Die neuen ZAIT – umfassende IT-Regulatorik nun auch für Zahlungs- und E-Geld-Institute

Die „Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)“ wurden am 16. August 2021 durch die BaFin veröffentlicht. Dabei orientieren sich die neuen Anforderungen an den IT-Anforderungen für Banken (BAIT) und beinhalten auch die Kernelemente der EBA-Anforderungen (EBA-Leitlinien) für IKT und Sicherheitsrisikomanagement (GL/2017/17) sowie den EBA-Leitlinien zu Auslagerungen (GL 2019/02). In die ZAIT sind auch umfassende Erfahrungen aus den bereits zahlreich durchgeführten MaRisk/BAIT Sonderprüfungen im Bankenbereich mitaufgenommen worden, die auch bei den ZAIT-Anwendung finden. Viele der Verschärfungen und Erweiterungen gehen also auf konkrete Beobachtungen der Prüfer in den Instituten zurück und zeigen so eine eindeutige Erwartungshaltung an vorhandene Lösungen in den Instituten auf.

Die ZAIT finden unmittelbar nach Veröffentlichung Anwendung. Einer allgemeinen Übergangsfrist bedarf es nicht, weil sie bereits bestehende aufsichtliche Anforderungen ergänzend interpretieren. Gleichwohl finden die Übergangsfristen aus den EBA-Leitlinien entsprechend Anwendung.
Der Umsetzungsdruck ist insgesamt sehr hoch, zumal das Umsetzungspaket für einzelne Zahlungs- und E-Geld-Institute sehr umfassend ist und das IT-Thema eines der Schwerpunktthemen aktueller bankaufsichtlicher Sonderprüfungen darstellt. Weiterhin wird der Jahresabschlussprüfer bereits in der anstehenden Jahresabschluss-Prüfung die ZAIT-Umsetzungsstände prüfen.

Die ZAIT beinhalten signifikante Anforderungen an die IT-Organisation der Zahlungs- und E-Geld-Institute.
Da bei einer größeren Anzahl an schwerwiegenden Feststellungen Risikokapitalaufschläge, Einschränkungen der Geschäftstätigkeit bis hin zur Verwarnung oder Abberufung von Geschäftsleitern drohen, herrscht hier für jedes Institut sofortiger Handlungsbedarf!

Hier einige ausgewählte Beispiele:

  • In der IT-Strategie sind ab sofort „Abhängigkeiten zu Dritten“ besonders zu analysieren und mit Maßnahmen zu unterlegen. Dies betrifft sämtliche Auslagerungen!
  • Alle Maßnahmen der Informationssicherheit müssen ab sofort einem „gängigen Standard“ folgen. Dies ist i.d.R. die ISO Normenreihe 2700(X). Dieser fachliche/methodische Anspruch ist dann auch so im Institut umzusetzen!
  • Der im Hinblick auf die MaRisk Schutzziele regelmäßig zu analysierende Informationsverbund muss ab sofort um die Unterstützungsprozesse des Instituts sowie um IT-Prozesse und sämtliche Schnittstellen zu Dritten erweitert werden.
  • Die definierten Maßnahmen des Soll-Katalogs der Informationssicherheit sind ab sofort auf „Angemessenheit“ hin zu testen.
  • Das Institut muss sich ab sofort regelmäßig mit seiner „Bedrohungslage“ (z.B. ENISA) auseinandersetzen und diese zur methodischen Drehscheibe von risikosenkenden Maßnahmen machen.
  • Die Informationssicherheitsleitlinie ist um konkrete neue Elemente anzureichern. Hierbei wird ein starker Fokus auf physische Sicherheit gelegt.
  • Die neuen Anforderungen an die Handhabung von Informationssicherheitsvorfällen bedingen die Einführung eines umfassenden, automatisierten SIEM-Systems sowie die organisatorische Etablierung eines SOC/CERT Teams.
  • Die Anforderungen an das Identitäts- und Rechtemanagement wurden stark erweitert und konkretisiert. Diese lassen sich nur noch mit einem vollautomatisierten Verfahren aufsichtlich konform erfüllen!
  • Etc.

Webinar: Neue ZAIT + Vorstellung des Tools „ZAIT 2.0 Check“

Angesprochen werden die folgenden Zielgruppen: Compliance, Risk Management, IT-Bereich, IT-Sicherheit, Cybersecurity, Revision, ZAIT-Projektmanager, u.a., die mit der Umsetzung und Prüfung der ZAIT betraut sind.

zur kostenlosen Anmeldung

ZAIT Check – Für Geschäftsleiter der erste Schritt auf sicheren Boden!

Mit der Durchführung unseres ZAIT-Checks kann das Institut gegenüber Wirtschaftsprüfern und Aufsicht nachweisen, dass eine qualifizierte und systematische Auseinandersetzung mit den neuen Anforderungen stattgefunden hat und ermittelte Gaps zwischen Soll-Zustand und aktueller Ist-Situation abgeleitet wurden. Die Überführung dieser Gaps in eine strukturierte Maßnahmenplanung dient als Nachweis, dass die Geschäftsleitung ihrer Organisationsverantwortung nachkommt und nicht fahrlässig handelt. Im Übrigen gilt hier auch immer die Gesamthaftung der Geschäftsleitung, die ZAIT sind also keine „reine IT-Angelegenheit“!

