Die ZAIT kommt: Aufsicht stellt IT-Anforderungen an Zahlungsdiensteanbieter

Zahlungsanbieter im Fokus der Aufsicht

Neue ZAIT-Regeln zur IT-Sicherheit verlangen Risiko- und Informationsmanagement

E-Geld-Institute, Fintechs für den Zahlungsverkehr, Anbieter von Ratenkauffinanzierungen und Experten für innovative Bezahllösungen: Sie alle müssen sich umstellen. Denn seit Mitte August 2021 gelten „Zahlungsdiensteaufsichtliche Anforderungen an die IT“, kurz ZAIT genannt. Seitdem fallen die genannten Anbieter von Zahlungsverkehrslösungen unter eine neue Form der Finanzmarktregulierung, viele von ihnen zum ersten Mal.

Umfassende Regeln zu Informationstechnik und Cybersicherheit

In einem Rundschreiben vom 16. August 2021 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlicht, welche Anforderungen an eine ordnungsgemäße Geschäftsführung Zahlungs- und E-Geld-Institute hinsichtlich Informationstechnik und Cybersicherheit beachten müssen. Mehr als 80 Anbieter fallen nach dem Zahlungsdiensteaufsichtsgesetz (ZAG) unter die neuen Regeln. Neben E-Geld-Geschäften und Finanztransfers gehören dazu auch Zahlungsauslöse- und Kontoinformationsdienste.

Ganz neu sind die Regeln nicht. Sie konkretisieren vielmehr die IT-Anforderungen aus dem Zahlungsdiensteaufsichtsgesetz (ZAG). Außerdem greifen sie die Leitlinien der europäischen Aufsicht European Banking Authority (EBA) zum Management von Informations- und Kommunikationstechnologie- und Sicherheitsrisiken sowie zum Outsourcing auf.

Verbraucherschutz und Finanzmarktstabilität im Blick

Mit der Regulierung will die BaFin auch bei kleineren Finanzanbietern den Verbraucherschutz stärken und die Finanzmarktstabilität sichern. So verwenden viele der Anbieter für ihre Dienste die Kontozugangsdaten von Nutzer:innen. Hierfür sowie für die Speicherung und technische Verarbeitung der Daten und alle damit verbundenen Prozesse gelten strenge Anforderungen.

Informationsrisiken und Cybersecurity rücken bei allen Finanzdienstleistern stärker in den Vordergrund. Die ZAIT ergänzen ein umfassendes Regulierungspaket. Denn die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) wurden zeitgleich in der finalen Fassung vorgelegt, genau wie die „Mindestanforderungen an das Risikomanagement“ (MaRisk). Die entsprechenden Vorgaben für Versicherungsunternehmen – VAIT – wurde zeitgleich im Entwurf veröffentlich und sind im März 2022 in Kraft getreten, die Vorgaben für Kapitalverwalter – KAIT– sind noch in der bisherigen Version aus 2019.

Einheitlicher Rahmen umfasst innovative Technologien

Mit dem Regelkatalog für die IT bei Finanzdienstleistern schafft die Aufsicht einen einheitlichen Rahmen für Kreditinstitute, Vermögensverwalter, Versicherungen sowie Zahlungs- und E-Geld-Institute. Cloud-Services und Chatbots, der Einsatz von künstlicher Intelligenz (KI) und Blockchain, Prozessautomatisierung und Big Data sind nur einige der technologischen Schlagwörter für Prozesse, die in der Finanzindustrie zunehmend eingesetzt werden. Diese Trends eröffnen zwar weitere Chancen bei der Wertschöpfung. Die Aufsichtsbehörden wollen sie jedoch einheitlich zu allen anderen Marktteilnehmern im Finanzsektor durch diese zusätzliche Regulierung abgesichert wissen.

Aufgrund der sehr unterschiedlichen Geschäftsmodelle und Größenordnungen in diesem Bereich wird verstärkt auf das Proportionalitätsprinzip geschaut. Maßnahmen zur Unternehmenssteuerung und zu Kontrollmechanismen orientieren sich an der Risikosituation des Zahlungsinstituts, beispielsweise an Art, Umfang und Risiken der erbrachten Zahlungsdienste sowie der Institutsgröße. Anders gesagt: Die Vorgaben für ein junges Fintech, das Nutzerdaten in der Cloud speichert, sind längst nicht so umfänglich und komplex wie für ein global tätiges Institut, das Privat- und Firmenkunden betreut und Investmentbanking anbietet. Wichtig jedoch ist zu verstehen, dass alle Anforderungen umzusetzen sind, dies aber entsprechend dem Proportionalitätsprinzip in z.B. geringerer Komplexität.

Keine Übergangsfrist – baldige Aufsichtsprüfungen möglich

Unterschätzen sollten die Zahlungs- und E-Geld-Anbieter die Anforderungen aber nicht. Denn die Regeln bringen zahlreiche Veränderungen mit sich. Die Zahlungsverkehrsexperten müssen nicht nur ein umfassendes Risikomanagement aufsetzen, sie müssen dieses im Zweifel auch den Aufsehern präsentieren. Dazu sind dokumentierte und auf dieser Basis auch gelebte Prozesse nachzuweisen. Ebenso ist erforderlich, dass sie die eigenen Dienstleister im Sinne der Regeln überprüfen und zertifizieren. Die Sicherheitsvorgaben fallen dabei deutlich detaillierter aus als in der Vergangenheit.

Hinzu kommt, dass den von der Regulierung erfassten Instituten keine Übergangsfrist bleibt. Die ZAIT gelten bereits seit der Veröffentlichung im August 2021. Damit werden auch Prüfungen zum Stand der Umsetzung durch die BaFin möglich und immer wahrscheinlicher, da diese nun seit über einem halben Jahr gelten.

Anbieter haften für Sicherheit ihrer Dienstleister

Bei der ZAIT-Umsetzung geht es zunächst um eine Bestandsaufnahme. Institute sollten sich daher einen strukturierten Überblick über die neuen Anforderungen verschaffen und gleichzeitig prüfen, ob sie bekannte Regelungen in der Vergangenheit ausreichend umgesetzt haben. Daten, die gespeichert werden, Dienstleister, deren Sicherheit nachgewiesen werden muss, interne Prozessschritte, die Identitäten und Rechte festlegen: Das sind Aufgaben, die zu berücksichtigen sind.

Darauf aufbauend müssen ein detailliertes Risikomanagement und ein Sicherheitssystem geplant werden. Beide sollten nicht nur bestehende Lücken schließen, sondern auch berücksichtigen, dass künftige Regulierungsanpassungen rasch und effizient eingearbeitet werden können. Die Erfahrungen mit der Umsetzung der BAIT, VAIT und KAIT zeigen: eine frühzeitige und proaktive Berücksichtigung der Compliance Anforderungen in die Digitalisierungsvorhaben ist deutlich kosteneffizienter als die reaktive und prüfungsinduzierte Umsetzung von bereits festgestellten Mängeln.

Aufseher setzen zahlreiche Schwerpunkte

An der Struktur der Regulierung lässt sich ableiten, worauf es den Aufsichtsbehörden ankommt: Strategie und Governance der Informationstechnologie stehen am Anfang. Diese Aspekte sollten umfassend durchdacht sein. Selbst wenn die Umsetzung noch nicht komplett abgeschlossen ist, nehmen die Regulierer positiv zur Kenntnis, dass ein Anbieter die Bandbreite bestehender Handlungsbedarfe nachweislich im Blick hat und zielgerichtet bearbeitet, z.B. entlang einer festgelegten Roadmap.

Genauso entscheidend ist es, die richtigen Managementprozesse aufzusetzen. Sie werden in den Kapiteln der ZAIT unter Informationssicherheits- und -risikomanagement abgehandelt. Die technische Umsetzung wird aufgeschlüsselt in operative Informationssicherheit, das Identitäts- und Rechtemanagement, IT-Projekte und Anwendungsentwicklung, den IT-Betrieb sowie das Notfallmanagement. Nicht zu vernachlässigen: das Auslagerungsmanagement. Mit diesen Vorgaben soll Kontinuität, Widerstandsfähigkeit und Transparenz sichergestellt werden, selbst wenn es zu einem Zwischenfall käme.

Banken und Versicherungen können Vorlagen bieten für Umsetzung

Schließlich wird die gesamte Wertschöpfungskette durchleuchtet – von der Auslagerung und dem Fremdbezug von IT-Dienstleistungen bis zum Management der Beziehungen mit Zahlungsdienstnutzenden, also den Kundinnen und Kunden. Viele Institute nutzen heute Cloud-Anbieter, um Geschäftsprozesse abzuwickeln, Daten zu speichern oder flexibel Kapazitäten zur Verfügung zu haben. Die damit verbundenen Risiken muss ein Institut bewerten und entsprechende Maßnahmen vorsehen, bevor es einen Dienstleister beauftragt. Denn aufsichtsrechtlich bleibt es für sämtliche ausgelagerten Schritte verantwortlich.

Für die Umsetzung lässt sich vieles lernen von Kreditinstituten, Versicherungskonzernen und Vermögensberatern, die sich schon deutlich länger mit vergleichbaren Sicherheitsvorgaben und Prüfungen seitens der Aufseher beschäftigen. Ihre regulatorischen Ansätze können – unterstützt durch spezialisierte Berater – entsprechend angepasst als Vorlage für Zahlungs- und E-Geld-Institute dienen.