Skip to main content

Wofür müssen die Maßnahmen im Notfallkonzept geeignet sein?

Wofür müssen die Maßnahmen im Notfallkonzept geeignet sein? Die MaRisk geben Leitlinien für das Management von Sicherheitsrisiken. Die Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Konzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Das Seminar Wofür müssen die Maßnahmen im Notfallkonzept geeignet sein? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.   Wofür müssen die Maßnahmen im Notfallkonzept geeignet sein?

Zielgruppe zum Seminar Wofür müssen die Maßnahmen im Notfallkonzept geeignet sein?

  • Vorstände und Geschäftsführer bei Banken, Finanzdienstleistern, Kapitalanlage- und Fondsgesellschaften, Leasing- und Factoring-Gesellschaften
  • Führungskräfte und Spezialisten aus den Bereichen Notfallmanagement, Auslagerungsmanagement, IT-Compliance, Compliance Beauftragte und Interne Revision.
 

Dein Nutzen mit dem Seminar Wofür müssen die Maßnahmen im Notfallkonzept geeignet sein?

#1 Aufgaben und Pflichten des Business Continuity Managers #2 Business Impact Analysen und Risk Impact Analysen #3 Laufende Überwachungspflichten des Business Continuity Managers  

Dein Vorsprung mit dem Seminar Wofür müssen die Maßnahmen im Notfallkonzept geeignet sein?

Jeder Teilnehmer erhält mit dem Seminar die S+P Tool Box: + Leitfaden für BCM (ca. 30 Seiten) + Muster-Reporting für Business Continuity Manager + S+P Tool Risk Impact Analyse für mehr Prüfungssicherheit Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.  

#1 Aufgaben und Pflichten des Business Continuity Managers

MaRisk AT 7.3: Das deutlich erweiterte Aufgabenspektrum des BCM: o Ziele zum Notfallmanagement und Ableitung eines Notfallmanagementprozess o Notfallkonzept für zeitkritische Aktivitäten und Prozesse o Festlegen von geeigneten Maßnahmen zur Schadensreduzierung Neue Reporting-Pflichten: mindestens quartalsweise Berichterstattung über den Zustand des Notfallmanagements Notfallkonzept mit Geschäftsfortführungs- sowie Wiederherstellungsplänen Schnittstelle Auslagerung: Outsourcer und Insourcer müssen über aufeinander abgestimmte Notfallkonzepte verfügen.  

#2 Business Impact Analysen und Risk Impact Analysen

Verschärfte Anforderungen an Business Impact Analysen: o Beeinträchtigung von Aktivitäten und Prozessen o Art und Umfang des (im-)materiellen Schadens o Zeitpunkt des Ausfalls. Risk Impact Analysen für die identifizierten zeitkritischen Aktivitäten und Prozesse: o Identifizieren und Bewerten von potentiellen Gefährdungen o Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien Berücksichtigung von Notfallszenarien o (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung, Ausfall der Zutrittskontrolle) o Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur o Ausfall einer kritischen Anzahl von Mitarbeitern o Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#3 Laufende Überwachungspflichten des Business Continuity Managers

MaRisk + BAIT: Anforderungen an Monitoring- und Kontrollhandlungen Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung Prüfungssichere Bewertung der Auswirkungs- und Risikoanalysen o Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. o Für zeitkritische Aktivitäten und Prozesse sind die relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. o Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. o Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen. Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.  

Das könnte dich als Business Continuity Manager auch interessieren

MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement. Aus den ICT Guidelines werden Anforderungen zum Notfallmanagement im neu gefassten Abschnitt AT 7.3 umgesetzt. Für alle im Rahmen einer durchzuführenden Auswirkungsanalyse identifizierten zeitkritischen Aktivitäten und Prozesse sind zunächst Risikoanalysen durchzuführen. Im Notfallkonzept muss dargestellt sein, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte). Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.  

#1 MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Das Kapitel AT 7.3 Notfallmanagement wurde nun wie folgt gefasst:
  1. Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Notfallkonzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung hat sich mindestens quartalsweise und anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen.
  2. Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen. Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Wiederherstellungspläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Bei Notfällen ist eine angemessene interne und externe Kommunikation sicherzustellen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.
  3. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. Für zeitkritische Aktivitäten und Prozesse ist sie für alle relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. Risiken sind angemessen zu steuern. Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
  Die MaRisk geben zu den verschärften Anforderungen an das Notfallmanagement folgende Erläuterungen.

#2 Zeitkritische Aktivitäten und Prozesse

Zeitkritisch sind grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für definierte Zeiträume ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist. Zur Identifikation von zeitkritischen Aktivitäten und Prozessen sowie von unterstützenden Aktivitäten und Prozessen, hierfür notwendigen IT-Systemen und sonstigen notwendigen Ressourcen sowie den potentiellen Gefährdungen führt das Institut Auswirkungsanalysen und Risikoanalysen durch. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte).  

#3 Auswirkungsanalysen – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

In Auswirkungsanalysen (Business Impact Analysen) wird über abgestufte Zeiträume betrachtet, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann. Die Auswirkungsanalysen sollten u. a. folgende Aspekte berücksichtigen: – Art und Umfang des (im-)materiellen Schadens – Auswirkung des Zeitpunkts des Ausfalls auf den Schaden (z. B. Ausfall des Zahlungsverkehrs zu Hauptgeschäftszeiten)  

#4 Risikoanalysen – Business Continuity Manager: Aufgaben und Pflichten

In Risikoanalysen (Risk Impact Analysen) für die identifizierten zeitkritischen Aktivitäten und Prozesse werden potentielle Gefährdungen identifiziert und bewertet, welche eine Beeinträchtigung der zeitkritischen Geschäftsprozesse verursachen können.  

#5 Notfallkonzept – Aufgaben und Pflichten des Business Continuity Managers

Im Notfallkonzept werden Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung von zeitkritischen Aktivitäten und Prozessen bestimmt und Kriterien für die Einstufung sowie für das Auslösen der Pläne definiert.  

#6 Notfallszenarien – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Hierbei werden mindestens folgende Szenarien berücksichtigt: – (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung,Ausfall der Zutrittskontrolle) – Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur (z. B. aufgrund von Fehlern oder Angriffen) – Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. bei Pandemie, Lebensmittelvergiftung, Streik) – Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#7 Überprüfungen des Notfallkonzeptes – Aufgaben und Pflichten des Business Continuity Managers

Die Häufigkeit und der Umfang der Überprüfungen soll sich grundsätzlich an der Gefährdungslage orientieren. Dienstleister sind angemessen einzubinden. Überprüfungen beinhalten u. a.: – Test der technischen Vorsorgemaßnahmen – Kommunikations-, Krisenstabs- und Alarmierungsübungen – Ernstfall- oder Vollübungen.  

#8 Welche Umsetzungsfristen gelten für die Neuen MaRisk 6.0?

