Regelungen für den Finanzsektor

Die höchsten Anforderungen an das IT-Risiko-Management gelten im Finanzsektor. Das Kreditwesengesetz (KWG) findet Anwendung auf Kredit- und Finanzdienstleistungsinstitute. Die Anforderungen wurden durch die Umsetzung der europäischen Richtlinie MiFID (Market in Financial Instruments Directive) weiter erhöht und im Hinblick auf das Risiko-Management bereits in deutsches Recht umgesetzt.

Nach dem neuen Paragraf en25a KWG reicht es nicht mehr aus, ein angemessenes Risiko-Management-System einzurichten. Vielmehr muss das Institut auch nachweisen können, dass dieses System wirksam ist, also tatsächlich dazu beiträgt, Risiken zu identifizieren, zu beurteilen, zu steuern und zu kommunizieren.

Die MiFID fordert weiter eine angemessene personelle wie technisch-organisatorische Ausstattung. Diese Anforderungen beziehen sich vor allem auf die Einrichtung angemessener IT-Systeme. Verlangt werden in diesem Zusammenhang aber auch aufbau- und ablauforganisatorische Regelungen mit einer klaren Abgrenzung der Verantwortungsbereiche.

Eine weitere Neuerung ist die Vorgabe, dass zum Risiko-Management auch ein angemessenes Notfallkonzept - insbesondere für IT-Systeme - gehört. Welche Maßnahmen angemessen sind, hängt auch hier im Wesentlichen von der Größe des Unternehmens und der Bedeutung der IT ab. Die in Paragraf 25 a KWG enthaltenen unbestimmten Rechtsbegriffe hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in den Mindestanforderungen an das Risiko-Management (MaRisk) konkretisiert, die im Zuge der MiFID-Umsetzung erst kürzlich neu gefasst wurden.

Die BaFin kann einzelne Maßnahmen zur Schaffung eines wirksamen IT-Risiko-Management-Systems anordnen. Befolgt das Kreditinstitut diese Anordnung nicht, drohen ihm empfindliche Bußgelder.

Branchenübergreifende Regelungen

Branchenübergreifende Regelungen zum Risiko-Management gelten für Kapitalgesellschaften seit der Einführung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Durch das KonTraG wurde unter anderem der Paragraf 91 Absatz 2 des Aktiengesetzes (AktG) eingeführt. Er fordert die Einrichtung eines mehrstufigen IT-Risiko-Management-Systems. Die erste Stufe verlangt, dass geeignete Maßnahmen zur Früherkennung von IT-Risiken, die den Fortbestand des Unternehmens gefährden können, implementiert werden. Auf der zweiten Stufe ist die Ausführung dieser Maßnahmen zu überwachen.

Doch damit ist die Arbeit noch nicht getan. Danach ist ein umfassendes IT-Risiko-Management-System einzurichten. Denn eine Früherkennung ist nur bei dauerhafter und umfassender Beobachtung möglich. Das ist umso wichtiger, als sich selbst geringe Risiken in der Kumulation bestandsgefährdend auswirken können. Konkretere Vorgaben macht der Gesetzgeber an dieser Stelle allerdings nicht. Bemerkenswert ist in diesem Zusammenhang eine Entscheidung des Verwaltungsgerichts Frankfurt am Mainaus dem Jahr 2004. Hierin werden die wesentlich detaillierteren Kriterien des KWG auch für Kapitalgesellschaften anderer Branchen herangezogen - unter Berufung auf die gleichgerichtete Intention beider Vorschriften. Dieser Entscheid hatte bislang keine Auswirkung auf andere Urteile.