Bankenaufsichtliche Anforderungen an die IT (BAIT)

Im Frühjahr 2017 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die  „Bankenaufsichtlichen Anforderungen an die IT“ (BAIT) herausgegeben. Diese konkretisieren die IT-spezifischen Ausprägungen der Mindestanforderungen an das Risikomanagement (MaRisk).

Zentrales Ziel der BAIT ist es, dem Management der Institute einen flexiblen und praxisnahen Rahmen für die Ausgestaltung der Informationstechnik der Kreditinstitute, insbesondere auch für das Management der IT-Ressourcen und für das IT-Risikomanagement vorzugeben. Dabei sind die Anforderungen prinzipienorientiert gestellt und nach Regelungstiefe und -umfang nicht abschließender Natur.

Neben den technischen Anforderungen an IT-Systeme und IT-Prozesse sind auch weitere Funktionen in den Kreditinstituten, die primär nicht der IT zugeordnet werden, von den Anforderungen der BAIT betroffen, wie z.B. das Risikomanagement, der Einkauf oder die Compliance- und Governance-Funktionen der Bank.

So fordert die Bankenaufsicht, dass folgende Funktionen qualitativ angemessen mit Personal ausgestattet sind:

• Informationsrisikomanagement
• Informationssicherheitsmanagement
• IT-Betrieb
• Anwendungsentwicklung

Dieses bedeutet, dass die Mitarbeiter in diesen Funktionen ihren Aufgaben entsprechend qualifiziert und weitergebildet sind.