Die neue Fassung der MaRisk tritt mit Veröffentlichung in Kraft. Es gilt eine Übergangsfrist bis zum 31.12.2021. Dies gilt für die auf das Auslagerungsregister bezogene Dokumentationsanforderung in AT 9 Tz. 14 MaRisk nur insoweit, als auch die Pflicht zum Vorhalten eines Auslagerungsregisters mit dem Inkrafttreten des FISG bereits zum 01.01.2022 gilt. Andernfalls richtet sich der erstmalige Geltungstag auch für die Konkretisierung dieser Anforderung in den MaRisk nach dem Gesetz. Davon abweichende Umsetzungsfristen ergeben sich für die Anpassung von bereits bestehenden oder in Verhandlung befindlichen Auslagerungsverträgen. Hierfür wird eine gesonderte Umsetzungsfrist bis zum 31.12.2022 eingeräumt. Eine Anpassung von Vertragsverhältnissen, die auf der Grundlage eines öffentlichen Vergabeverfahrens abgeschlossen wurden, kann wegen der besonderen rechtlichen Probleme unterbleiben, soweit diese Verträge befristet sind und innerhalb der nächsten fünf Jahre neu vergeben werden müssen. Die BaFin geht davon aus, dass bei Vergabeverfahren, die ab dem 01.01.2022 initiiert werden, bereits die neuen Anforderungen ausreichend berücksichtigt werden. Institute mit hohem NPL-Bestand haben die Anforderungen aus den NPE Guidelines bereits unmittelbar nach Ablauf der Übergangsfrist am 31.12.2021 einzuhalten, sofern diese Institute an den zwei vorhergehenden Quartalsstichtagen (30.09.2021 und 31.12.2021) eine NPL-Quote größer 5 % aufweisen. Der erste, für die Einstufung als Institut mit hohem NPL-Bestand relevante Quartalsstichtag ist daher der 30.09.2021. Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.  

Teilnehmer haben auch folgende Seminare MaRisk + SREP + Depot A gebucht:

Seminare MaRisk + SREP Seminare Depot A Seminare Auslagerungscontrolling Seminar Risikomanagement Compliance

Was versteht man unter Business Continuity Management?

Was versteht man unter Business Continuity Management? Die MaRisk geben Leitlinien für das Management von Sicherheitsrisiken. Beim Business Continuity Management handelt es sich um Maßnahmen, Strategien und Prozesse, die bei einem Notfall den Geschäftsprozess sichern und wieder herstellen sollen. Ziel hierbei ist es Risiken und Schäden zu minimieren und somit die Fortführung der Geschäftsprozesse sicherzustellen. Das Seminar Was versteht man unter Business Continuity Management? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.   Was versteht man unter Business Continuity Management?

Zielgruppe zum Seminar Was versteht man unter Business Continuity Management?

  • Vorstände und Geschäftsführer bei Banken, Finanzdienstleistern, Kapitalanlage- und Fondsgesellschaften, Leasing- und Factoring-Gesellschaften
  • Führungskräfte und Spezialisten aus den Bereichen Notfallmanagement, Auslagerungsmanagement, IT-Compliance, Compliance Beauftragte und Interne Revision.
 

Dein Nutzen mit dem Seminar Was versteht man unter Business Continuity Management?

#1 Aufgaben und Pflichten des Business Continuity Managers #2 Business Impact Analysen und Risk Impact Analysen #3 Laufende Überwachungspflichten des Business Continuity Managers  

Dein Vorsprung mit dem Seminar Was versteht man unter Business Continuity Management?

Jeder Teilnehmer erhält mit dem Seminar die S+P Tool Box: + Leitfaden für BCM (ca. 30 Seiten) + Muster-Reporting für Business Continuity Manager + S+P Tool Risk Impact Analyse für mehr Prüfungssicherheit Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.  

#1 Aufgaben und Pflichten des Business Continuity Managers

MaRisk AT 7.3: Das deutlich erweiterte Aufgabenspektrum des BCM: o Ziele zum Notfallmanagement und Ableitung eines Notfallmanagementprozess o Notfallkonzept für zeitkritische Aktivitäten und Prozesse o Festlegen von geeigneten Maßnahmen zur Schadensreduzierung Neue Reporting-Pflichten: mindestens quartalsweise Berichterstattung über den Zustand des Notfallmanagements Notfallkonzept mit Geschäftsfortführungs- sowie Wiederherstellungsplänen Schnittstelle Auslagerung: Outsourcer und Insourcer müssen über aufeinander abgestimmte Notfallkonzepte verfügen.  

#2 Business Impact Analysen und Risk Impact Analysen

Verschärfte Anforderungen an Business Impact Analysen: o Beeinträchtigung von Aktivitäten und Prozessen o Art und Umfang des (im-)materiellen Schadens o Zeitpunkt des Ausfalls. Risk Impact Analysen für die identifizierten zeitkritischen Aktivitäten und Prozesse: o Identifizieren und Bewerten von potentiellen Gefährdungen o Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien Berücksichtigung von Notfallszenarien o (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung, Ausfall der Zutrittskontrolle) o Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur o Ausfall einer kritischen Anzahl von Mitarbeitern o Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#3 Laufende Überwachungspflichten des Business Continuity Managers

MaRisk + BAIT: Anforderungen an Monitoring- und Kontrollhandlungen Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung Prüfungssichere Bewertung der Auswirkungs- und Risikoanalysen o Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. o Für zeitkritische Aktivitäten und Prozesse sind die relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. o Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. o Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen. Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.  

Das könnte dich als Business Continuity Manager auch interessieren

MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement. Aus den ICT Guidelines werden Anforderungen zum Notfallmanagement im neu gefassten Abschnitt AT 7.3 umgesetzt. Für alle im Rahmen einer durchzuführenden Auswirkungsanalyse identifizierten zeitkritischen Aktivitäten und Prozesse sind zunächst Risikoanalysen durchzuführen. Im Notfallkonzept muss dargestellt sein, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte). Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.  

#1 MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Das Kapitel AT 7.3 Notfallmanagement wurde nun wie folgt gefasst:
  1. Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Notfallkonzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung hat sich mindestens quartalsweise und anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen.
  2. Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen. Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Wiederherstellungspläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Bei Notfällen ist eine angemessene interne und externe Kommunikation sicherzustellen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.
  3. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. Für zeitkritische Aktivitäten und Prozesse ist sie für alle relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. Risiken sind angemessen zu steuern. Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
  Die MaRisk geben zu den verschärften Anforderungen an das Notfallmanagement folgende Erläuterungen.

#2 Zeitkritische Aktivitäten und Prozesse

Zeitkritisch sind grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für definierte Zeiträume ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist. Zur Identifikation von zeitkritischen Aktivitäten und Prozessen sowie von unterstützenden Aktivitäten und Prozessen, hierfür notwendigen IT-Systemen und sonstigen notwendigen Ressourcen sowie den potentiellen Gefährdungen führt das Institut Auswirkungsanalysen und Risikoanalysen durch. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte).  

#3 Auswirkungsanalysen – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

In Auswirkungsanalysen (Business Impact Analysen) wird über abgestufte Zeiträume betrachtet, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann. Die Auswirkungsanalysen sollten u. a. folgende Aspekte berücksichtigen: – Art und Umfang des (im-)materiellen Schadens – Auswirkung des Zeitpunkts des Ausfalls auf den Schaden (z. B. Ausfall des Zahlungsverkehrs zu Hauptgeschäftszeiten)  

#4 Risikoanalysen – Business Continuity Manager: Aufgaben und Pflichten

In Risikoanalysen (Risk Impact Analysen) für die identifizierten zeitkritischen Aktivitäten und Prozesse werden potentielle Gefährdungen identifiziert und bewertet, welche eine Beeinträchtigung der zeitkritischen Geschäftsprozesse verursachen können.  

