüfen sind. Verschärfung der Vorgaben für die Vorsorge zur Verhinderung von IT-Notfällen und der Ergreifung von Maßnahmen bei IT-Notfällen. Enge Verzahnung mit dem Business Continuity Management (BCM). Vorgaben zur systematischen Gewährleistung der Wiederherstellbarkeit und Sicherstellung der Leistungserbringung bei RZ-Ausfällen.

Management der Beziehungen zu Zahlungsdienstleistern:

Konkretisierung der Anforderungen an das Management der Beziehungen mit Kunden.

Dieser Teil vom Rundschreiben „Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-GeldInstituten“ (ZAIT). Große Teile von ZAIT sind auch für BAIT relevant.

Informationssicherheit statt IT-Sicherheit:

Vorgabe einer aktiven Unterstützung und Beratung der Zahlungsdienstnutzer zu sicherheitsrelevanten Risiken bei Zahlungsdiensten. Anforderungen an Prozesse, Maßnahmen und Kommunikation.

Unternehmensprozesse müssen ihre Wirkung auf die gesamte Organisation entfalten und nicht nur allein auf den IT-Betrieb und die Anwendungsressourcen. Institute müssen ein umfassendes Programm zur Schulung und Sensibilisierung der Mitarbeiter für das Thema Informationssicherheit entwickeln. Fachbereiche sind zukünftig für die Ermittlung des Schutzbedarfs der jeweiligen Prozesse zu ermitteln und zu dokumentieren. Das Kapitel „Informationsrisikomanagement“ betont ausdrücklich die Notwendigkeit zur Informierung bezüglich aktueller externer und interner Bedrohungen und Schwachstellen Des Weiteren werden Zugangskontrollen und ein angemessener Perimeterschutz gefordert.

ZAIT – Neue Regulatorik für Zahlungsinstitute und E‑Geld-Institute

Gänzlich neu sind die von der BaFin veröffentlichten Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT), mit denen die BaFin Anforderungen aus den EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04) sowie den EBA-Leitlinien zu Auslagerungen (EBA/GL/2019/02) für Zahlungs- und E-Geld-Institute umsetzt. Mit den ZAIT werden die IT-Vorgaben einschließlich der IT-Auslagerung erstmals für diese Institute konkretisiert.

  • Risikomanagement, welches dem individuellen Geschäftsmodell und der Größe des jeweiligen Instituts angemessen sein muss, dass Sicherheitsvorfälle zeitnah erkennen kann und den regulären Betrieb sicherstellen kann.
  • In der ZAIT sind Anforderungen an IT-Betriebsprozesse, die IT-Infrastruktur und das Betriebliche Kontinuitätsmanagement (Business Continuity Management) zur Sicherstellung von einer hohen Verfügbarkeit der Dienstleistung enthalten. Die IT-Hard- und Software muss zukünftig dem Stand der Technik entsprechen.
  • Die Regelungen bezüglich Auslagerung von IT-Prozesse oder IT-Aktivitäten werden konkretisiert. Die Institute müssen sich vor einer Auslagerung mit den Risiken auseinander setzen, das sich stets für die IT-Prozesse und- Aktivitäten verantwortlich bleiben und überwachen müssen.

 

F. Jradi

Management Consultant

Leave a Reply