FISG: Die Bankenaufsicht nimmt die IT-Dienstleister ins Visier

FISG: IT-Dienstleister im Visier

So bereiten sich IT-Dienstleister von Banken auf BaFin-Prüfungen vor

Keyfacts:

  • Mit dem FISG hat die Finanzaufsicht direkten Zugang zu wesentlichen IT-Dienstleistern von Banken erhalten.
  • Ziel ist die Stärkung der Integrität und Resilienz des Finanzmarkts.
  • Neben Banken müssen jetzt auch ihre IT-Dienstleister auf BaFin-Prüfungen vorbereitet sein – und verfügen bislang kaum über Erfahrungen damit.

Was genau bedeutet es, unter die MaRisk (Mindestanforderungen an das Risikomanagement) oder die BAIT (Bankaufsichtliche Anforderungen an die IT) zu fallen? Regulatorische Anforderungen, die für Banken seit Jahren zum Alltag gehören, kommen nun auch direkt auf die IT-Dienstleister der Institute zu – inklusive entsprechender Vor-Ort-Prüfungen (On-site Inspections). Hintergrund ist das FISG – das Finanzintegritätsstärkungsgesetz. Es soll die Widerstandsfähigkeit der Finanzmarktunternehmen und der ihnen anvertrauten Vermögenswerte stärken.

Mit dem seit Anfang des Jahres in vollem Umfang geltenden FISG erhält die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) neue Prüfungsbefugnisse, die über die Grenzen der Finanzunternehmen hinausgehen. Die Aufsicht nimmt nun auch diejenigen Unternehmen in den Blick, „auf die Banken wesentliche Prozesse und Aktivitäten auslagern“ – für sie gelten nun „erweiterte Anordnungsbefugnisse“. Auf diese „Auslagerungsunternehmen“ kann die BaFin jetzt „unmittelbar zugreifen, wenn sie einen Missstand vermeiden oder beheben“ will. Vor allem auf Dienstleister, die viel für Banken tätig sind, kommen damit bedeutende zusätzliche Anforderungen zu. Konkret formuliert: Sie müssen künftig die Türen öffnen, wenn die Aufsicht davorsteht.

IT-Dienstleister haben meist keine Erfahrungen mit Banken-Regulatorik

Die Herausforderung: Die Service-Provider müssen ein Verständnis der zentralen regulatorischen Anforderungen und Standards aus dem Bankenbereich entwickeln. Damit hatten die meisten bislang kaum oder keine Berührungen – und mit entsprechenden Prüfungen haben sie bislang keine Erfahrungen.

Genau formuliert sind die Anforderungen im Gesetz bislang nicht – es sind keine Konkretisierungen durch die Aufsicht bekannt. Hier schließt sich aber der Kreis zu den eingangs erwähnten MaRisk und den BAIT. Denn die möglichen Anforderungen lassen sich aus der Praxis im Umgang mit diesen Regelwerken ableiten.

Was ist ein Missstand – und was umfasst die Prüfung?

Was genau würde zum Beispiel als „Missstand“ eingestuft, der eine Prüfung nach sich ziehen kann? Missstände oder Verstöße können zum Beispiel interne und externe Prüfungsberichte bei den Banken nahelegen, die Mängel bei den Dienstleistern oder an Behörden gemeldete Vorfälle enthalten (nach IT-Sicherheitsgesetz oder Datenschutzgrundverordnung, also im Bereich Informationssicherheit oder Datenschutz).

Erfahrungsgemäß zählen dann Aspekte des Informationssicherheits- und Informationsrisikomanagements in den Prüfungsumfang hinein, ebenso wie Angaben zur Organisation des Outsourcings und zum Notfallmanagement.

Wenn die BaFin vor der Tür steht…bleibt wenig Zeit

Eine rechtzeitige und detaillierte Vorbereitung und Begleitung solcher Prüfungen sind erforderlich, um die teils engen zeitlichen Vorgaben zu erfüllen. Zahlreiche Unterlagen mit Daten müssen nach Anforderung fristgerecht eingereicht werden. Nach der Ankündigung einer Prüfung bleiben in der Regel zwei Wochen Zeit für die erste Unterlagenlieferung. Und Anforderungen oder Rückfragen während der Prüfung sind in der Regel binnen 24 Stunden zu bedienen, so unsere Erfahrung aus Prüfverfahren bei Finanzinstituten. Bei Fristversäumnis wird außerdem von einer Fehlanzeige ausgegangen, was für Unternehmen zu unangenehmen Konsequenzen führen kann.

Unternehmen tun daher gut daran zu prüfen, ob sie betroffen sind. Lautet die Antwort Ja, sollten sie daran arbeiten, die benötigten Informationen griffbereit vorzuhalten und ihre Qualität zu sichern, bevor die Uhr Richtung Abgabefrist zu ticken beginnt.

Prüfungsbüro als Schaltzentrale – Proben sichern reibungslose Abläufe

Das Etablieren eines Prüfungsbüros im Unternehmen bietet sich an, um alle Informationen und Abläufe rund um eine IT-Aufsichtsprüfung zu bündeln und zu steuern. Auch Trainings und eine Vorab-Klärung der Verantwortlichkeiten für den Prüfungsfall bieten sich an.

Ein schlagkräftiges Team mit reibungslosen Abläufen ist die Voraussetzung für eine erfolgreiche Prüfungsphase. Denn die Aufsicht prüft oft zu mehreren Schwerpunkten durch mehrere Prüfende, und das parallel über eine Dauer von mehreren Wochen.

Durch sorgfältige Vorbereitung und das Einüben der Prüfungsabläufe entstehen bei Mitarbeitenden Aufmerksamkeit und ein Bewusstsein für das Thema und eine Vertrautheit mit der Materie – so können mögliche Fehler leichter vermieden werden. Die besten Voraussetzungen für einen erfolgreichen Abschluss einer Prüfung, auch wenn ein Unternehmen noch wenige Erfahrungen damit sammeln konnte.