#5 Notfallkonzept – Aufgaben und Pflichten des Business Continuity Managers

Im Notfallkonzept werden Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung von zeitkritischen Aktivitäten und Prozessen bestimmt und Kriterien für die Einstufung sowie für das Auslösen der Pläne definiert.  

#6 Notfallszenarien – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Hierbei werden mindestens folgende Szenarien berücksichtigt: – (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung,Ausfall der Zutrittskontrolle) – Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur (z. B. aufgrund von Fehlern oder Angriffen) – Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. bei Pandemie, Lebensmittelvergiftung, Streik) – Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#7 Überprüfungen des Notfallkonzeptes – Aufgaben und Pflichten des Business Continuity Managers

Die Häufigkeit und der Umfang der Überprüfungen soll sich grundsätzlich an der Gefährdungslage orientieren. Dienstleister sind angemessen einzubinden. Überprüfungen beinhalten u. a.: – Test der technischen Vorsorgemaßnahmen – Kommunikations-, Krisenstabs- und Alarmierungsübungen – Ernstfall- oder Vollübungen.  

#8 Welche Umsetzungsfristen gelten für die Neuen MaRisk 6.0?

Die neue Fassung der MaRisk tritt mit Veröffentlichung in Kraft. Es gilt eine Übergangsfrist bis zum 31.12.2021. Dies gilt für die auf das Auslagerungsregister bezogene Dokumentationsanforderung in AT 9 Tz. 14 MaRisk nur insoweit, als auch die Pflicht zum Vorhalten eines Auslagerungsregisters mit dem Inkrafttreten des FISG bereits zum 01.01.2022 gilt. Andernfalls richtet sich der erstmalige Geltungstag auch für die Konkretisierung dieser Anforderung in den MaRisk nach dem Gesetz. Davon abweichende Umsetzungsfristen ergeben sich für die Anpassung von bereits bestehenden oder in Verhandlung befindlichen Auslagerungsverträgen. Hierfür wird eine gesonderte Umsetzungsfrist bis zum 31.12.2022 eingeräumt. Eine Anpassung von Vertragsverhältnissen, die auf der Grundlage eines öffentlichen Vergabeverfahrens abgeschlossen wurden, kann wegen der besonderen rechtlichen Probleme unterbleiben, soweit diese Verträge befristet sind und innerhalb der nächsten fünf Jahre neu vergeben werden müssen. Die BaFin geht davon aus, dass bei Vergabeverfahren, die ab dem 01.01.2022 initiiert werden, bereits die neuen Anforderungen ausreichend berücksichtigt werden. Institute mit hohem NPL-Bestand haben die Anforderungen aus den NPE Guidelines bereits unmittelbar nach Ablauf der Übergangsfrist am 31.12.2021 einzuhalten, sofern diese Institute an den zwei vorhergehenden Quartalsstichtagen (30.09.2021 und 31.12.2021) eine NPL-Quote größer 5 % aufweisen. Der erste, für die Einstufung als Institut mit hohem NPL-Bestand relevante Quartalsstichtag ist daher der 30.09.2021. Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.  

Teilnehmer haben auch folgende Seminare MaRisk + SREP + Depot A gebucht:

Seminare MaRisk + SREP Seminare Depot A Seminare Auslagerungscontrolling Seminar Risikomanagement Compliance

Anzeigepflicht zu Auslagerungen bei Wertpapierinstituten: Was ist zu beachten?

Anzeigepflicht zu Auslagerungen bei Wertpapierinstituten: Was ist zu beachten? Der Prüfer hat über Auslagerungen von wesentlichen Aktivitäten und Prozessen unter Berücksichtigung der in § 40 des Wertpapierinstitutsgesetzes genannten Anforderungen gesondert zu berichten. Dabei ist eine Aussage darüber zu treffen, ob die Einstufung von Auslagerungen als wesentlich oder unwesentlich unter Gesichtspunkten des Risikos, der Art, des Umfangs und der Komplexität nachvollziehbar ist.  

Anzeigepflicht zu Auslagerungen: BaFin Anforderungen an Wertpapierinstitute

§64 regelt die Anzeigepflichten für alle Wertpapierinstitute. (1) Ein Wertpapierinstitut hat der Bundesanstalt und der Deutschen Bundesbank unverzüglich anzuzeigen: 13. die Absicht einer wesentlichen Auslagerung, den Vollzug der Auslagerung sowie wesentliche Änderungen und schwerwiegende Vorfälle im Rahmen von bestehenden wesentlichen Auslagerungen.   Anzeigepflicht zu Auslagerungen bei Wertpapierinstituten + Folgende Regelungen gelten für die Auslagerungsanzeige nach § 64 Absatz 1 Nummer 13 des Wertpapierinstitutsgesetzes: Auslagerungsanzeigen nach § 64 Absatz 1 Nummer 13 des Wertpapierinstitutsgesetzes sind erstmalig ab dem Tag einzureichen, ab dem die Bundesanstalt das für diese Einreichung vorgesehene elektronische Einreichungsverfahren zur Verfügung stellt. Die von der Bundesanstalt im elektronischen Einreichungsverfahren vorgegebene Aufzählung von Auslagerungssachverhalten gelten als wesentliche Auslagerung, für die Absicht, Vollzug, wesentliche Änderungen und das Eintreten schwerwiegender Vorfälle anzuzeigen sind.  

Regelungen des § 40 WpIG zu Auslagerungen bei Wertpapierinstituten

§40 WpIG regelt die Auslagerung von Aktivitäten und Prozessen. Ein Wertpapierinstitut muss abhängig von Art, Umfang, Komplexität und Risikogehalt einer Auslagerung von ausschlaggebenden und wichtigen betrieblichen Aufgaben im Sinne des Artikels 30 Absatz 1 der Delegierten Verordnung (EU) 2017/565 (wesentliche Auslagerung) angemessene Vorkehrungen treffen, um übermäßige zusätzliche Risiken zu vermeiden. Eine Auslagerung darf weder die Ordnungsmäßigkeit dieser Geschäfte und Dienstleistungen noch die Geschäftsorganisation beeinträchtigen. Insbesondere muss ein angemessenes und wirksames Risikomanagement durch das Wertpapierinstitut gewährleistet bleiben. Ein Wertpapierinstitut hat im Rahmen seines Risikomanagements ein Auslagerungsregister zu führen. Darin sind sämtliche wesentlichen und nicht wesentlichen Auslagerungen zu erfassen. Die Verordnung über die Prüfung der Jahresabschlüsse der Wertpapierinstitute sowie über die zu erstellenden Berichte (Wertpapierinstituts-Prüfungsberichtsverordnung – WpI-PrüfbV) regelt hierzu folgendes: Ausgelagerte wesentliche Aktivitäten und Prozesse sind, auch in Verbindung mit den vorgenommenen Bezeichnungen in der Anlage 2, nachvollziehbar zu spezifizieren und abzugrenzen. Die Datenübersicht für Kleine und Mittlere Wertpapierinstitute, die Bereiche auf ein anderes Unternehmen ausgelagert haben, hat folgende Angaben zu umfassen: # Auslagerungsunternehmen inklusive Adresse # KN-Ident-Nummer # Ausgelagerte Aktivitäten und Prozesse # Status (geplant zum/ durchgeführt am/ beendet am) # Datum der Auslagerung # Bemerkungen insbesondere zu Weiterverlagerungen  

