Mit der Neufassung der BAIT hat das Thema IT Service Continuity Management (ITSCM) eine neue Dringlichkeit erhalten. Wie Sie regulatorische Anforderungen erfüllen und gleichzeitig Ihre Resilienz gegenüber IT-Notfällen nachhaltig stärken, lesen Sie hier.
Die fortschreitende Digitalisierung und die zunehmende Komplexität der IT-Infrastrukturen stellen Banken und Versicherungen vor neue Herausforderungen. Parallel steigt die Bedrohungslage durch Cyberangriffe kontinuierlich. Die BaFin hat mit der Überarbeitung der BAIT (Bankaufsichtliche Anforderungen an die IT) im August 2021 ein deutliches Signal gesetzt: Das IT-Notfallmanagement – oder auch IT Service Continuity Management (ITSCM) – ist als eigenständiger Prüfbereich in den Fokus gerückt. Für Institute bedeutet das: Wer seine Systeme, Prozesse und Zuständigkeiten nicht überprüft und professionalisiert, riskiert nicht nur empfindliche Sanktionen, sondern auch existenzielle Risiken im Falle eines IT-Ausfalls.
Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Gefährdungslage im Finanzsektor als „angespannt bis kritisch“ zu bewerten. Besonders auffällig: Im KRITIS-Sektor Finanz- und Versicherungswesen treten laut BSI regelmäßig Mängel in den Bereichen technische Informationssicherheit, Asset Management und ISMS auf – mit weitreichenden Folgen für Betriebsstabilität und Revisionssicherheit.
Ein robustes ITSCM ist integraler Bestandteil eines umfassenden Business Continuity Managements (BCM). Es zielt darauf ab, die Fortführung geschäftskritischer Prozesse auch bei schwerwiegenden IT-Störungen sicherzustellen. Entscheidend ist dabei die Integration in bestehende Managementsysteme – insbesondere ISMS und Risikomanagement. Durch klar definierte Schnittstellen und Verantwortlichkeiten kann ein durchgängiger und wirtschaftlich tragfähiger Workflow etabliert werden.
Technische Maßnahmen allein genügen nicht. Ein funktionierendes ITSCM berücksichtigt auch den Faktor Mensch: Reaktionsfähigkeit, Routine und Sicherheit in der Kommunikation sind im Ernstfall entscheidend. Nur durch regelmäßige Übungen, klare Kommunikations- und Alarmierungsprozesse sowie gezielte Schulungen lassen sich Fehler, Verwirrung und Panik vermeiden.
Die Praxis zeigt immer wieder dieselben Mängel – insbesondere bei ausgelagerten IT-Dienstleistern:
Für Institute bedeutet das: Die Wirksamkeit der Maßnahmen muss nicht nur dokumentiert, sondern auch regelmäßig getestet, analysiert und im Rahmen eines PDCA-Zyklus optimiert werden.
Die aufsichtsrechtlichen Anforderungen an das ITSCM sind kein Papiertiger – sie reflektieren reale Risiken und wachsende Erwartungen an die Resilienz von Finanzinstituten. Wer jetzt handelt, schützt nicht nur sein Haus, sondern schafft Vertrauen bei Kunden, Aufsicht und Partnern.
Prüfen Sie:
Vertiefen Sie Ihr Wissen im Rahmen unserer Seminare:
