ZAIT – Regulatorik für Zahlungsinstitute und E‑Geld-Institute
„Früher oder später kriegen wir Euch alle“ mag die Finanzaufsicht (flapsig formuliert) gedacht haben, als sie mit den Zahlungsdienstaufsichtlichen Anforderungen an die IT (ZAIT) ihre aufsichtsrechtlichen Vorgaben auch auf Zahlungsinstitute und E‑Geld-Institute ausgedehnt hat.
Derzeit befinden sich die ZAIT in der Konsultation – jedoch ist nach Abschluss dieser unmittelbar mit einer Gültigkeit der ZAIT zu rechnen.
Unterstützt wird diese Annahme durch die Tatsache, dass die ZAIT das Kapitel „Kundenbeziehungen mit Zahlungsdienstnutzern“ formuliert, das nach der Konsultation auch Bestandteil der Bankenaufsichtlichen Anforderungen an die IT (BAIT) wird.
Die Begründung für die plakative Einleitung dieses Artikels gibt die Übersicht der aufsichtsrechtlichen Anforderungen, die seitens der Finanzaufsicht bisher vorgegeben wurden.

Wurden zu Beginn Banken und Versicherungen in den Mittelpunkt gerückt und entsprechende aufsichtsrechtliche Anforderungen für die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und die Umsetzung der IT-Governance eingeführt, folgten bereits 2019 spezifische Anforderungen für Kapitalverwaltungsgesellschaften. Dazwischen wurde für besonders kritische IT-Systeme das KRITIS-Modul eingeführt. Im Jahr 2020 erfuhren die BAIT eine deutliche Erweiterung, die vor allem den Informationsverbund in den Mittelpunkt rückte und seine Definition gegenüber den bisher gültigen BAIT deutlich ausbaute.
Im Jahr 2021 befinden sich nun die ZAIT in der Konsultationsphase. Zunächst behandeln wir in diesem Artikel zwei Fragen:
- Wen betreffen die ZAIT?
- Wie unterscheiden sich die ZAIT von den anderen aufsichtsrechtlichen Anforderungen an die IT?
Wen betreffen die ZAIT?
Betroffen von den ZAIT sind Zahlungsinstitute und E‑Geld-Institute:
- Zahlungsinstitute:
- Derzeit sind etwa 70 Zahlungsinstitute bei der Finanzaufsicht registriert
- Zahlungsinstitute betreiben gewerbsmäßig Zahlungsdienste wie z. B. Einzahlungs- oder Auszahlungsgeschäft, Lastschrift‑, Überweisungs- oder Zahlungskartengeschäft ohne Kreditgewährung oder Zahlungsgeschäft mit Kreditgewährung
- Auch Anbieter von Zahlungsauslösediensten oder Kontoinformationsdiensten zählen zu den Zahlungsinstituten
- E‑Geld-Institute:
- Derzeit sind neun E‑Geld-Institute bei der Finanzaufsicht registriert
- E‑Geld-Institute begeben E‑Geld
- E‑Geld ist der elektronisch, darunter auch magnetisch, gespeicherte monetäre Wert in Form einer Forderung an den Emittenten, der gegen Zahlung eines Geldbetrags ausgestellt wird, um damit Zahlungsvorgänge im Sinne des BGB durchzuführen
Somit handelt es sich quantitativ um eine eher kleine Zahl betroffener Institute, für diese erfahren die vorgegebenen Anforderungen aber eine deutliche Anspruchssteigerung.
Was sind die Gemeinsamkeiten und Unterschiede der ZAIT zu anderen aufsichtsrechtlichen Anforderungen?
Auch der grundsätzliche Aufbau beider Dokumente ist in seiner Struktur nahezu identisch. Ebenso steht der Informationsverbund bei den ZAIT im Mittelpunkt der Betrachtungen. Aus beiden Anforderungsdokumenten heraus gilt für die Institute das Proportionalitätsprinzip in der Umsetzung der geforderten Maßnahmen.
Was unterscheidet die ZAIT von anderen regulatorischen Vorgaben wie z. B. den BAIT? Fünf Punkte fallen hier auf und sollen kurz betrachtet werden. Sie betreffen folgende Kapitel:
- IT-Governance
- Informationssicherheitsmanagement
- IT-Projekte und Anwendungsentwicklung
- Auslagerung und sonstiger Fremdbezug
- Notfallmanagement
Im Zusammenhang mit der IT-Governance liegt die wesentliche Unterscheidung darin, dass eine Ausrichtung der IT an etablierten Standards zu erfolgen hat. Hier werden drei Standards explizit genannt (IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI), die internationalen Sicherheitsstandards ISO/IEC 270XX der International Organization for Standardization und der Payment Card Industry Data Security Standard (PCIDSS)).
Im Informationssicherheitsmanagement besteht die Möglichkeit, die Funktion des Informationssicherheitsbeauftragten mit anderen Funktionen im Unternehmen zu kombinieren oder, in besonderen Fällen, auch außerhalb des Unternehmens anzusiedeln.
Für IT-Projekte und Anwendungsentwicklung gibt es explizite Anforderungen an die durchzuführende Auswirkungsanalyse und die Nutzung des Begriffs „wesentliche Veränderung“ im Zusammenhang mit Vorgaben für die Testdurchführung.
Das Kapitel Auslagerung und sonstiger Fremdbezug enthält deutlich umfangreichere Anforderungen in den ZAIT als in den BAIT, die es zu berücksichtigen gilt.
Im Notfallmanagement wird die Notwendigkeit zur Durchführung von Auswirkungsanalysen und Risikoanalysen gefordert.
Erste Schritte für Zahlungsinstitute mit den ZAIT:
In einem ersten Schritt gilt es für die Zahlungsinstitute und die E‑Geld-Institute, ihre individuelle Ausgangssituation vor dem Hintergrund der ZAIT zu kennen. Nur dann lässt sich der erforderliche Handlungsbedarf identifizieren.
Vorrangig gilt es, einen Überblick über das eigene Institut, die genutzten Auslagerungen sowie die Zahlungsdienstnutzer zu erhalten. Dieses schließt auch den Informationsverbund ein, der ein Nukleus der ZAIT ist.
Inhaltlich stehen fünf Handlungsfelder im Mittelpunkt der Erhebung.