Artikel 30 bis 32 führen zu weiteren Pflichten bei Auslagerungen von Wertpapierinstituten

Nähere Bestimmungen zu wesentlichen Auslagerungen enthalten die Artikel 30 bis 32 der Delegierten Verordnung (EU) 2017/565. Hat bei einer wesentlichen Auslagerung ein Auslagerungsunternehmen seinen Sitz in einem Drittstaat, ist vertraglich sicherzustellen, dass das Auslagerungsunternehmen einen inländischen Zustellungsbevollmächtigten benennt, an den Bekanntgaben und Zustellungen durch die Bundesanstalt bewirkt werden können. Die Bundesanstalt kann gegenüber einem Wertpapierinstitut und auch unmittelbar gegenüber einem Auslagerungsunternehmen, auf das wesentliche Auslagerungen erfolgt sind, im Einzelfall Anordnungen treffen, die geeignet und erforderlich sind,
  1. um Verstöße gegen aufsichtsrechtliche Bestimmungen zu verhindern oder zu unterbinden,
  2. um eine Beeinträchtigung der Prüfungsrechte oder Kontrollmöglichkeiten der Bundesanstalt zu beseitigen oder
  3. um Missstände bei dem Wertpapierinstitut oder Auslagerungsunternehmen zu verhindern oder zu beseitigen, welche die Sicherheit der dem Wertpapierinstitut anvertrauten Vermögenswerte gefährden können oder die ordnungsgemäße Durchführung der Wertpapierdienstleistungen, Wertpapiernebendienstleistungen oder Nebengeschäfte beeinträchtigen.
 

Weitere Regelungen der IFD, die gemäß § 40 WpIG zu beachten sind + Anzeigepflicht zu Auslagerungen bei Wertpapierinstituten

Die IFD regeln in Abschnitt 2 ausschlaggebende und wichtige betriebliche Aufgaben in Artikel 30 wie folgt: Für die Zwecke von Artikel 16 Absatz 5 Unterabsatz 1 der Richtlinie 2014/65/EU wird eine betriebliche Aufgabe als ausschlaggebend oder wichtig betrachtet, wenn deren unzureichende oder unterlassene Wahrnehmung die kontinuierliche Einhaltung der Zulassungsbedingungen und -pflichten oder der anderen Verpflichtungen der Wertpapierfirma gemäß der Richtlinie 2014/65/EU, ihre finanzielle Leistungsfähigkeit oder die Solidität oder Kontinuität ihrer Wertpapierdienstleistungen und Anlagetätigkeiten wesentlich beeinträchtigen würde. Ohne den Status anderer Aufgaben zu berühren, werden für die Zwecke des Absatzes 1 folgende Aufgaben nicht als ausschlaggebend oder wichtig betrachtet: a) für die Wertpapierfirma erbrachte Beratungs- und andere Dienstleistungen, die nicht Teil ihres Anlagegeschäfts sind, einschließlich der Beratung in Rechtsfragen, Mitarbeiterschulungen, der Fakturierung und der Bewachung von Gebäuden und Mitarbeitern; b) der Erwerb standardisierter Dienstleistungen, einschließlich Marktinformationsdiensten und Preisdaten.   Weiere Bestimmungen werden mit den Artikeln 31 und 32 getroffen.  

Artikel 31 macht Vorgaben hinsichtlich der Auslagerung ausschlaggebender oder wichtiger betrieblicher Aufgaben.

Wertpapierfirmen, die ausschlaggebende oder wichtige betriebliche Aufgaben auslagern, bleiben vollständig für die Erfüllung all ihrer Verpflichtungen gemäß der Richtlinie 2014/64/EU verantwortlich und müssen die folgenden Bedingungen erfüllen: a) die Auslagerung ist nicht mit einer Delegation der Aufgaben der Geschäftsleitung verbunden; b) das Verhältnis und die Pflichten der Wertpapierfirma gegenüber ihren Kunden gemäß der Richtlinie 2014/65/EU bleiben unverändert; c) die Voraussetzungen, die eine Wertpapierfirma erfüllen muss, um gemäß Artikel 5 der Richtlinie 2014/65/EG zugelassen zu werden und diese Zulassung auch zu behalten, sind nach wie vor erfüllt; d) die anderen Voraussetzungen, unter denen der Wertpapierfirma die Zulassung erteilt wurde, sind nicht entfallen und haben sich nicht geändert.  

Professionelles On- und Offboarding bei Abschluss, Durchführung oder Kündigung der Auslagerungsvereinbarung

Wertpapierfirmen verfahren bei Abschluss, Durchführung oder Kündigung einer Vereinbarung über die Auslagerung von ausschlaggebenden oder wichtigen betrieblichen Funktionen an einen Dienstleister mit der gebotenen Professionalität und Sorgfalt und treffen alle erforderlichen Maßnahmen, um Folgendes zu gewährleisten: a) der Dienstleister verfügt über die Eignung, die Kapazität, ausreichende Ressourcen und geeignete Organisationsstrukturen für die Ausführung der ausgelagerten Aufgaben sowie alle gesetzlich vorgeschriebenen Zulassungen, um die ausgelagerten Aufgaben zuverlässig und professionell wahrzunehmen; b) der Dienstleister führt die ausgelagerten Dienstleistungen effektiv und in Übereinstimmung mit den geltenden Rechts- und Verwaltungsvorschriften aus, und die Wertpapierfirma hat zu diesem Zweck Methoden und Verfahren zur Bewertung der Leistung des Dienstleisters sowie zur fortlaufenden Überprüfung der von dem Dienstleister erbrachten Dienstleistungen festgelegt; c) der Dienstleister hat die Ausführung der ausgelagerten Aufgaben ordnungsgemäß zu überwachen und die mit der Auslagerung verbundenen Risiken angemessen zu steuern; d) es werden angemessene Maßnahmen ergriffen, wenn Zweifel daran bestehen, dass der Dienstleister seine Aufgaben möglicherweise nicht effektiv und unter Einhaltung der geltenden Rechts- und Verwaltungsvorschriften ausführt; e) die Wertpapierfirma hat die ausgelagerten Aufgaben oder Dienstleistungen wirksam zu überwachen und die mit der Auslagerung verbundenen Risiken zu steuern, und zu diesem Zweck verfügt sie weiterhin über die notwendigen Fachkenntnisse und Ressourcen, um die ausgelagerten Aufgaben wirksam zu überwachen und diese Risiken zu steuern; f) der Dienstleister hat der Wertpapierfirma jede Entwicklung zur Kenntnis gebracht, die seine Fähigkeit, die ausgelagerten Aufgaben wirkungsvoll und unter Einhaltung der geltenden Rechts- und Verwaltungsvorschriften auszuführen, wesentlich beeinträchtigen könnte; g) die Wertpapierfirma ist in der Lage, die Auslagerungsvereinbarung gegebenenfalls mit sofortiger Wirkung zu kündigen, wenn dies im Interesse ihrer Kunden liegt, ohne dass dies die Kontinuität und Qualität der für ihre Kunden erbrachten Dienstleistungen beeinträchtigt; h) der Dienstleister arbeitet in Bezug auf die ausgelagerten Funktionen mit den für die Wertpapierfirma zuständigen Behörden zusammen; i) die Wertpapierfirma, ihre Abschlussprüfer und die jeweils zuständigen Behörden haben tatsächlich Zugang zu mit den ausgelagerten Funktionen zusammenhängenden Daten und zu den Geschäftsräumen des Dienstleisters, sofern dies für die Zwecke einer wirksamen Aufsicht gemäß diesem Artikel erforderlich ist, und die zuständigen Behörden können von diesen Zugangsrechten Gebrauch machen; j) der Dienstleister hat alle vertraulichen Informationen, die die Wertpapierfirma und ihre Kunden betreffen, zu schützen; k) die Wertpapierfirma und der Dienstleister haben einen Notfallplan festgelegt und diesen auf Dauer umgesetzt, der bei einem Systemausfall die Speicherung der Daten gewährleistet und regelmäßige Tests der Backup-Systeme vorsieht, sollte dies angesichts der ausgelagerten Aufgabe, Dienstleistung oder Tätigkeit erforderlich sein; l) die Wertpapierfirma hat sichergestellt, dass die Kontinuität und Qualität der ausgelagerten Aufgaben oder Dienstleistungen auch für den Fall der Beendigung der Auslagerung aufrechterhalten werden, indem die Durchführung der ausgelagerten Aufgaben oder Dienstleistungen auf einen anderen Dritten übertragen wird oder indem die Wertpapierfirma diese ausgelagerten Aufgaben oder Dienstleistungen selbst ausführt.  

