Mit der vergangenen MaRisk Novelle (Rundschreiben 10/2021, Mindestanforderungen an das Risikomanagement) wurden einige Themen rund um die IT-Sicherheit angepasst, aus denen sich große Umsetzungsaufwände ergeben haben. Etwas mehr als ein Jahr später hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) nun ihren Entwurf der 7. MaRisk Novelle zur Konsultation gestellt.
IT-Sicherheit und IT-Risiken spielen aufgrund der zunehmenden Digitalisierung und der geopolitischen Situation am Finanzmarkt sowie in der Regulatorik aktuell eine große Rolle. Im Zuge dessen beschäftigen wir uns mit der Frage, inwiefern die BaFin diese Themen in der neuen MaRisk Novelle aufgreift.
1 Themenüberblick
Zunächst betrachten wir die Änderungen der BaFin im Kurzüberblick. Diese beziehen sich insbesondere auf die folgenden sechs Regelungsinhalte der MaRisk.
1.1 Vorgaben zur Kreditvergabe und Überwachung ()
Der Fokus der neuen MaRisk Novelle liegt auf der Umsetzung der.
Hierbei handelt es sich um das letzte Arbeitspaket der EBA aus dem Aktionsplan des Rats für Wirtschaft und Finanzen (ECOFIN) zu Non-Performing Loans (Notleidende Kredite). Sie sollen künftige Krisen mit flächendeckender Verschlechterung der Kreditqualität von Portfolios durch Anforderungen an eine risikobewusstere Kreditvergabe entgegensteuern.
Die Implementierung der Leitlinien wird für den Banken- und Finanzdienstleistungssektor eine große Rolle spielen. Dies gilt in Anbetracht der Herausforderungen durch die Erweiterung des bisherigen Kreditprozessablaufes, zum anderen aber auch, da die Leitlinien neue Chancen mit sich bringen. Die Harmonisierung der Anforderungen sowie ihr im Vergleich zur MaRisk höherer Detaillierungsgrad begünstigen eine Standardisierung der Kreditvergabe und ermöglichen es, Prozessautomatisierungen konsequenter voranzutreiben. Ebenso fördern notwendige Datenerhebungen die Digitalisierung von Informationen und damit deren effizientere Verarbeitung, gerade auch mit Blick auf ESG-Faktoren (Umwelt, Soziales und Unternehmensführung).
Die BaFin hat im Zuge der Umsetzung von EBA Leitlinien darüber hinaus avisiert, dass sie künftig Verweise auf europäische Vorgaben stärker nutzen möchte. Bislang hatte sie deren Inhalte in die MaRisk und andere nationale Vorgaben übernommen. Dieses Vorgehen wurde bereits vorab im Zuge des Fachgremiums MaRisk angekündigt, wo es auf Kritik der nationalen Teilnehmer stieß. Aufgrund der Möglichkeit, europäische Leitlinien zügiger umzusetzen, wird die BaFin diese Verweispraxis jedoch stärker als bisher nutzen.
1.2 Neuerungen zu Immobiliengeschäften (Neu – BTO 3)
Immobiliengeschäfte wurden von den MaRisk bislang nicht explizit geregelt. Dies soll sich mit der 7. Novelle verändern, da das Immobiliengeschäft immer mehr an Bedeutung gewinnt und im Gegensatz zum klassischen Kreditgeschäft bislang kaum aufbau- und ablauforganisatorischen Maßnahmen definiert sind. Dieser Umstand führt zu Unklarheiten, denen die BaFin gerne begegnen möchte.
Dementsprechend gibt die Novellierung Vorgaben für die Aufbauorganisation und Prozesse vor, die an die bereits bekannten aus dem Kreditgeschäft angelehnt sind und an Schwellenwerte gebunden werden.
1.3 Geschäftsmodellanalyse (AT 4.1, 4.2, 4.3.2, BT 3.1)
Für die Geschäftsmodellanalyse der Institute sah die BaFin die Notwendigkeit, Begriffe und bestehende Anforderungen zu verdeutlichen. Entsprechend wurden Anpassungen an verschiedenen Modulen vorgenommen.
Hier fordert die BaFin, dass die Geschäfts- und Kapitalplanung der Institute ineinandergreifen sollen. Für die Beurteilung des Geschäftsmodells fordert sie künftig ferner einen Bericht über die Ertrags- bzw. Geschäftslage von Instituten. Dieser ist zusätzlich zum Risikobericht nötig.