- In welchem Umfang sind bereits Vorbefassungen zu Regulatorikanforderungen im Institut erfolgt, z. B. durch eine interne Erstanalyse oder die Jahresabschlussprüfung des Wirtschaftsprüfers?
- Wie steht es um die Governance des Instituts, z. B. in Bezug auf eine durchgängige und dokumentierte strategische Ausrichtung oder ein etabliertes internes Kontroll- und Prüfungswesen?
- Wird heute bereits auf etablierte Standards zurückgegriffen, auch über die in der ZAIT genannten hinaus, z. B. ITIL oder Cobit?
- Wie transparent sind die bestehenden Auslagerungen technisch und organisatorisch und in welcher Form sind diese in Kontrollprozesse eingebunden?
- Welchen Stand hat die personelle und technische Ausstattung des Instituts quantitativ und qualitativ?
Die Ermittlung der Ausgangssituation kann mittels eines Quick-Checks erfolgen, um auf Grundlage dieser Informationen einen Überblick über den erforderlichen Handlungsbedarf zu erhalten und eine Indikation für die Ausgestaltung des Proportionalitätsprinzips zu gewinnen.
In einer Ausbaustufe kann sich eine Reifegradanalyse anschließen, für die es sich empfiehlt, diese bereits an einen etablierten Standard auszurichten, z. B. der ISO 27000-Reihe.
Neben der inhaltlichen Analyse zu den Kriterien des Standards ermöglicht ein solches Vorgehen auch eine Visualisierung für das Management.

Expertise bankon Management Consulting
Die Expertise der bankon-Berater aus mehr als fünfzehn Jahren Erfahrung aus Projekten im Kontext der Banken-IT sichert praxiserprobtes Wissen. Erfahrungen aus einer Vielzahl von Regulatorikprojekten bei Finanzdienstleistern gewährleisten die Sicherstellung von Governance- und Regulatorik-Anforderungen. Langjährige Praxisexpertise aus Projekt- und Linientätigkeit bei Zahlungsinstituten schaffen den erforderlichen fachlichen, prozessualen und technischen Hintergrund.
Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:
bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de