NIS2, DORA, BAIT und Co.: Die regulatorische Herausforderung für deutsche Banken

Die digitale Transformation hat die Finanzbranche revolutioniert und zugleich ihre Anfälligkeit für Cyberbedrohungen erhöht. Deutsche Banken sehen sich heute mit einem komplexen Regelwerk konfrontiert, das nicht nur auf nationaler Ebene, sondern auch auf EU-Ebene neue Anforderungen stellt. Dieser Artikel untersucht die Unterschiede zwischen der Network and Information Systems Directive 2 (NIS2) und dem Digital Operational Resilience Act (DORA) sowie die Auswirkungen dieser neuen Regelwerke auf deutsche Banken, insbesondere im Zusammenspiel mit bestehenden Vorschriften wie der Bankaufsichtlichen Anforderungen an die IT (BAIT).

NIS2 – Network and Information Systems Directive 2:

Die NIS2-Richtlinie, als Weiterentwicklung der ursprünglichen NIS-Richtlinie, setzt den Fokus auf die Cybersicherheit kritischer Sektoren, darunter auch der Finanzbereich. Sie erweitert die Anforderungen an die Meldepflicht von Sicherheitsvorfällen und zielt darauf ab, die Resilienz gegenüber Cyberbedrohungen zu stärken.

DORA – Digital Operational Resilience Act:

DORA hingegen ist ein spezifisches Regelwerk, das die operative Widerstandsfähigkeit von Finanzinstituten in den Mittelpunkt stellt. Neben der Cybersicherheit betont DORA die Wichtigkeit der Gesamtresilienz digitaler Prozesse, einschließlich des Risikomanagements und der Reaktionsfähigkeit auf digitale operative Vorfälle.

BAIT – Bankaufsichtliche Anforderungen an die IT:

Die BAIT ist eine nationale Regelung der deutschen Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Sie legt detaillierte Anforderungen an die IT-Systeme von Banken fest und behandelt Themen wie IT-Sicherheit, Governance und das Management von IT-Risiken.

Auswirkungen auf deutsche Banken:

  1. Erhöhte regulatorische Komplexität:
    • Die gleichzeitige Einhaltung von NIS2, DORA und BAIT bedeutet eine steigende regulatorische Komplexität für deutsche Banken, die ihre internen Prozesse und Sicherheitsmaßnahmen entsprechend anpassen müssen.
  2. Notwendigkeit umfassender Risikobetrachtung:
    • Banken müssen ihre Risikobetrachtungen erweitern, um nicht nur den traditionellen Finanzrisiken, sondern auch den wachsenden digitalen Risiken gerecht zu werden.
  3. Investitionen in Technologie und Schulungen:
    • Die Umsetzung der neuen Vorschriften erfordert beträchtliche Investitionen in moderne Technologien und die kontinuierliche Schulung von Mitarbeitern.
  4. Notwendigkeit einer integrierten Sicherheitsstrategie:
    • Banken sind gefordert, ihre Sicherheitsstrategien zu überdenken und integrierte Ansätze für Cyber- und operative Resilienz zu entwickeln, um den vielfältigen Anforderungen gerecht zu werden.

Fazit:

Die Einführung von NIS2 und DORA stellt deutsche Banken vor neue regulatorische Herausforderungen. In Kombination mit bestehenden Regelwerken wie der BAIT müssen Finanzinstitute ihre Sicherheitsinfrastrukturen stärken, um den erhöhten Anforderungen an Cyber- und operative Resilienz gerecht zu werden. Eine ganzheitliche und proaktive Herangehensweise wird entscheidend sein, um die Sicherheit und Stabilität des deutschen Finanzsystems in einer zunehmend digitalisierten Welt zu gewährleisten.

Disclaimer: Dieser Artikel wurde von Chat-GPT 3.5 geschrieben. Die Frage lautete: “Schreibe einen Artikel zum Unterschied zwischen NIS2 und DORA und die Auswirkungen bestehende Regelwerke wie die BAIT und die Regulatorik bei deutschen Banken”

BaFin plant Mitte 2017 die Veröffentlichung der BAIT: Geschäftsleitung wird mehr in die Pflicht genommen

Die IT-Prüfungen der BaFin in den Banken sind noch nicht zufriedenstellend. Letzte Woche wurde in Bonn eine “Konkretisierung der MaRisk durch ein Rundschreiben zu Bankaufsichtlichen Anforderungen an die IT (BAIT)” vorgestellt.

Die BAIT soll Mitte des Jahres 2017 veröffentlicht werden und das IT-Risikobewusstsein in den Instituten erhöhen. Darüber hinaus soll mehr Transparenz über die Erwartungshaltung der Aufsichtsbehörden geschaffen werden.

Die BaFin reagiert damit darauf, dass mit der Digitalisierung die Anzahl der schützenswerten Güter gewachsen ist. Nicht nur Geldvermögen und persönliche Daten, sondern inzwischen auch der Zugriff auf Dienstleistungen gehören inzwischen dazu.

Formell handelt es sich um ein Rundschreiben zur

  • Präzisierung von §25a Abs. 1 KWG und §25b KWG und einer
  • Konkretisierung der MaRisk mit einem analogen Aufbau und Verweisen.

Die Anforderungen der MaRisk und von gängigen Standards bleiben durch die BAIT unberührt. Sie beinhaltet die folgenden Themengebiete:

  1. IT-Strategie,
  2. IT-Governance,
  3. Informationsrisko-Management,
  4. Informationssicherheits-Management,
  5. Benutzerberechtigungs-Management,
  6. IT-Projekte und Anwendungsentwicklung,
  7. IT-Betrieb (inkl. Datensicherung) sowie
  8. Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen.

Insbesondere die Geschäftsführungen der Institute sollen mit diesem Rundschreiben weiter für die IT und deren Risiken bei einem unsachgemäßen Einsatz sensibilisiert werden. Ein “Zurücklehnen” oder das Prinzip der Hoffnung reicht bei zunehmender Digitalisierung und der verbundenen damit Öffnung der Prozesse nach Außen nicht mehr aus. Felix Hufeld, Präsident der BaFin hat es am Jahresanfang so formuliert: “Denn was heute als sicher gilt, kann morgen schon Einfallstor für Cyberangriffe sein. Wir fordern diese Sicherheit ein und verlangen von den Unternehmen, diese Sicherheit auch von ihren IT-Dienstleistern und Zulieferern einzufordern.

Für die Institute bedeutet es bereits heute, sich mit dem Entwurf auseinanderzusetzen. Er sollte nicht als weitere Regulierung gesehen werden. Vielmehr ist es eine Hilfestellung, Schäden durch mangelhaft eingesetzte IT zu vermeiden.

Einen guten Überblick bietet diese Präsentation der BaFin.