ZAIT: Welche Regelungen sind zu beachten? Mit dem Rundschreiben Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT) werden die IT-Anforderungen speziell für diese Institute konkretisiert. Die Anforderungen orientieren sich an den bereits existierenden IT-Anforderungen für Banken (BAIT) und beinhalten insbesondere die EBA Anforderungen aus den EBA-Leitlinien für IKT und Sicherheitsrisikomanagement (GL/2017/17) sowie den EBA-Leitlinien zu Auslagerungen (GL/2019/02).
ZAIT: Welche Regelungen sind zu beachten? Einen Überblick zu den wesentlichen Neuerungen erhalten Sie mit dem S+P Informationsblog ZAIT.
ZAIT: Welche Regelungen sind zu beachten?
Die Anforderungen dieses Rundschreibens gelten für alle Institute im Sinne von § 1 Abs. 3 des Zahlungsdiensteaufsichtsgesetzes (ZAG), das heißt für Zahlungsinstitute und E-Geld-Institute (im Folgenden Institute genannt). Sie gelten auch für die Zweigniederlassungen deutscher Institute im Ausland im Sinne von § 38 ZAG. Auf Zweigniederlassungen von Unternehmen mit Sitz in einem anderen Staat des Europäischen Wirtschaftsraums nach
§ 39 ZAG finden sie keine Anwendung.
Der Einsatz von Informationstechnik (IT) in den Instituten, auch unter Einbeziehung von IT-Services, die durch IT-Dienstleister bereitgestellt werden, hat eine zentrale Bedeutung für die Finanzwirtschaft und wird weiter an Bedeutung gewinnen. Die ZAIT geben auf der Grundlage des § 27 Abs. 1 ZAG einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute – insbesondere für das
Management der IT-Ressourcen, das Informationsrisikomanagement und das Informationssicherheitsmanagement – vor.
Die ZAIT präzisieren ferner die Anforderungen des § 26 ZAG (Auslagerung von Aktivitäten und Prozessen) sowie die Anforderungen des § 53 Abs. 1 ZAG (Beherrschung operationeller und sicherheitsrelevanter Risiken bei der Erbringung von Zahlungsdiensten) .
Das Institut bleibt folglich jenseits der Konkretisierungen in diesem Rundschreiben verpflichtet, bei der Ausgestaltung der IT-Systeme und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen. Zu diesen zählen bspw. der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik, die internationalen Sicherheitsstandards ISO/IEC 270XX der International Organization for Standardization und der Payment Card Industry Data Security Standard (PCI-DSS).
Bei der Umsetzung der Anforderungen an die Geschäftsorganisation und somit auch der Ausgestaltung der Strukturen, IT-Systeme oder Prozesse spielt das Proportionalitätsprinzip eine erhebliche Rolle. Die Anforderungen dieses Rundschreibens sind durch angemessene Maßnahmen der
Unternehmenssteuerung,
Kontrollmechanismen und
Verfahren umzusetzen (§ 27 Abs. 1 ZAG).
Das heißt, es ist der Wesensart, dem Umfang und der Komplexität der mit der Tätigkeit des Instituts einhergehenden Risiken Rechnung zu tragen. Das Proportionalitätsprinzip knüpft also an die individuellen Risiken eines jeden Instituts an. Art und Umfang der erbrachten Zahlungsdienste sowie eine geringe Institutsgröße können Indikatoren für schwächer ausgeprägte Risiken sein – und umgekehrt.
Die Anwendung des Grundsatzes der Proportionalität wirkt sich darauf aus, wie Anforderungen erfüllt werden können. So können bei Instituten mit schwächer ausgeprägten Risiken einfachere Strukturen, IT-Systeme oder Prozesse ausreichend sein. Umgekehrt kann das Proportionalitätsprinzip bei Instituten mit stärker ausgeprägten Risiken aufwändigere Strukturen, IT-Systeme oder Prozesse erfordern.
Anforderungen der ZAIT an die IT-Strategie
Die Geschäftsleitung hat eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen, in der die Ziele sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden. Die IT-Strategie ist durch die Geschäftsleitung regelmäßig und anlassbezogen zu überprüfen und erforderlichenfalls anzupassen. Die Geschäftsleitung muss für die Umsetzung der IT-Strategie Sorge tragen.
