Expertise | IT-Sicherheit

IT-Sicherheit

Ihr Ansprechpartner:
Dr. Jens Wolff

Ihre Ansprechpartnerin:
Claire Louis

Anforderungen der BaFin

Ziel ist es, die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von IT-Systemen und Daten sicherzustellen.

Anforderungen der BaFin an Unternehmen

Die wichtigsten Anforderungen lassen sich wie folgt zusammenfassen:

Informationssicherheit

  • Einrichtung eines Informationssicherheitsmanagementsystems (ISMS)
  • Benennung eines Informationssicherheitsbeauftragten
  • Regelmäßige Risikobewertungen und Schutzbedarfsanalysen

IT-Governance und Strategie

  • Klare IT-Strategie im Einklang mit der Geschäftsstrategie
  • Definition von Verantwortlichkeiten und Zuständigkeiten
  • Einbindung der Geschäftsleitung in IT-Risikoentscheidungen

IT-Betrieb und technische Sicherheit

  • Sicherstellung eines störungsfreien IT-Betriebs
  • Einsatz von aktuellen Sicherheitsmaßnahmen (z. B. Firewalls, Zugriffskontrollen)
  • Dokumentation und Überwachung aller IT-Prozesse

Auslagerungen und Dienstleister

  • Prüfung und Kontrolle von IT-Dienstleistern
  • Abschluss von Auslagerungsverträgen mit klaren Sicherheitsvorgaben
  • Durchführung von Kontrollen und Audits

Notfallmanagement

  • Entwicklung eines Notfallkonzepts inkl. Wiederanlaufplänen
  • Durchführung regelmäßiger Tests und Übungen
  • Sicherstellung der Datenwiederherstellung

Monitoring und Reporting

  • Einrichtung von Überwachungsmechanismen für IT-Systeme
  • Meldung von IT-Störungen und Sicherheitsvorfällen an die BaFin
  • Erstellung von Berichten und Nachweisen zur IT-Sicherheit

FAQs zur IT-Sicherheit und BaFin-Anforderungen

Alle Institute, die unter der Aufsicht der BaFin stehen – insbesondere Banken, Finanzdienstleister, Zahlungsinstitute und E-Geld-Institute.

Das BAIT („Bankaufsichtliche Anforderungen an die IT“) konkretisiert die Erwartungen der BaFin an die IT-Sicherheit und -Organisation von Instituten. Es ist ein verbindlicher Rahmen für die IT-Governance und das Sicherheitsmanagement .

Ja, laut BAIT ist ein Informationssicherheitsbeauftragter mit klar definierten Aufgaben und Berichtspflichten erforderlich.

Die Geschäftsleitung trägt die Gesamtverantwortung für die IT-Sicherheit und muss aktiv in strategische Entscheidungen eingebunden sein.

Die BaFin kann aufsichtsrechtliche Maßnahmen ergreifen – z. B. Anordnungen, Bußgelder oder im Extremfall die Rücknahme der Erlaubnis.

Risikobewertungen müssen regelmäßig und anlassbezogen durchgeführt werden – z. B. bei Systemänderungen oder neuen Bedrohungslagen.

Ja. Unternehmen müssen sicherstellen, dass auch ausgelagerte IT-Dienstleistungen den Anforderungen der BaFin entsprechen. Dazu gehören vertragliche Regelungen, Kontrollrechte und regelmäßige Audits.

Ein spezialisierter Anwalt berät bei:

  • der rechtssicheren Umsetzung der BAIT-Vorgaben
  • der Vertragsgestaltung mit IT-Dienstleistern
  • der Kommunikation mit der BaFin bei Prüfungen oder Vorfällen
  • der Verteidigung bei aufsichtsrechtlichen Maßnahmen

Nutzungsbedingungen

Datenschutz

Impressum

Cookie-Einstellungen

Schmitz-DuMont ∣ Wolff
Rechtsanwälte ∣ Partnerschaft mbB
Unter Goldschmied 6

Domkontor
50667 Köln

E-Mail: info@sdmw.de

Tel.: +49 (0)221 888248-0
Fax: +49 (0)221 888248-99

Quick Links
Expertise
Philosophie
Blog