Mindestanforderungen an die schriftliche Auslagerungsvereinbarung + Anzeigepflicht zu Auslagerungen bei Wertpapierinstituten

Die entsprechenden Rechte und Pflichten der Wertpapierfirma und des Dienstleisters werden in einer schriftlichen Vereinbarung eindeutig zugewiesen. Die Wertpapierfirma behält insbesondere ihre Weisungs- und Kündigungsrechte, ihre Informationsrechte sowie ihre Rechte auf Einsichtnahme in und Zugang zu Büchern und Geschäftsräumen. In der Vereinbarung wird sichergestellt, dass eine Auslagerung durch den Dienstleister nur mit der schriftlichen Zustimmung der Wertpapierfirma erfolgen darf. Gehören die Wertpapierfirma und der Dienstleister ein und derselben Gruppe an, kann die Wertpapierfirma zur Erfüllung dieses Artikels und des Artikels 32 berücksichtigen, in welchem Umfang sie den Dienstleister kontrolliert oder sein Handeln beeinflussen kann. Die Wertpapierfirma stellt den zuständigen Behörden auf deren Verlangen alle Informationen zur Verfügung, die diese benötigen, um zu überwachen, ob bei der Ausübung der übertragenen Funktionen die Anforderungen der Richtlinie 2014/65/EU und ihrer Durchführungsmaßnahmen eingehalten werden.  

Artikel 32 macht Vorgaben beim Einsatz von Dienstleistern mit Sitz in einem Drittland

#1 Wertpapierfirmen, die Funktionen im Zusammenhang mit der Verwaltung von Kundenportfolios an einen Drittlandsdienstleister auslagern, stellen zusätzlich zu den Anforderungen des Artikels 31 sicher, dass folgende Bedingungen erfüllt sind: a) der Dienstleister ist in seinem Herkunftsland für die Erbringung dieser Dienstleistung zugelassen oder registriert, und er wird von einer zuständigen Behörde in diesem Drittland wirksam beaufsichtigt; b) zwischen der für die Wertpapierfirma zuständigen Behörde und der Aufsichtsbehörde des Dienstleisters besteht eine angemessene Kooperationsvereinbarung.   #2 Durch die in Absatz 1 Buchstabe b genannte Kooperationsvereinbarung wird sichergestellt, dass die für die Wertpapierfirma zuständigen Behörden mindestens in der Lage sind: a) auf Verlangen, die für die Erfüllung ihrer Aufsichtspflichten gemäß der Richtlinie 2014/65/EU und der Verordnung (EU) Nr. 600/2014 notwendigen Informationen einzuholen; b) Zugang zu im Drittland vorhandenen Unterlagen zu erhalten, die für die Wahrnehmung ihrer Aufsichtspflichten relevant sind; c) schnellstmöglich Informationen von der Aufsichtsbehörde in dem Drittland zu erhalten, um offensichtliche Verstöße gegen die Anforderungen der Richtlinie 2014/65/EU und ihrer Durchführungsmaßnahmen sowie der Verordnung (EU) Nr. 600/2014 zu untersuchen; d) im Falle eines Verstoßes gegen die Anforderungen der Richtlinie 2014/65/EU und ihrer Durchführungsmaßnahmen sowie einschlägiger nationaler Rechtsvorschriften im Einklang mit den für die Aufsichtsbehörde des Drittlands und die zuständigen Behörden in der EU geltenden nationalen und internationalen Gesetze die Durchsetzung in Zusammenarbeit anzugehen.   #3 Die zuständigen Behörden veröffentlichen auf ihrer Website ein Verzeichnis der Aufsichtsbehörden in Drittländern, mit denen sie eine Kooperationsvereinbarung gemäß Absatz 1 Buchstabe b abgeschlossen haben. Die zuständigen Behörden aktualisieren Kooperationsvereinbarungen, die vor dem Datum des Inkrafttretens dieser Verordnung geschlossen wurden, innerhalb von sechs Monaten nach Inkrafttreten dieser Verordnung.  

Dieses Seminar könnte dich als Update Seminar für Wertpapierinstitute auch interessieren

Du bist neu als Auslagerungsbeauftragter bestellt worden? Mit dem Seminar Auslagerungscontrolling nach AT 9 MaRisk erlernst du für diese neue Aufgabe folgende Skills:
  1. Anforderungen der neuen EBA-Leitlinien, der MaRisk, der KAGB sowie der AIFM-Richtlinie an den Auslagerungsbeauftragten
  2. Neuerungen zur Auslagerung von wichtigen Kontrollbereichen
  3. Anzeigepflicht zu Auslagerungen nach FISG und WpIG
  4. Risk Assessment Auslagerungs-Management prüfungssicher durchführen
  5. Haftungsrisiken begrenzen – Neue Reportingpflichten des Auslagerungsbeauftragten
  6. Überwachungs- und Kontrollpflichten als Auslagerungsbeauftragter kennen
  7. Umsetzung der EBA-Leitlinien Auslagerungen und ITK
Das Seminar Neu als Auslagerungsbeauftragter direkt online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A 12.   Anzeigepflicht zu Auslagerungen bei Wertpapierinstituten: Was ist zu beachten?  

