Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten

Basisdaten
Titel	Rundschreiben 11/2021 Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten
Kurztitel	Zahlungsdiensteaufsichtlichen Anforderungen an die IT
Abkürzung	ZAIT
Geltungsbereich	Bundesrepublik Deutschland
Ursprüngliche Fassung vom	16. August 2021
Letzte Neufassung vom	16. August 2021
Ende der Gültigkeit	16. Januar 2025

Die Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten, abgekürzt ZAIT, waren Verwaltungsanweisungen, die mit einem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und diesbezüglicher Anforderungen an die IT-Governance an deutsche Geld-Institute veröffentlicht wurden. Sie wurden von der BaFin mit dem Rundschreiben 11/2021 vom 16. August 2021 zur Konsultation veröffentlicht.

Um eine Doppelregulierung zu vermeiden, wurden die ZAIT zum 17. Januar 2025 zugunsten der Verordnung (EU) 2022/2554 (DORA) aufgehoben.^[1]

Inhalte

In den Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten formulierte die Aufsicht (BaFin) basierend auf § 1 Abs. 3 des Zahlungsdiensteaufsichtsgesetzes einen Rahmen für die technisch-organisatorische Ausstattung der Unternehmen – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement. Da die Zahlungsinstitute und E-Geld-Institute zunehmend IT-Dienstleistungen von Dritten beziehen, forderten die ZAIT nun beispielsweise vorab zwingend eine Risikoanalyse. Ebenso untersagten diese explizit, die Leitungsaufgaben der Geschäftsleitung auszulagern.

Ebenso forderten die ZAIT in Ziffer 12.1, dass in der Informationssicherheit mindestens Stand der Technik umgesetzt werden muss. Ebenso haben diese Institute auf folgende gängige Standards wie IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die internationalen Sicherheitsstandards ISO/IEC 270XX der International Organization for Standardization und der Payment Card Industry Data Security Standard (PCI-DSS) abzustellen.

Die ZAIT enthielten ebenso die Anforderungen aus der Europäische Bankenaufsicht (EBA)-Leitlinie (GL/2019/02) zu Auslagerungen sowie aus der EBA-Leitlinie (GL/2017/17) zu Sicherheitsmaßnahmen bezüglich der operationellen und sicherheitsrelevanten Risiken von Zahlungsdiensten.

Siehe auch

Weblinks

Konsultation 03/2021 - ZAIT; Konsultation eines geplanten Rundschreibens „Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten - ZAIT“ (Konsultation 03/2021) in der Fassung vom 12. April 2021

Rundschreiben 11/2021 (BA) - Zahlungsdiensteaufsichtliche Anforderungen an die IT (ZAIT) in der Fassung vom 16. August 2021

Einzelnachweise

↑ DORA kommt: Änderungen bei den aufsichtlichen Anforderungen an die IT. In: bafin.de. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), 10. Januar 2025, abgerufen am 20. Januar 2025.

[:2-1] DORA kommt: Änderungen bei den aufsichtlichen Anforderungen an die IT. In: bafin.de. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), 10. Januar 2025, abgerufen am 20. Januar 2025.

[1]