1.4 Handel im Home Office (BTO 2.2.1)
Angesichts der zunehmenden Digitalisierung und aus den Erfahrungen aus der Corona-Pandemie wurden Handelsaktivitäten im Home-Office trotz der hohen regulatorischen Anforderungen erstmalig dauerhaft erlaubt. So sei die Anwesenheit vor Ort weniger ausschlaggebend für das reibungslose Ablaufen solcher Aktivitäten als der Zugang zu den Handelsplattformen. Wichtig ist dabei allerdings, dass für den Notfall ein Betrieb aus den Geschäftsräumen heraus sichergestellt sein muss und entsprechend eine Mindestanwesenheitsquote zu erfüllen ist.
Die Arbeit im Home Office geht mit einer Übertragung der Anforderungen rund um u.a. IT-Sicherheit von den Geschäftsräumen auf das Home Office einher. Über Richtlinien ist sicherzustellen, dass die Systeme stabil sind und ein adäquates Maß an IT-Sicherheit gewährleistet und die Einhaltung der Vertraulichkeit gegeben ist. Ferner muss der Standort fest definiert sein.
Daraus ergibt sich zwar eine Öffnung für das Home Office, allerdings keine Ermöglichung des zunehmenden mobilen Arbeitens.
1.5 Aufnahme von Nachhaltigkeitsrisiken
In den Agenden diverser Aufsichtsbehörden stehen ESG-Risiken für das kommende Jahr ganz oben. Entsprechend findet Nachhaltigkeit sich auch in den MaRisk wieder.
Bereits mit dem Merkblatt zum Umgang mit Nachhaltigkeitsrisiken hat die BaFin den Instituten eine Orientierungshilfe an die Hand gegeben. Darin wurde bereits die Empfehlung ausgesprochen, das Risikomanagement anzupassen und sich strategisch mit ESG-Risiken zu befassen. Dies schreibt die BaFin nun durch die Aufnahme in die MaRisk verbindlich vor.
Ziel dabei ist es, dass Unternehmen diese Risiken in Abhängigkeit von ihrem Geschäftsmodell und ihrem Risikoprofil adäquat steuern.
1.6 Regelungen für Förderbanken (AT 4.4.1, 4.4.2)
Bereits in der sechsten MaRisk Novelle hat die BaFin den Anwendungsbereich überproportionaler Regelungen ausgedehnt und hat nun geprüft, inwiefern diese auch auf Förderbanken auszuweiten sind. Einschlägig sind hier die Vorgaben des AT 4.4.1 im Kontext Risikocontrolling und AT 4.4.2 im Kontext Compliance, die sich aus den EBA-Leitlinien zur internen Governance (GL/2017/11) ergeben.
Anwendbar sind diese Vorgaben auf Förderbanken, die eine Bilanzsumme von über 70 Mrd. € ausweisen.
2 Konsequenzen für die IT-Sicherheit
Obwohl die 7. MaRisk-Novelle diverse Neuerungen nach sich zieht, gibt es wenig Berührungspunkte zum Thema IT-Sicherheit. Im Wesentlichen sind hier die Neuerungen im Kontext „Handel aus dem Home Office“ zu beachten, der nur unter Einhaltung eines den Geschäftsräumen entsprechenden IT-Sicherheitsstandards möglich sein soll. Damit entsteht aus der 7. MaRisk Novelle voraussichtlich nur ein geringer Umsetzungsaufwand aus Sicht der IT-Sicherheit.
Künftig relevant wird aber in jedem Fall die neue Verweispraxis der BaFin. Es ist zu erwarten, dass die Anwenderfreundlichkeit der MaRisk damit spürbar abnehmen wird. Um alle Anforderungen zu erkennen, reicht in Zukunft die sorgfältige Prüfung der MaRisk nicht mehr aus, vielmehr müssen auch die umzusetzenden europäischen Vorgaben parallel gelesen und geprüft werden.
Wir bei ADWEKO stehen Ihnen beim Thema IT-Sicherheit gerne zur Seite und unterstützen sie bei der Analyse, Einführung und Umsetzung neuer Vorgaben mit unserer Expertise. Kommen Sie gerne auf uns zu!
Pia Streicher
Senior Consultant
0 Kommentare