6. MaRisk-Novelle: Neue Anforderungen an das Notfallmanagement

Welche Risiken im Geschäftsbetrieb lauern, bekommen wir aktuell von vielen Seiten vor Augen geführt: Cyberangriffe, Naturkatastrophen, der Zusammenbruch von Lieferketten durch die Pandemie zeigen, wie anfällig unser Wirtschaftssystem ist. Für Banken und IT-Dienstleister verschärft sich der Handlungsbedarf auch durch Neuerungen auf Seiten der Regulatoren: die 6. MaRisk-Novelle konkretisiert die Anforderungen an das Notfallmanagement und wurde am 16. August 2021 von der BaFin veröffentlicht.

Die meisten Änderungen der 6. MaRisk-Novelle resultieren daraus, dass die Leitlinien der EBA zu Auslagerungen in die nationale Regulatorik überführt werden. Einen ersten Überblick habe ich in meinem Beitrag zum IT-Outsourcing gegeben. Im Folgenden stelle ich die wichtigsten Neuerungen beim Notfallmanagement vor:

Notfallkonzept erstellen

Die Novelle enthält einige Neuerungen zum Notfallmanagement, die auf Anforderungen der ICT Guidelines zurückgehen (Guidelines on Information and Communications Technology and Security Risk Management). Demnach müssen Institute die Ziele des Notfallmanagements festlegen, für alle zeitkritischen Aktivitäten und Prozesse Risikoanalysen durchführen und ein Notfallkonzept erstellen.

Auswirkungs- und Risikoanalysen

Als zeitkritisch betrachtet die BaFin Aktivitäten und Prozesse, bei deren Beeinträchtigung innerhalb eines festgelegten Zeitraums ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist. Um die relevanten Prozesse zu identifizieren, müssen Auswirkungs- und Risikoanalysen erstellt werden.

Die Auswirkungsanalysen sollen unter anderem Art und Umfang des (im-)materiellen Schadens berücksichtigen. Ebenso soll untersucht werden, wie sich ein Zeitpunkt auf den Schaden auswirkt, etwa wenn der Zahlungsverkehr zur Hauptgeschäftszeit ausfällt.

Bei den Risikoanalysen werden Gefährdungen identifiziert und bewertet, die zeitkritische Geschäftsprozesse beeinträchtigen können.

Die BaFin fordert dabei, dass bestimmte Szenarien berücksichtigt werden:

• Der (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung, Ausfall der Zutrittskontrolle)
• Ein erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur (etwa aufgrund von Fehlern oder Angriffen)
• Ein Ausfall einer kritischen Anzahl von Mitarbeitern (etwa bei Pandemie, Lebensmittelvergiftung, Streik)
• Der Ausfall von Dienstleistern (wie etwa Zulieferer, Stromversorger)

Das Notfallkonzept muss darstellen, welche Alternativen im Notfall zur Verfügung stehen und wie die Rückkehr in den Normalbetrieb ablaufen soll. Dazu fordert die Novelle eine Übersicht aller Aktivitäten und Prozesse, etwa in Form einer Prozesslandkarte. Ob das Notfallkonzept wirksam und angemessen ist, muss ebenfalls regelmäßig überprüft werden.

Handlungsbedarf bei Banken und IT-Dienstleistern

Wir unterstützen Banken und IT-Dienstleister dabei, sich einen Überblick zu den Neuerungen der 6. MaRisk Novelle zu verschaffen und zu prüfen, inwieweit sie die Vorgaben erfüllen. Darüber hinaus beraten wir zu den Handlungsfeldern, die sich durch die neuen Anforderungen ergeben, gerade im Hinblick auf das Notfallmanagement und die Analyse der Risiken.

Michaela Witzel, LL.M. (Fordham University School of Law), Fachanwältin für IT-Recht
witzel@web-partner.de