Zielgruppe – Seminar Auslagerungscontrolling

  • Vorstände und Geschäftsführer bei Banken, Finanzdienstleistern, Kapitalanlage- und Fondsgesellschaften, Leasing- und Factoring-Gesellschaften
  • Führungskräfte und Spezialisten aus den Bereichen Auslagerungsmanagement, Risikocontrolling, IT-Compliance, Compliance Beauftragte und Interne Revision
 

Dein Nutzen – Seminar Auslagerungscontrolling

  • Aufgaben und Pflichten des Auslagerungsbeauftragten
  • Risikoanalyse bei Auslagerungen: „Rote Linien‘‘ kennen
  • Laufende Überwachungspflichten des Auslagerungsbeauftragten
  • Anzeigepflicht zu Auslagerungen nach FISG und WpIG
Das Seminar direkt online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A 12.  

Dein Vorsprung:

Jeder Teilnehmer erhält mit dem Seminar folgende S+P-Produkte:
  •  S+P Checkliste „Umsetzung MaRisk + EBA Richtlinie + FISG “
  • Leitfaden für das zentrale Auslagerungsmanagement(Umfang ca. 30 Seiten)
  • Muster – Reporting für Auslagerungsbeauftragte
  • S+P Tool Risk Assessment Auslagerungsmanagement für mehr Prüfungssicherheit
  Dein Programm:

Aufgaben und Pflichten des Auslagerungsbeauftragten

  •  Das Aufgabenspektrum des Outsourcing-Beauftragten
  • Effiziente Kommunikation zwischen Outsourcer und Insourcer:
    • Definition von Eskalationsprozessen
    • Aussagefähiges Management-Reporting
  •  Neue Anforderungen der EBA und des FISG:
    • Abgrenzung von Auslagerung und Fremdbezug nach MaRisk
    • Neue Regeln zu den KWG Anzeigepflichten
    • Anordnungs- und Eingriffsbefugnisse der BaFin

Risikoanalyse bei Auslagerungen: „Rote Linien“ kennen

  • Risikoanalyse im Outsourcing-Prozess
    • Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien:
      • Einschätzung von Risikogehalt und Risikokonzentration bei Auslagerungen mehrerer Aktivitäten an einen Dienstleister
      • Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung
      • Prüfungssichere Bewertung von Ausstiegsstrategien und Notfallplänen
  • Definition einer maximalen Schlechtleistung eines externen Dienstleisters

Laufende Überwachungspflichten des Auslagerungsbeauftragten

  • MaRisk-Anforderungen an Monitoring- und Kontrollhandlungen
    •  Bewertung von Vertragsgestaltung, Leistungskontrollen und organisatorischer Vorgaben
    • Neue Präzisierung von Zustimmungsvorbehalten und weitreichenden Informationsrechten
    • Neue Vorgaben an Kontroll- und Berichtspflichten des Dienstleisters und des Auslagerungsbeauftragten
    • Exit-Strategie AT9 Tz 6 iVm §25b KWG
  • Optimierung der Kennzahlen zur Risiko- und Performance-Messung
  • To Do’s für die Outsourcer aus Erkenntnissen von Sonderprüfungen
  • SREP und EBA-Vorgaben für die Steuerung der Risiken

Neben dem Seminar Anzeigepflicht zu Auslagerungen bei Wertpapierinstitutenauch könnte dich das auch interessieren:

Seminare Compliance Finanzunternehmen Seminare Compliance Nicht-Finanzunternehmen Seminare Auslagerung

Was muss ich bei der Überprüfung des Notfallkonzeptes beachten?

Was muss ich bei der Überprüfung des Notfallkonzeptes beachten? Der Umfang und die Häufigkeit der Überprüfung sollte sich an der Gefährdungslage orientieren. Die Überprüfung sollte folgendes beinhalten: #1 Test der technischen Vorsorgemaßnahmen #2 Kommunikations-, Krisenstabs- und Alarmierungsübungen #3 Ernstfall- oder Vollübungen.   Das Seminar Was muss ich bei der Überprüfung des Notfallkonzeptes beachten? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.   Was muss ich bei der Überprüfung des Notfallkonzeptes beachten?  

Zielgruppe zum Seminar BCM: Was muss ich bei der Überprüfung des Notfallkonzeptes beachten?

  • Vorstände und Geschäftsführer bei Banken, Finanzdienstleistern, Kapitalanlage- und Fondsgesellschaften, Leasing- und Factoring-Gesellschaften
  • Führungskräfte und Spezialisten aus den Bereichen Notfallmanagement, Auslagerungsmanagement, IT-Compliance, Compliance Beauftragte und Interne Revision.
 

Dein Nutzen mit dem Seminar BCM: Was muss ich bei der Überprüfung des Notfallkonzeptes beachten?

#1 Aufgaben und Pflichten des Business Continuity Managers #2 Business Impact Analysen und Risk Impact Analysen #3 Laufende Überwachungspflichten des Business Continuity Managers  

Dein Vorsprung mit dem Seminar BCM: Was muss ich bei der Überprüfung des Notfallkonzeptes beachten?

Jeder Teilnehmer erhält mit dem Seminar die S+P Tool Box: + Leitfaden für BCM (ca. 30 Seiten) + Muster-Reporting für Business Continuity Manager + S+P Tool Risk Impact Analyse für mehr Prüfungssicherheit Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.  

#1 Aufgaben und Pflichten des Business Continuity Managers

MaRisk AT 7.3: Das deutlich erweiterte Aufgabenspektrum des BCM: o Ziele zum Notfallmanagement und Ableitung eines Notfallmanagementprozess o Notfallkonzept für zeitkritische Aktivitäten und Prozesse o Festlegen von geeigneten Maßnahmen zur Schadensreduzierung Neue Reporting-Pflichten: mindestens quartalsweise Berichterstattung über den Zustand des Notfallmanagements Notfallkonzept mit Geschäftsfortführungs- sowie Wiederherstellungsplänen Schnittstelle Auslagerung: Outsourcer und Insourcer müssen über aufeinander abgestimmte Notfallkonzepte verfügen.  

#2 Business Impact Analysen und Risk Impact Analysen

Verschärfte Anforderungen an Business Impact Analysen: o Beeinträchtigung von Aktivitäten und Prozessen o Art und Umfang des (im-)materiellen Schadens o Zeitpunkt des Ausfalls. Risk Impact Analysen für die identifizierten zeitkritischen Aktivitäten und Prozesse: o Identifizieren und Bewerten von potentiellen Gefährdungen o Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien Berücksichtigung von Notfallszenarien o (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung, Ausfall der Zutrittskontrolle) o Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur o Ausfall einer kritischen Anzahl von Mitarbeitern o Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#3 Laufende Überwachungspflichten des Business Continuity Managers

MaRisk + BAIT: Anforderungen an Monitoring- und Kontrollhandlungen Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung Prüfungssichere Bewertung der Auswirkungs- und Risikoanalysen o Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. o Für zeitkritische Aktivitäten und Prozesse sind die relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. o Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. o Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen. Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.  

Das könnte dich als Business Continuity Manager auch interessieren

MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement. Aus den ICT Guidelines werden Anforderungen zum Notfallmanagement im neu gefassten Abschnitt AT 7.3 umgesetzt. Für alle im Rahmen einer durchzuführenden Auswirkungsanalyse identifizierten zeitkritischen Aktivitäten und Prozesse sind zunächst Risikoanalysen durchzuführen. Im Notfallkonzept muss dargestellt sein, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte). Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.  

