ZAIT
Die Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten, abgekürzt ZAIT, sind Verwaltungsanweisungen, die mit einem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und diesbezüglicher Anforderungen an die IT-Governance an deutsche Geld-Institute veröffentlicht wurden. Sie wurden von der BaFin mit dem Rundschreiben 11/2021 vom 16. August 2021 zur Konsultation veröffentlicht.
Basisdaten | |
---|---|
Titel | Rundschreiben 3/2021 Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten |
Kurztitel | Zahlungsdiensteaufsichtlichen Anforderungen an die IT |
Abkürzung | ZAIT |
Geltungsbereich | Bundesrepublik Deutschland |
Ursprüngliche Fassung vom | 16. August 2021 |
Letzte Neufassung vom | 16. August 2021 |
In den Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten formuliert die Aufsicht (BaFin) basierend auf § 1 Abs. 3 des Zahlungsdiensteaufsichtsgesetzes einen Rahmen für die technisch-organisatorische Ausstattung der Unternehmen – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement. Da die Zahlungsinstitute und E-Geld-Institute zunehmend IT-Dienstleistungen von Dritten beziehen, fordert die ZAIT nun beispielsweise vorab zwingend eine Risikoanalyse. Ebenso untersagt diese explizit, die Leitungsaufgaben der Geschäftsleitung auszulagern.
Ebenso fordert nun die ZAIT § 12.1 in der Informationssicherheit mindestens Stand der Technik umzusetzen. Ebenso haben diese Institute auf folgende gängige Standards wie IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die internationalen Sicherheitsstandards ISO/IEC 270XX der International Organization for Standardization und der Payment Card Industry Data Security Standard (PCI-DSS) abzustellen.
Die ZAIT enthält ebenso die Anforderungen aus der Europäische Bankenaufsicht (EBA)-Leitlinie (GL/2019/02) zu Auslagerungen sowie aus der EBA-Leitlinie (GL/2017/17) zu Sicherheitsmaßnahmen bezüglich der operationellen und sicherheitsrelevanten Risiken von Zahlungsdiensten.