Was macht unseren ZAIT Check so einzigartig ?

Umsetzungshinweise in Hülle und Fülle und dabei schlanke Form.

Unser ZAIT Check richtet sich primär an Institute kleinerer und mittlerer Größe, die aus Budget-, Zeit- oder Ressourcengründen kein umfassendes Vor-Ort Analyseprojekt durch Experten durchführen können oder möchten.

Diese Institute waren bislang auf sich allein gestellt, wenn es um die sachgerechte Analyse der oft komplexen Anforderungen ging und taten sich in der Vergangenheit oft schwer damit. Minderwertige, im Internet kursierende Checklisten sind in der konkreten Anwendung wenig hilfreich und stellen auch keinen aufsichtlich akzeptierten Referenzrahmen für eine derartige Analyse dar.

Eine zielgerichtete Analyse und Einordnung der neuen Anforderungen ist ohne fundierte Kenntnisse der eingeflossenen Erkenntnisse aus der aufsichtlichen Prüfungspraxis nur sehr eingeschränkt möglich. Ohne fundierte Expertenbegleitung geht es in der praktischen Umsetzung kaum!

Wir haben mit unserem ZAIT Check hierfür einen Weg gefunden, die oftmals abstrakt formulierten Anforderungen in eindeutige Prüffragen zu kleiden und diese mit viel Expertenwissen über konkrete aufsichtlich gewünschte Lösungsausprägungen derart anzureichern, dass die Fragen von Mitarbeitern in den Instituten auch sinnvoll eigenständig beantwortet werden können.  Unser eingeflossener Experteninput konkretisiert die abstrakten Anforderungen und gibt gleichzeitig die Struktur und Ausprägung von gewünschten Lösungen vor. Dies versetzt ein Institut in die Lage, auf Basis eines durch den ZAIT Check gewonnenen Verständnisses der aufsichtlich angestrebten Ausgestaltung der Lösungen, eigenständig an diesen in zielführender Weise zu arbeiten und die identifizierten Lücken zu schließen.

Der ZAIT Check ist somit eine notwendige und sinnvolle „Hilfe zur Selbsthilfe“.

 

Welche Leistungen werden abgedeckt? 

Ablauf des
Quick-Checks
  1. Kontaktaufnahme zu ORO
  2. Auswahl der Leistungen aus dem Modulkatalog
  3. Erhalt der Fragebögen zum Ausfüllen
  4. Selbsteinschätzung und Dateneingabe
  5. Datenauswertung von ORO
  6. Ergebnispräsentation

Bonus: Tracking-Tool
für nachfolgende Schritte

Unser Angebot umfasst alle 12 Kapitel der ZAIT. Aus diesen können Sie nach Ihrem individuellen Bedarf, abhängig von den Schwerpunkten Ihres Institutes, auswählen. Alle Leistungen können auch einzeln gebucht werden.

  • IT-Strategie
  • IT-Governance
  • Informationsrisikomanagement
  • Informationssicherheitsmanagement
  • Operative Informationssicherheit
  • Identitäts- und Rechtemanagement
  • IT-Projekte und Anwendungsentwicklung
  • IT-Betrieb
  • Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen
  • IT-Notfallmanagement
  • Kundenbeziehungen mit Zahlungsdienstnutzern
  • Kritische Infrastrukturen

Prüfer-Input und Best Practice auf Basis von Sonderprüfungen der Aufsicht überführt in einen Service zur Selbsteinschätzung bzgl. der Umsetzung der ZAIT!

Wir haben uns besondere Mühe gegeben, die Anforderungen der neuen ZAIT in sehr konkrete und beobachtbare Kriterien zu überführen. Dabei haben wir besonderes Augenmerk auf konkrete Evidenzen in Form von z.B. Dokumenten gelegt. Mit dieser Vorarbeit ist es für Ihre Experten im Haus möglich, eine eigene Bewertung des Vorhandenseins und der inhaltlichen Anmutung vorzunehmen. Wir arbeiten somit asynchron als „Team“ mit Ihren Experten. Für Rückfragen und möglichen Unterstützungsbedarf bieten wir unterschiedliche Paketlösungen an.

Unser Produkt ist keine „einfache“ Checkliste, wie sie typischerweise im Internet gefunden werden kann. Unser Katalog umfasst mehrere hundert individuell formulierte Expertenfragenmit zusätzlichen Erläuterungen und Anforderungshinweisen. Dies entspricht dem inhaltlichen und quantitativen Niveau eines prüfungsorientierten Beratungsprojektes.

Unser Angebot umfasst passend zum jeweiligen Modul einen Fragenkatalog, der das Fachwissen unserer Experten in verständlichen Fragen zur ZAIT mit entsprechenden Kommentierungen erweitert. Die Fragen sind mit dem Ziel formuliert, Ihnen eine präzise Selbsteinschätzung anzubieten. Unsere Expertise ermöglicht uns genaue Aussagen über den aktuellen Status Ihrer Organisation zu treffen.

Auswertung Ihrer Daten

Nach Erhalt des von Ihnen ausgefüllten Fragenkatalogs erfolgt die Auswertung Ihrer Daten. Durch die individuelle Auswertung erhalten Sie eine übersichtliche Analyse zu dem Status-Quo Ihrer Organisation und einen Vergleich zu den Anforderungen der ZAIT. Die Analyse beinhaltet geeignete Sofortmaßnahmen und Kommentare zu den von Ihnen ausgewählten Modulen. Somit ergeben sich eindeutige Handlungsempfehlungen zu einem oder mehreren Kapiteln.

Datenpräsentation

Abschließend stellen wir Ihnen eine umfangreiche adressaten- und zweckgerechte Dokumentation Ihrer Ergebnisse zur Verfügung. Die Dokumentation unterteilt sich in folgende Bausteine:

  • Managementpräsentation: Übersicht der relevantesten Ergebnisse und eine Empfehlung von sinnvollen Maßnahmen für identifizierte Schwachstellen. Dies soll als prüfungskonformer Beleg dafür dienen, dass sich die Geschäftsleitung im Sinne ihrer Organisationsverantwortung hinreichend mit den aufsichtlichen Anforderungen auseinander setzt.
  • Detailreporting: individueller und ausfühlicher Report auf Einzelfragenbasis zur operativen Vorbereitung von Umsetzungsktivitäten.
  • Tracking-Tool: Zur Unterstützung der Organisation und Nachverfolgung von notwendigen Aktivitäten dient unser praxisbewährtes Tool. Dieser Schritt ist besonders wichtig, um aufsichtlich einen strukturierten Übergang von Assessment zu „Aktion“ nachzuweisen.

Mit Vorliegen der Ergebnisse des Assesments, in Verbindung mit Kenntnisnahme der Geschäftsleitung und nachfolgenden Maßnahmenplänen verfügen Sie über eine ausreichende Nachweisdokumentation gegenüber Abschlussprüfern und Sonderprüfern hinsichtlich verantwortungsvoller Auseinandersetzung mit dieser hochgradig relevanten Schlüsselregularie.

Mit unserer Unterstützung finden Sie sich in einer komfortablen Ausgangssituation wieder, in der Sie anhand unserer Dienstleistung eine Orientierung und Wissen darüber besitzen, in welche Richtung die nachfolgenden Schritte gehen sollen.

Leistungspakete

Bestseller

Basis-Paket

1.999€ zzgl. Mwst.

Alle 12 Kapitel der ZAIT inklusive

  • Fragebögen basierend auf Fachexpertise und Praxisbezug
  • Umfassende Analyse zu den Ergebnissen
  • Sofortmaßnahmen und Kommentierungen zu den Modulen
  • Detaillierter Report und Berichterstattung
  • Tracking-Tool für nachfolgende Maßnahmen

Standard-Paket

3.499€ zzgl. Mwst.

Alle 12 Kapitel der ZAIT inklusive

inklusive Beratung in der Datenerhebung (8 Stunden)

  • Fragebögen basierend auf Fachexpertise und Praxisbezug
  • Betreuung und Beratung während der Erhebung auf Anforderung
  • Umfassende Analyse zu den Ergebnissen
  • Sofortmaßnahmen und Kommentierungen zu den Modulen
  • Detaillierter Report und Berichterstattung
  • Tracking-Tool für nachfolgende Maßnahmen

Pro-Paket

4.999€ zzgl. Mwst.

Alle 12 Kapitel der ZAIT inklusive

inklusive Beratung in der Datenerhebung und bei den Maßnahmen (16 Stunden)

  • Fragebögen basierend auf Fachexpertise und Praxisbezug
  • Betreuung und Beratung während der Erhebung auf Anforderung
  • Umfassende Analyse zu den Ergebnissen
  • Sofortmaßnahmen und Kommentierungen zu den Modulen
  • Detaillierter Report und Berichterstattung
  • Tracking-Tool für nachfolgende Maßnahmen

Modul-Paket

499€ pro Kapitel zzgl. Mwst.

Für jedes Kapitel gelten folgende Leistungen:

  • Fragebogen basierend auf Fachexpertise und Praxisbezug
  • Umfassende Analyse zum Ergebnis
  • Sofortmaßnahmen und Kommentierungen zum Modul
  • Detaillierter Report und Berichterstattung
  • Tracking-Tool für nachfolgende Maßnahmen

Unsere Empfehlung für kleinere Institute

Unsere Empfehlung für mittlere bis größere Institute

Unser ZAIT Check stellt ein unabhängiges Service Produkt dar. Die von Ihnen zurückgemeldeten Informationen dienen ausschließlich  Auswertungszwecken und fließen nicht in weitere Werbezwecke ein. Im Klartext heißt dies, wenn Sie nach erfolgter Rückmeldung der Auswertungsergebnisse und der damit verbundenen Handlungsempfehlungen keinen weiteren Gesprächsbedarf sehen, werden wir Sie nicht weiter aktiv kontaktieren.

Nehmen Sie Kontakt zu unseren Experten auf!