Mindestinhalte der IT-Strategie sind:
die strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation des Instituts sowie IT-Dienstleistungen und sonstige wichtige Abhängigkeiten von Dritten
die Zuordnung der gängigen Standards, an denen sich das Institut orientiert, auf die Bereiche der IT und der Informationssicherheit
Ziele, Zuständigkeiten und Einbindung der Informationssicherheit in die Organisation
die strategische Entwicklung der IT-Architektur
Aussagen zum IT-Notfallmanagement unter Berücksichtigung der Informationssicherheitsbelange
Aussagen zu den in den Fachbereichen selbst betriebenen bzw. entwickelten IT-Systemen (Hardware- und Software-Komponenten)
Die operative Informationssicherheit setzt die Anforderungen des Informationssicherheitsmanagements um. IT-Systeme, die zugehörigen IT-Prozesse und sonstigen Bestandteile des Informationsverbunds müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige
Standards abzustellen.
Für IT-Risiken sind angemessene Überwachungs- und Steuerungsprozesse einzurichten, die insbesondere die Festlegung von IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleitete Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung entsprechender Maßnahmen zur Risikobehandlung und -minderung umfassen.
Anforderungen der ZAIT an das Auslagerungs-Controlling
Eine Auslagerung liegt vor, wenn ein anderes Unternehmen mit der Wahrnehmung von IT-Aktivitäten oder IT-Prozessen, die für die Durchführung von Zahlungsdiensten, E-Geld-Geschäften oder sonstigen institutstypischen
Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden.
Zivilrechtliche Gestaltungen und Vereinbarungen können dabei das Vorliegen einer Auslagerung nicht von vornherein ausschließen.
Das Institut muss anhand einer Risikoanalyse vorab bewerten, welche Risiken mit einer Auslagerung von IT-Aktivitäten und IT-Prozessen bzw. dem Fremdbezug von IT-Dienstleistungen verbunden sind. Ausgehend von dieser Risikoanalyse ist eigenverantwortlich festzulegen, welche Auslagerungen von IT-Aktivitäten und IT-Prozessen unter Risikogesichtspunkten wesentlich sind (wesentliche Auslagerungen).
Diese ist auf der Grundlage von institutsweit bzw. gruppenweit einheitlichen Rahmenvorgaben sowohl regelmäßig als auch anlassbezogen durchzuführen.
Die Ergebnisse der Risikoanalyse sind in der Auslagerungs- und Risikosteuerung zu beachten. Die maßgeblichen Organisationseinheiten sind bei der Erstellung der Risikoanalyse einzubeziehen. Im Rahmen ihrer Aufgaben ist auch die Interne Revision zu beteiligen.
Management der Beziehungen mit Zahlungsdienstnutzern
Die nach § 53 ZAG geforderten Risikominderungsmaßnahmen zur Beherrschung der operationellen und sicherheitsrelevanten Risiken beinhalten auch Maßnahmen, mit denen die Zahlungsdienstnutzer für die Reduzierung, insbesondere von Betrugsrisiken, direkt adressiert werden. Dazu ist ein angemessenes Management der Beziehungen mit den Zahlungsdienstnutzern zu etablieren.
Betroffen sind insbesondere Kommunikationsprozesse zur Sensibilisierung der eigenen Zahlungsdienstnutzer für Risiken bei der Nutzung von Zahlungsdiensten. Die Sensibilisierung kann in Form allgemeiner Ansprachen
(Informationen auf der Web-Seite) oder bei Bedarf durch individuelle Ansprachen erfolgen.
Die Prozesse werden an die spezifische aktuelle Risiko- und Bedrohungslage angepasst und können sich in Bezug auf einzelne Zahlungsdienstnutzer unterscheiden.
Wir verwenden Cookies
Wir benötigen Ihre Zustimmung, bevor Sie unsere Website weiter besuchen können.Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten.Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung.Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung.Sie können Ihre Auswahl jederzeit unter Einstellungen widerrufen oder anpassen.Einige Services verarbeiten personenbezogene Daten in den USA. Mit Ihrer Einwilligung zur Nutzung dieser Services stimmen Sie auch der Verarbeitung Ihrer Daten in den USA gemäß Art. 49 (1) lit. a DSGVO zu. Das EuGH stuft die USA als Land mit unzureichendem Datenschutz nach EU-Standards ein. So besteht etwa das Risiko, dass US-Behörden personenbezogene Daten in Überwachungsprogrammen verarbeiten, ohne bestehende Klagemöglichkeit für Europäer.
Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten.Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung.Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung.Einige Services verarbeiten personenbezogene Daten in den USA. Mit Ihrer Einwilligung zur Nutzung dieser Services stimmen Sie auch der Verarbeitung Ihrer Daten in den USA gemäß Art. 49 (1) lit. a DSGVO zu. Das EuGH stuft die USA als Land mit unzureichendem Datenschutz nach EU-Standards ein. So besteht etwa das Risiko, dass US-Behörden personenbezogene Daten in Überwachungsprogrammen verarbeiten, ohne bestehende Klagemöglichkeit für Europäer.Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können Ihre Einwilligung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.