RS 11/2021 Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten - Themenbereich: Auslagerungen und sonstiger ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
RS 11/2021 Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT) Themenbereich: Auslagerungen und sonstiger Fremdbezug von IT- Dienstleistungen nach § 26 Zahlungsdiensteaufsichtsgesetz (ZAG) August 2021
Agenda und Einleitung
1 Überblick Abschnitt 9 ZAIT
2 Fokus der aufsichtsrechtlichen Beurteilung
3 PwC Handlungsempfehlungen
4 Ihre Ansprechpartner
Mit dem am 16. August 2021 veröffentlichten Rundschreiben Die ZAIT orientieren sich an den (IT-) Anforderungen für
„Zahlungsdiensteaufsichtliche Anforderungen an die IT von Banken (MaRisk, BAIT) und beinhalten insbesondere die EBA-
Zahlungs- und E-Geld-Instituten (ZAIT)“ konkretisiert die BaFin Anforderungen aus den EBA-Leitlinien für IKT und
erstmalig die aufsichtlichen Anforderungen speziell für diese Institute Sicherheitsrisikomanagement (GL/2017/17) sowie den EBA-
auch in Bezug von Leistungsbezügen von Dritten. Die Vorgaben Leitlinien zu Auslagerungen (GL 2019/02). Sie konkretisieren und
betreffen alle Zahlungs- und E-Geld-Institute im Sinne von § 1 Absatz interpretieren primär in Abschnitt 9 die maßgebenden
3 ZAG. Sie finden wie erwartet unmittelbar nach aufsichtsrechtlichen Anforderungen nach § 26 ZAG für
Veröffentlichung Anwendung, soweit keine Übergangsfristen aus Auslagerungen und sonstige Fremdbezüge von IT-
den EBA-Leitlinien maßgebend sind. Dienstleistungen. In Ihrem Anschreiben stellt die BaFin klar, dass
eine angemessene und wirksame Umsetzung der ZAIT Vorgaben
Nachfolgend informieren wir Sie zu den neuen ZAIT im den vorbenannten EBA-Leitlinien gleichsteht.
Themenbereich Dienstleistermanagement.
RS 11/2021 ZAIT - Dienstleistermanagement August 2021
PwC 2
1
Überblick Abschnitt 9 ZAIT
Erleichterungen Gruppen/Finanzverbünde Zulässigkeit (Ziffer 9.1 – 9.3)
(Ziffer 9.14) • Gewährleistung der Ordnungsmäßigkeit der
• Einrichtung eines Zentrales Auslagerungsmanagements Geschäftsorganisation nach § 27 ZAG
auf Gruppen- bzw. Verbundebene • Befugnis zur Leistungserbringung nach dem
• Zentrale Vorauswertung der Risikoberichterstattung Sitzland (z.B. Erlaubnis, Zulassung, Registrierung)
• Gemeinsame Notfallkonzepte • Keine Auslagerung von Leitungsaufgaben
Gruppen /
Finanz- Zulässigkeit
Steuerung & Überwachung (Ziffer 9.12, 9.13, verbünde Abgrenzung Auslagerung/sonstiger
9.15) Fremdbezug (Ziffer 9.4)
• Grds. Einrichtung eines zentralen • Software & Unterstützungsleistungen
Steuerung Abgrenzung • Betrieb der Software
Auslagerungsbeauftragten
• Reportinganforderungen ZAIT Risikoanalyse (Ziffer 9.5 – 9.7)
• Führung Auslagerungsregister
Weiter-
Risiko-
• Berücksichtigung Erfassung wesentlicher Risiken
verlagerung inkl. Risiken aus Weiterverlagerungen &
analyse
Weiterverlagerungen (Ziffer 9.11) Risikokonzentrationen
• Voraussetzungen für zulässige • Instituts-/gruppenweit einheitliche Rahmenvorgaben
Weiterverlagerungen inkl. Vorgaben an die • Regelmäßige u. anlassbezogene Durchführung
Beendigung Vertrag
Steuerung und Überwachung
