Notfallmanagement im Banken- und Versicherungsumfeld
Konkretere MaRisk/BAIT-Anforderungen
Öffentliche Konsultation - BaFin konkretisiert MaRisk/BAIT-Anforderungen
Klar ist, dass das Notfallmanagement seit der Ausbreitung von COVID-19 im März 2020 auch verstärkt in den Blick von Vorstand und Geschäftsführung gerückt ist. Klar ist auch, dass sich die Regulatoren, dort wo sie es noch nicht getan haben, stärker mit dem Thema Notfallmanagement befassen.
Durch die MaRisk/MaGo sowie die bankenaufsichtlichen bzw. versicherungsaufsichtlichen Anforderungen an die IT (BAIT/VAIT) hatte die BaFin bereits vor dem Ausbruch der Pandemie in Disziplinen wie dem Notfallmanagement, Cybersicherheitsmanagement und Lieferantenmanagement versucht, durch regulatorische Vorgaben, die Widerstandsfähigkeit von Finanzdienstleistern zu stärken.
Diese Vorgaben werden nun für das (IT-)Notfallmanagement innerhalb der Überarbeitung der 6. MaRisk-Novelle sowie der BAIT spezifiziert. Die entsprechenden Konsultationsentwürfe sind seit dem 26.10.2020 veröffentlicht.
Welche Herausforderungen ergeben sich aus den überarbeiteten BaFin-Anforderungen?
Aus dem überarbeiteten MaRisk-Kapitel AT 7.3 Notfallmanagement sowie dem vollständig neuen BAIT-Kapitel 10. IT-Notfallmanagement können zusammenfassend nachfolgende Handlungsbedarfe abgeleitet werden:
- Übergeordnet wird die Zusammenführung des Notfall- und IT-Notfallmanagements durch eine aufeinander abgestimmte Ausgestaltung der Ziele und Rahmenbedingungen hervorgehoben.
- Weiterhin wird für den Fall einer Auslagerung sowohl im Notfall- als auch IT-Notfallmanagement auf die Bedeutung aufeinander abgestimmter Notfallkonzepte eingegangen.
- Speziell im IT-Notfallmanagement werden generell weitere relevante Schnittstellen wie das Informationssicherheitsmanagement oder das Risikomanagement aufgeführt.
Das Thema Risikomanagement rückt dabei auch im Notfallmanagement unter mehreren Gesichtspunkten in den Fokus:
- Neben der Betrachtung der Auswirkungen von Prozessausfällen rückt die Analyse potenzieller Gefährdungen, die zu Prozessausfällen führen können, in den Fokus der Aufsicht. Risikoanalysen, wie beispielsweise im BSI 100-4 aufgeführt, stellen zukünftig einen Pflichtbestandteil eines Notfallmanagementsystems dar.
- Relevant wird dieser Aspekt auch vor dem Hintergrund, dass alle für das Finanzinstitut relevanten (Risiko-) Szenarien im Rahmen der Notfallvorsorge zu berücksichtigen sind. Im Hinblick auf die Häufigkeit und den Umfang der mindestens jährlichen Überprüfung der Notfallkonzepte hat sich das Finanzinstitut wiederum an seiner konkreten Gefährdungslage zu orientieren.
Zusammenfassend bedeutet dies, dass ein Institut nachweisen muss, dass die Notfallvorsorge einen Bezug zu realen Bedrohungen hat und die Bank diese auch institutsspezifisch berücksichtigt. So reicht ein pauschaler Notfallplan für das Szenario Mitarbeiterausfall voraussichtlich nicht aus, um alle Bedrohungen wie zum Beispiel Pandemien, Streik oder politische Unruhen gleichermaßen angemessen zu adressieren.
- Im IT-Notfallmanagement wird dieser Blick auf die für die Notfallvorsorge und die damit verbundenen relevanten Szenarien bzw. Risiken durch die Forderungen nach einem verpflichtenden Test eines Rechenzentrumsausfalls deutlich.
- Für das IT-Notfallmanagement wird zukünftig zudem ein belastbares IT-Testkonzept, das sowohl den Test einzelner IT-Systeme als auch entsprechender Systemverbünde umfasst, gefordert. Auch bei diesem Testkonzept wird die Fragestellung nach Art und Umfang primär durch eine institutsspezifische Betrachtung der Gefährdungslage zu lösen sein.
Daneben wird im IT-Notfallmanagement auf die aus der prüferischen Praxis bekannte Anforderung nach Notfallkonzepten für alle IT-Systeme, die zeitkritische Prozesse unterstützen, explizit eingegangen. Hierbei wird eine Transparenz bezüglich Geschäfts-, IT-Anwendungs- und IT-Infrastrukturkomponenten her- bzw. darzustellen sein.
Worin bestehen die nächsten Schritte?
Finanzinstitute werden nach der Veröffentlichung der 6. MaRisk-Novelle sowie der überarbeiteten BAIT vor der Herausforderung stehen, die ganzheitliche Perspektive auf das Thema Notfallmanagement und der damit verbundenen IT-Notfallmanagement-Disziplin umzusetzen. Neben der Berücksichtigung relevanter Schnittstellen rückt das Thema Risikomanagement in den Vordergrund. Weiterhin werden für das Thema IT-Notfallmanagement eine Herstellung der Abhängigkeiten von eingesetzten IT-Systemen, deren Wiederherstellungspriorisierung sowie die Ausarbeitung einer angemessene Testkonzeption entscheidend.
Gerne treten wir bezüglich der genannten Herausforderungen mit Ihnen in die Diskussion und klären die für Sie relevanten Fragestellungen. Wir verfügen über langjährige Projekterfahrungen im Hinblick auf die Ausgestaltung, Implementierung, Verbesserung und Prüfung von Krisen und (IT-) Notfallmanagementsystemen. Zur ersten Orientierung führen wir gerne Notfallmanagement-Assessments bzw. GAP-Analysen durch und zeigen erste Quick-Wins auf.