#1 MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Das Kapitel AT 7.3 Notfallmanagement wurde nun wie folgt gefasst:
  1. Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Notfallkonzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung hat sich mindestens quartalsweise und anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen.
  2. Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen. Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Wiederherstellungspläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Bei Notfällen ist eine angemessene interne und externe Kommunikation sicherzustellen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.
  3. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. Für zeitkritische Aktivitäten und Prozesse ist sie für alle relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. Risiken sind angemessen zu steuern. Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
  Die MaRisk geben zu den verschärften Anforderungen an das Notfallmanagement folgende Erläuterungen.

#2 Zeitkritische Aktivitäten und Prozesse

Zeitkritisch sind grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für definierte Zeiträume ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist. Zur Identifikation von zeitkritischen Aktivitäten und Prozessen sowie von unterstützenden Aktivitäten und Prozessen, hierfür notwendigen IT-Systemen und sonstigen notwendigen Ressourcen sowie den potentiellen Gefährdungen führt das Institut Auswirkungsanalysen und Risikoanalysen durch. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte).  

#3 Auswirkungsanalysen – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

In Auswirkungsanalysen (Business Impact Analysen) wird über abgestufte Zeiträume betrachtet, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann. Die Auswirkungsanalysen sollten u. a. folgende Aspekte berücksichtigen: – Art und Umfang des (im-)materiellen Schadens – Auswirkung des Zeitpunkts des Ausfalls auf den Schaden (z. B. Ausfall des Zahlungsverkehrs zu Hauptgeschäftszeiten)  

#4 Risikoanalysen – Wofür müssen die Maßnahmen im Notfallkonzept geeignet sein?: Aufgaben und Pflichten

In Risikoanalysen (Risk Impact Analysen) für die identifizierten zeitkritischen Aktivitäten und Prozesse werden potentielle Gefährdungen identifiziert und bewertet, welche eine Beeinträchtigung der zeitkritischen Geschäftsprozesse verursachen können.  

#5 Notfallkonzept – Aufgaben und Pflichten des Business Continuity Managers

Im Notfallkonzept werden Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung von zeitkritischen Aktivitäten und Prozessen bestimmt und Kriterien für die Einstufung sowie für das Auslösen der Pläne definiert.  

#6 Notfallszenarien – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Hierbei werden mindestens folgende Szenarien berücksichtigt: – (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung,Ausfall der Zutrittskontrolle) – Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur (z. B. aufgrund von Fehlern oder Angriffen) – Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. bei Pandemie, Lebensmittelvergiftung, Streik) – Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#7 Überprüfungen des Notfallkonzeptes – Aufgaben und Pflichten des Business Continuity Managers

Die Häufigkeit und der Umfang der Überprüfungen soll sich grundsätzlich an der Gefährdungslage orientieren. Dienstleister sind angemessen einzubinden. Überprüfungen beinhalten u. a.: – Test der technischen Vorsorgemaßnahmen – Kommunikations-, Krisenstabs- und Alarmierungsübungen – Ernstfall- oder Vollübungen.  

#8 Welche Umsetzungsfristen gelten für die Neuen MaRisk 6.0?

Die neue Fassung der MaRisk tritt mit Veröffentlichung in Kraft. Es gilt eine Übergangsfrist bis zum 31.12.2021. Dies gilt für die auf das Auslagerungsregister bezogene Dokumentationsanforderung in AT 9 Tz. 14 MaRisk nur insoweit, als auch die Pflicht zum Vorhalten eines Auslagerungsregisters mit dem Inkrafttreten des FISG bereits zum 01.01.2022 gilt. Andernfalls richtet sich der erstmalige Geltungstag auch für die Konkretisierung dieser Anforderung in den MaRisk nach dem Gesetz. Davon abweichende Umsetzungsfristen ergeben sich für die Anpassung von bereits bestehenden oder in Verhandlung befindlichen Auslagerungsverträgen. Hierfür wird eine gesonderte Umsetzungsfrist bis zum 31.12.2022 eingeräumt. Eine Anpassung von Vertragsverhältnissen, die auf der Grundlage eines öffentlichen Vergabeverfahrens abgeschlossen wurden, kann wegen der besonderen rechtlichen Probleme unterbleiben, soweit diese Verträge befristet sind und innerhalb der nächsten fünf Jahre neu vergeben werden müssen. Die BaFin geht davon aus, dass bei Vergabeverfahren, die ab dem 01.01.2022 initiiert werden, bereits die neuen Anforderungen ausreichend berücksichtigt werden. Institute mit hohem NPL-Bestand haben die Anforderungen aus den NPE Guidelines bereits unmittelbar nach Ablauf der Übergangsfrist am 31.12.2021 einzuhalten, sofern diese Institute an den zwei vorhergehenden Quartalsstichtagen (30.09.2021 und 31.12.2021) eine NPL-Quote größer 5 % aufweisen. Der erste, für die Einstufung als Institut mit hohem NPL-Bestand relevante Quartalsstichtag ist daher der 30.09.2021. Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.  

Teilnehmer haben auch folgende Seminare MaRisk + SREP + Depot A gebucht:

Seminare MaRisk + SREP Seminare Depot A Seminare Auslagerungscontrolling Seminar Risikomanagement Compliance

Welche Notfallszenarien müssen berücksichtigt werden?

Welche Notfallszenarien müssen berücksichtigt werden? Hierbei sollen mindestens folgende Szenarien berücksichtigt werden: #1 (Teil-) Ausfall eines Standortes: Notfallszenarien zu Hochwasser, Großbrand, Gebietssperrung und Ausfall der Zutrittskontrolle #2 Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur: Notfallszenarien zu Fehlern oder Angriffen. #3 Ausfall einer kritischen Anzahl von Mitarbeitern: Notfallszenarien zu Pandemie, Lebensmittelvergiftung und Streik. #4 Ausfall von Dienstleistern: Notfallszenarien zu Zulieferer und Stromversorger.   Das Seminar Welche Notfallszenarien müssen berücksichtigt werden? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.   Welche Notfallszenarien müssen berücksichtigt werden?  

Zielgruppe zum Seminar BCM: Welche Notfallszenarien müssen berücksichtigt werden?

  • Vorstände und Geschäftsführer bei Banken, Finanzdienstleistern, Kapitalanlage- und Fondsgesellschaften, Leasing- und Factoring-Gesellschaften
  • Führungskräfte und Spezialisten aus den Bereichen Notfallmanagement, Auslagerungsmanagement, IT-Compliance, Compliance Beauftragte und Interne Revision.
 

Dein Nutzen mit dem Seminar BCM: Welche Notfallszenarien müssen berücksichtigt werden?

#1 Aufgaben und Pflichten des Business Continuity Managers #2 Business Impact Analysen und Risk Impact Analysen #3 Laufende Überwachungspflichten des Business Continuity Managers  

Dein Vorsprung mit dem Seminar BCM: Welche Notfallszenarien müssen berücksichtigt werden?

Jeder Teilnehmer erhält mit dem Seminar die S+P Tool Box: + Leitfaden für BCM (ca. 30 Seiten) + Muster-Reporting für Business Continuity Manager + S+P Tool Risk Impact Analyse für mehr Prüfungssicherheit Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.  

