Am 12. April hat die BaFin einen ersten Entwurf der ZAIT veröffenltich und bis Mitte Mai zur Konsultation gestellt. Die Anforderungen an die IT gelten für Zahlungsinstitute und E-Geld-Institute gemäß § 1 Abs. 3 des Zahlungsdiensteaufsichtsgesetzes (ZAG). Dabei werden bestehende IT-Anforderungen aus dem ZAG konkretisiert und Anforderungen aus den Leitlinien der European Banking Authority (EBA) zu Informations- und Kommunikationstechnologie und Sicherheitsrisikomanagement sowie Auslagerungen aufgegriffen.
Inhaltlich ähneln die konsultierten Regelungen sehr stark dem bereits veröffentlichten Entwurf der aktuellen BAIT Novelle, enthalten aber auch einige Neuerungen. Wie bei allen Rundschreiben der BaFin ist auch bei der ZAIT zu beachten, dass deren Anforderungen nicht abschließend sind; Umfang und Granularität der Umsetzung hängen maßgeblich vom konkreten Geschäftsmodell und den damit einhergehenden Risiken ab. Die ZAIT nimmt daher auch auf weitere gängige Standards der IT-Sicherheit, wie den PCI DSS, den IT-Grundschutz des BSI sowie die ISO/IEC 27000-Reihe Bezug.
Es ist davon auszugehen, dass die Anforderungen mit Veröffentlichung der endgültigen Fassung ohne Umsetzungsfrist anzuwenden sind, wobei üblichweise für eine Übergangsphase mit „Augenmaß“ beaufsichtgt wird. Schließlich handelt es sich bei Rundschreiben der BaFin nicht um rechtsnormen sondern um verschriftlichte Verwaltungspraxis der Aufsichtsbehörden.
Betroffenen Marktteilnehmern, also Zahlungs- und E-Geldinstituten, zu den auch reine Kontoinformationsdienstleister nach § 1 Abs. 1 Satz 2 Nr. 8 ZAG zählen, ist daher zu empfhelen sich zeitnah mit den Anforderungen der ZAIT vertraut zu machen und eine Gap-Analyse vorzunehmen. Dabei sollte auch die individuelle Risikositiation des eigenen Unternehemns berücksichtgt werden, um keine unnötigen Anpassungen anzustoßen, die weder gefordert, noch zielführend sind. Auch hier gilt es kluge, pragmatische Ansätze zu entwickeln.