Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten

Verwaltungsanweisungen

Die Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten, abgekürzt ZAIT, sind Verwaltungsanweisungen, die mit einem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und diesbezüglicher Anforderungen an die IT-Governance an deutsche Geld-Institute veröffentlicht wurden. Sie wurden von der BaFin mit dem Rundschreiben 11/2021 vom 16. August 2021 zur Konsultation veröffentlicht.

Basisdaten
Titel Rundschreiben 11/2021 Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten
Kurztitel Zahlungsdiensteaufsichtlichen Anforderungen an die IT
Abkürzung ZAIT
Geltungsbereich Bundesrepublik Deutschland
Ursprüngliche Fassung vom 16. August 2021
Letzte Neufassung vom 16. August 2021

In den Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten formuliert die Aufsicht (BaFin) basierend auf § 1 Abs. 3 des Zahlungsdiensteaufsichtsgesetzes einen Rahmen für die technisch-organisatorische Ausstattung der Unternehmen – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement. Da die Zahlungsinstitute und E-Geld-Institute zunehmend IT-Dienstleistungen von Dritten beziehen, fordert die ZAIT nun beispielsweise vorab zwingend eine Risikoanalyse. Ebenso untersagt diese explizit, die Leitungsaufgaben der Geschäftsleitung auszulagern.

Ebenso fordert nun die ZAIT § 12.1 in der Informationssicherheit mindestens Stand der Technik umzusetzen. Ebenso haben diese Institute auf folgende gängige Standards wie IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die internationalen Sicherheitsstandards ISO/IEC 270XX der International Organization for Standardization und der Payment Card Industry Data Security Standard (PCI-DSS) abzustellen.

Die ZAIT enthält ebenso die Anforderungen aus der Europäische Bankenaufsicht (EBA)-Leitlinie (GL/2019/02) zu Auslagerungen sowie aus der EBA-Leitlinie (GL/2017/17) zu Sicherheitsmaßnahmen bezüglich der operationellen und sicherheitsrelevanten Risiken von Zahlungsdiensten.

Siehe auch

Bearbeiten
Bearbeiten