Auslagerungsvertrag (Ziffer 9.8, 9.10)
Beendigung von wesentlichen • Ableitung vertraglicher Anforderungen aus
Auslagerungen (Ziffer 9.9) Ergebnissen der Risikoanalyse, z.B. in Bezug auf
Informationsrisiko-, Informationssicherheit-,
• Festlegung von Handlungsoptionen und
Notfallmanagement, Subunternehmer, Informations-
Ausstiegsprozessen bei Beendigung
Prüfungs- und Kontrollrechte
RS 11/2021 ZAIT - Dienstleistermanagement August 2021
PwC 3
2
Fokus der aufsichtsrechtlichen Beurteilung (I/II)
Governance Risikoanalyse Vertragsgestaltung
Der notwendige
Handlungsbedarf ist
davon abhängig, in
Einrichtung der Funktion eines Erforderliche Berücksichtigung der Abgeleitet aus den Ergebnissen der
Auslagerungsbeauftragten mit Ergebnisse der Risikoanalyse vor Risikoanalyse u.a. Vereinbarungen zum
welchem Umfang, mit
unmittelbarer Unterstellung an die Auslagerungsentscheidung und Informationsrisikomanagement, welchem Risikogehalt
Geschäftsleitung, ggf. auch Ansiedlung in Beachtung der Ergebnisse in der Informationssicherheitsmanagement, und welcher
einer Einheit. Abgestufte Anforderungen Auslagerungs- und Risikosteuerung. Notfallmanagement und IT-Betrieb,
für weniger komplexe Institute. Ausfall IT-Dienstleister. Komplexität Institute
Leistungen von Dritten
Einrichtung eines zentralen Berücksichtigung institutsrelevanter Berücksichtigung allgemeiner vertraglicher beziehen. Eine weitere
Auslagerungsmanagements zur Aspekte inkl. Risikokonzentrationen (u.a. Anforderungen bei wesentlichen Rolle spielt auch der
Unterstützung des Schutzbedarf bei Datenübermittlung, Auslagerungen (u.a. Spezifikation,
Auslagerungsbeauftragten abhängig von Mehrfachinanspruchnahme Dienstleister, Weisungs-, Informations- Zugangs-, aktuelle Reifegrad in
Art, Umfang und Komplexität politische Risiken, Interessenkonflikte Kontroll- und Prüfungsrechte und, SLA und Bezug auf ein
Auslagerungsaktivitäten. Weiterverlagerungen). KPI, Weiterverlagerung, Datenschutz).
aufsichtskonformes
Festlegung der Wesentlichkeit
Dienstleister-
Berücksichtigung der zentralen Phasen Berücksichtigung von Standorten inkl. Ort
Phasen des Lebenszyklus von (auszulagernde IT-Aktivität oder IT- der Durchführung der Dienstleistung, management.
Auslagerungen in den Prozess) innerhalb der Prozesslandschaft. anwendbares Recht.
Organisationsrichtlinien von
Auslagerungen.
RS 11/2021 ZAIT - Dienstleistermanagement August 2021
PwC 4
2
Fokus der aufsichtsrechtlichen Beurteilung (II/II)
Erleichterungen für
Überwachung Auslagerungsregister Gruppen bei ZAG und
Finanzverbünden
Laufende Überwachung und regelmäßige Verpflichtung zur Führung eines aktuellen Möglichkeit der Einrichtung eines
Qualitätsbeurteilung der Leistungs- Auslagerungsregisters mit Informationen zentralen Auslagerungsmanagements auf
erbringung des Dienstleisters bei über alle Auslagerungsvereinbarungen. Gruppen- bzw. Finanzverbünde im Sinne Erforderlich ist eine
wesentlichen Auslagerungen anhand Inhaltliche Mindestanforderungen richten von § 1 Abs. 6 ZAG bei Beachtung enge Verzahnung
vorzuhaltender Kriterien (z.B. KPI, KRI). sich nach Tz. 54/55 EBA Leitlinien zu bestimmter Anforderungen.