#1 Aufgaben und Pflichten des Business Continuity Managers

MaRisk AT 7.3: Das deutlich erweiterte Aufgabenspektrum des BCM: o Ziele zum Notfallmanagement und Ableitung eines Notfallmanagementprozess o Notfallkonzept für zeitkritische Aktivitäten und Prozesse o Festlegen von geeigneten Maßnahmen zur Schadensreduzierung Neue Reporting-Pflichten: mindestens quartalsweise Berichterstattung über den Zustand des Notfallmanagements Notfallkonzept mit Geschäftsfortführungs- sowie Wiederherstellungsplänen Schnittstelle Auslagerung: Outsourcer und Insourcer müssen über aufeinander abgestimmte Notfallkonzepte verfügen.  

#2 Business Impact Analysen und Risk Impact Analysen

Verschärfte Anforderungen an Business Impact Analysen: o Beeinträchtigung von Aktivitäten und Prozessen o Art und Umfang des (im-)materiellen Schadens o Zeitpunkt des Ausfalls. Risk Impact Analysen für die identifizierten zeitkritischen Aktivitäten und Prozesse: o Identifizieren und Bewerten von potentiellen Gefährdungen o Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien Berücksichtigung von Notfallszenarien o (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung, Ausfall der Zutrittskontrolle) o Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur o Ausfall einer kritischen Anzahl von Mitarbeitern o Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#3 Laufende Überwachungspflichten des Business Continuity Managers

MaRisk + BAIT: Anforderungen an Monitoring- und Kontrollhandlungen Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung Prüfungssichere Bewertung der Auswirkungs- und Risikoanalysen o Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. o Für zeitkritische Aktivitäten und Prozesse sind die relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. o Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. o Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen. Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.  

Das könnte dich als Business Continuity Manager auch interessieren

MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement. Aus den ICT Guidelines werden Anforderungen zum Notfallmanagement im neu gefassten Abschnitt AT 7.3 umgesetzt. Für alle im Rahmen einer durchzuführenden Auswirkungsanalyse identifizierten zeitkritischen Aktivitäten und Prozesse sind zunächst Risikoanalysen durchzuführen. Im Notfallkonzept muss dargestellt sein, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte). Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.  

#1 MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Das Kapitel AT 7.3 Notfallmanagement wurde nun wie folgt gefasst:
  1. Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Notfallkonzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung hat sich mindestens quartalsweise und anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen.
  2. Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen. Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Wiederherstellungspläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Bei Notfällen ist eine angemessene interne und externe Kommunikation sicherzustellen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.
  3. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. Für zeitkritische Aktivitäten und Prozesse ist sie für alle relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. Risiken sind angemessen zu steuern. Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
  Die MaRisk geben zu den verschärften Anforderungen an das Notfallmanagement folgende Erläuterungen.

#2 Zeitkritische Aktivitäten und Prozesse

Zeitkritisch sind grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für definierte Zeiträume ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist. Zur Identifikation von zeitkritischen Aktivitäten und Prozessen sowie von unterstützenden Aktivitäten und Prozessen, hierfür notwendigen IT-Systemen und sonstigen notwendigen Ressourcen sowie den potentiellen Gefährdungen führt das Institut Auswirkungsanalysen und Risikoanalysen durch. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte).  

#3 Auswirkungsanalysen – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

In Auswirkungsanalysen (Business Impact Analysen) wird über abgestufte Zeiträume betrachtet, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann. Die Auswirkungsanalysen sollten u. a. folgende Aspekte berücksichtigen: – Art und Umfang des (im-)materiellen Schadens – Auswirkung des Zeitpunkts des Ausfalls auf den Schaden (z. B. Ausfall des Zahlungsverkehrs zu Hauptgeschäftszeiten)  

#4 Risikoanalysen – Wofür müssen die Maßnahmen im Notfallkonzept geeignet sein?: Aufgaben und Pflichten

In Risikoanalysen (Risk Impact Analysen) für die identifizierten zeitkritischen Aktivitäten und Prozesse werden potentielle Gefährdungen identifiziert und bewertet, welche eine Beeinträchtigung der zeitkritischen Geschäftsprozesse verursachen können.  

#5 Notfallkonzept – Aufgaben und Pflichten des Business Continuity Managers

Im Notfallkonzept werden Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung von zeitkritischen Aktivitäten und Prozessen bestimmt und Kriterien für die Einstufung sowie für das Auslösen der Pläne definiert.  

#6 Notfallszenarien – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Hierbei werden mindestens folgende Szenarien berücksichtigt: – (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung,Ausfall der Zutrittskontrolle) – Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur (z. B. aufgrund von Fehlern oder Angriffen) – Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. bei Pandemie, Lebensmittelvergiftung, Streik) – Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#7 Überprüfungen des Notfallkonzeptes – Aufgaben und Pflichten des Business Continuity Managers

Die Häufigkeit und der Umfang der Überprüfungen soll sich grundsätzlich an der Gefährdungslage orientieren. Dienstleister sind angemessen einzubinden. Überprüfungen beinhalten u. a.: – Test der technischen Vorsorgemaßnahmen – Kommunikations-, Krisenstabs- und Alarmierungsübungen – Ernstfall- oder Vollübungen.  

#8 Welche Umsetzungsfristen gelten für die Neuen MaRisk 6.0?

Die neue Fassung der MaRisk tritt mit Veröffentlichung in Kraft. Es gilt eine Übergangsfrist bis zum 31.12.2021. Dies gilt für die auf das Auslagerungsregister bezogene Dokumentationsanforderung in AT 9 Tz. 14 MaRisk nur insoweit, als auch die Pflicht zum Vorhalten eines Auslagerungsregisters mit dem Inkrafttreten des FISG bereits zum 01.01.2022 gilt. Andernfalls richtet sich der erstmalige Geltungstag auch für die Konkretisierung dieser Anforderung in den MaRisk nach dem Gesetz. Davon abweichende Umsetzungsfristen ergeben sich für die Anpassung von bereits bestehenden oder in Verhandlung befindlichen Auslagerungsverträgen. Hierfür wird eine gesonderte Umsetzungsfrist bis zum 31.12.2022 eingeräumt. Eine Anpassung von Vertragsverhältnissen, die auf der Grundlage eines öffentlichen Vergabeverfahrens abgeschlossen wurden, kann wegen der besonderen rechtlichen Probleme unterbleiben, soweit diese Verträge befristet sind und innerhalb der nächsten fünf Jahre neu vergeben werden müssen. Die BaFin geht davon aus, dass bei Vergabeverfahren, die ab dem 01.01.2022 initiiert werden, bereits die neuen Anforderungen ausreichend berücksichtigt werden. Institute mit hohem NPL-Bestand haben die Anforderungen aus den NPE Guidelines bereits unmittelbar nach Ablauf der Übergangsfrist am 31.12.2021 einzuhalten, sofern diese Institute an den zwei vorhergehenden Quartalsstichtagen (30.09.2021 und 31.12.2021) eine NPL-Quote größer 5 % aufweisen. Der erste, für die Einstufung als Institut mit hohem NPL-Bestand relevante Quartalsstichtag ist daher der 30.09.2021. Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.  

Teilnehmer haben auch folgende Seminare MaRisk + SREP + Depot A gebucht:

Seminare MaRisk + SREP Seminare Depot A Seminare Auslagerungscontrolling Seminar Risikomanagement Compliance
Chaticon