die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen.
Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.
REGULIERUNG
REGULIERUNG ZAHLUNGSDIENSTLEISTER Meldepflicht bei Sicherheitsvorfällen Mit dem Umsetzen der PSD2 kommt nicht nur der Kontozugang für Dritte. Wenn am 13. Januar 2018 die Zweite Zahlungsdiensterichtlinie in Kraft tritt, gilt für Banken und andere Zahlungsdienstleister eine weitere wichtige Neuerung: Sie müssen fortan die Bankenaufsicht unverzüglich über schwerwiegende Sicherheitsvorfälle, auch solche im laufenden Betrieb, informieren. Für alle Beteiligten ergeben sich aus der Neufassung des Zahlungsdiensteaufsichtsgesetzes (ZAG) zwei Fragenkomplexe: Was bedeutet erstens „unverzüglich“, und was ist eigentlich als so schwerwiegend anzusehen, dass die Ad- hoc-Meldung erforderlich wird? Zu der Frage, welche Vorfälle meldepflichtig sind, hatte die Europäische Bankenaufsichtsbehörde EBA bereits Leitlinien veröffentlicht, in denen die Kriterien, die Schwellen und die Methodik genannt werden, die von den Zahlungsdienstleistern zu verwenden sind. „Sicherheitsvorfälle sind Ereignisse, diedie Vertraulichkeit, Verfügbarkeit und Integrität wichtiger Daten, Geschäftspro- 56 10 // 2017
REGULIERUNG Dr. Felix Reinshagen, BaFin. Schwelle überschritten. Eine Ausfallzeit ist ab zwei Stunden meldepflichtig. Bei den Kundenzahlen sind 5.000 Betroffene niederschwellig, 50.000 als hochschwellig anzusehen, alternativ kann man 10 oder 25 Prozent des Kundenstamms des Zahlungsdienstleisters in Betracht ziehen. Für das Kriterium wirtschaftlicher Schaden gilt keine Unterscheidung zwischen hoch und niedrig. Auch Probleme mit Auswirkungen auf andere Zahlungsdienstleister oder Infrastrukturen sollten die „Alarmglocke Meldepflicht“ klingen lassen. Das gilt ebenso für Reputationsschäden. Medienrelevante Fälle rufen die BaFin auf jeden Fall auf den Plan, erläuterte Reinshagen in Köln. Im Vergleich zu den Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSi) ändert sich für die Zahlungsdienstleister also vor allem, dass sich die Meldepflicht nicht mehr allein auf Internetzahlungen beschränkt. Maßgebliche Einzelheiten der Meldungen muss die BaFin ihrerseits an die EBA und die EZB weiterleiten und je nach Dr. Ortwin Scheja, Berlin Group. zesse oder IT-Systeme so beeinträchtigen, dass ein Schaden für das Unternehmen entstehen kann“, heißt es in der Formulierung der BaFin. Damit sei nicht etwa der Fall gemeint, dass der einzige Geldautomat im Landkreis ausfalle, vertiefte Behördenvertreter Dr. Felix Reinshagen im Rahmen einer Fachkonferenz beim Kölner Bank-Verlag. Die Bewertungskriterien richten sich vielmehr nach der Anzahl der betroffenen Transaktionen, der Menge der betroffenen Kunden, der Ausfallzeit und dem wirtschaftlichen Schaden, der entstanden ist. Für das Reporting sogenannter Major Incidents gilt als Grundregel, dass einmal eine hohe oder dreimal eine niedrige Schwelle überschritten wurde. Im Bereich der Transaktionen läge eine Summe von bis zu 10 Prozent des üblichen Volumens unter der niedrigen Schwelle, bei 25 Prozent des üblichen Transaktionsvolumens würde die hohe 10 // 2017 57