Auslagerungen (EBA/GL2019/02). zwischen
identifizierten Risiken
Dokumentation der laufenden Steuerung Erfassung aller wesentlichen und Inanspruchnahme von Erleichterungen bei und abgeleiteten
und Überwachung von wesentlichen unwesentlichen Vereinbarungen, gruppen- und verbundinternen Steuerungs-
Auslagerungen. einschließlich der Vereinbarungen Auslagerungen (z.B. risikomindernde
innerhalb einer Institutsgruppe oder eines Berücksichtigung eines einheitlichen und maßnahmen.
Finanzverbundes. umfassenden Risikomanagements oder
bei gemeinsamen Notfallkonzepten)
Berücksichtigung von Definition von Kriterien zur Festlegung der Erweiterung der Möglichkeiten der
Weiterverlagerungen inkl. Wesentlichkeit von teilweisen vollständigen Auslagerung des
Weiterverlagerungsketten bei der Weiterverlagerungen auf Basis von Risikocontrollings, der Compliance und der
Überwachung von Auslagerungen. Risikoanalysen und ergebnisabhängige internen Revision auf Schwesterinstitute
Aufnahme in das Auslagerungsregister. innerhalb einer Institutsgruppe bei
Vorliegen bestimmter Voraussetzungen.
RS 11/2021 ZAIT - Dienstleistermanagement August 2021
PwC 53
PwC Handlungsempfehlungen
Überprüfung des bisherigen Überprüfung einer
Auslagerungsprozesses angemessenen Verzahnung von
Der Auslagerungsprozess ist Risikoanalyse und Ableitung
insbesondere zu überprüfen in Bezug von Steuerungsmaßnahmen
auf Berücksichtigung strategischer Die Risikoanalyse inkl. der aus den
Vorgaben, Aufbau- und Ergebnissen abzuleitenden
Ablauforganisation, Steuerungsmaßnahmen ist eines der
Klassifizierungsverfahren, wichtigsten Steuerungselemente.
Risikoanalyse, Einstufung
Wesentlichkeit, Dokumentation.
Auslagerungs- Steuerung und Auslagerungs-
GAP-Analyse Vertrag
prozess Überwachung register
Erstellung einer GAP-Analyse Zügige Herstellung der Implementierung
Abgleich der bisher erfolgten Aufsichtskonformität von Auslagerungsregister
Umsetzung nach § 26 ZAG/ZAIT Auslagerungsverträgen Die Erstellung eines aktuellen
anhand einer GAP-Analyse um Aufsichtskonforme Verträge sind das Auslagerungsregisters mit Informationen
priorisiert erforderliche Themenfelder Fundament einer aufsichtskonformen über alle Auslagerungsvereinbarungen
zu identifizieren. Dienstleistersteuerung. inkl. als wesentlich eingestufter
Vertragsanpassungen benötigen Weiterverlagerungen (ganz oder
ausreichenden Zeitvorlauf. teilweise) ist bis zum 31.12.2021
umzusetzen.
RS 11/2021 ZAIT - Dienstleistermanagement August 2021
PwC 64
Ihre Ansprechpartner zum Dienstleistermanagement
Region Nord Region Mitte
Jakob Böhmer Christian Konradt
Manager Manager
Tel.: +49 511 5357 5108 Tel.: +49 69 9585 2232
jakob.boehmer@pwc.com Konradt.christian@pwc.com
Region West
Karsten Wilop Philipp Schulz
Partner Senior Manager
Tel.: +49 211 981-1931 Tel.: +49 211 981 2296
karsten.wilop@pwc.com philipp.schulz@pwc.com
Region Süd
Christine Wicker Felix van Hoffs
Manager Senior Manager
Tel.: +49 711 25034 5131 Tel.: +49 89 5790 6204
Christine.Wicker@pwc.com felix.van.hoffs@pwc.com
RS 11/2021 ZAIT - Dienstleistermanagement August 2021
PwC 7Vielen Dank für Ihr Interesse. pwc.de © 2021 PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft. Alle Rechte vorbehalten. "PwC" bezeichnet in diesem Dokument die PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft, die eine Mitgliedsgesellschaft der PricewaterhouseCoopers International Limited (PwCIL) ist. Jede der Mitgliedsgesellschaften der PwCIL ist eine rechtlich selbstständige Gesellschaft.
Sie können auch lesen
