Zum Inhalt springen

ESMA

IKT-Aufsicht für Wertpapierfirmen und Kapitalmarktakteure

IKT-Anforderungen für ESMA-regulierte Wertpapierfirmen.

Management-Zusammenfassung

  • 10 Kontrollbereiche decken die IKT-Aufsicht für Wertpapierfirmen ab — Governance, Handelssystem-Resilienz, Marktmissbrauch, Auslagerung, Clearing/Abwicklung und KI.
  • Jeder Control ist mit MAIT-Referenzen (Marktaufsichtliche Anforderungen an die IT), MiFID II-Artikeln, MAR, EMIR und CSDR verknüpft.
  • DORA- und MaRisk-Alignment für integrierte Compliance über Sektorengrenzen hinweg (Banken & Kapitalmarkt).
  • Konkrete Umsetzungsschritte und Nachweisbeispiele erleichtern die Prüfungsvorbereitung und Compliance-Dokumentation.

10

Kontrollbereiche (MAIT)

7

Handlungsfelder

0

Auf definiertem Niveau

10

In Prüfung (needs_review)

Governance & Organisation (2) Operative Resilienz (1) Third-Party-Risk & Auslagerung (1) Integrität & Überwachung (2) Informationssicherheit (1) Erkennung & Reaktion (2) Innovation & Regulierung (1)
ESMA-001 initial needs_review
Governance & Organisation

IKT-Governance und Organisationspflichten (MiFID II)

Wertpapierfirmen verankern IKT-Risikomanagement in der Unternehmensfuehrung und erfuellen die organisatorischen Anforderungen nach MiFID II und MAIT.

Sollzustand
IKT-Governance ist im Organisationshandbuch dokumentiert, IKT-Risiken sind im Risikomanagementprozess integriert.

Umsetzungsschritte

  • IKT-Organisationsrichtlinie nach MiFID II Art. 16 (Organisationspflichten) erstellen.
  • IKT-Risikomanagement in das institutseigene Risikomanagementsystem integrieren.
  • Compliance-Funktion mit IKT-Kontrollaufgaben betrauen.

Nachweise

  • Organisationshandbuch mit IKT-Governance
  • Risikomanagement-Richtlinie mit IKT-Risikoabschnitt
  • Compliance-Bericht mit IKT-Prüfungen
MAIT: MAIT 1.1, MAIT 1.2 MiFID/EMIR: MiFID II Art. 16, 24, Delegierte Verordnung 2017/565 Art. 21–30
DORA: DORA Art. 4–8 (IKT-Governance, Risikomanagementrahmen) MaRisk: MaRisk AT 4.3.1, AT 7.2
ESMA-002 initial needs_review
Governance & Organisation

IKT-Risikomanagement und Kontrollsystem

Ein angemessenes IKT-Kontrollsystem stellt die Integrität, Verfügbarkeit und Sicherheit der Handelssysteme und Kundenvermoegen sicher.

Sollzustand
IKT-Kontrollsystem ist dokumentiert, Kontrollen werden regelmäßig auf Wirksamkeit geprüft.

Umsetzungsschritte

  • IKT-Kontrollmatrix mit Kontrollzielen und -frequenzen erstellen.
  • Regelmaessige Kontrollprüfungen (mindestens jährlich) durchführen.
  • Kontrollergebnisse im Compliance-Bericht dokumentieren.

Nachweise

  • IKT-Kontrollmatrix
  • Kontrollprüfungsnachweise
  • Compliance-Bericht mit IKT-Kontrollergebnissen
MAIT: MAIT 2.1, MAIT 2.2 MiFID/EMIR: MiFID II Art. 16 (Organisationspflichten)
DORA: DORA Art. 5–8 (IKT-Risikomanagement) MaRisk: MaRisk AT 7.2, BT 2.1
ESMA-003 initial needs_review
Operative Resilienz

Handelssystemresilienz und Geschaeftsfortfuehrung

Handelssysteme und Handelsinfrastruktur sind gegen IKT-Ausfaelle geschützt und koennen innerhalb definierter Fristen wiederhergestellt werden.

Sollzustand
Business-Continuity-Plan für Handelssysteme implementiert, regelmäßig getestet und dokumentiert.

Umsetzungsschritte

  • Business-Impact-Analyse (BIA) für Handelssysteme und Zahlungsdienstleistungen durchführen.
  • BCP für Handelssysteme mit definierten RTO/RPO erstellen und testen.
  • Ausweichkapazitaeten für kritische Handelssysteme vorhalten.

Nachweise

  • BIA für Handelssysteme
  • BCP-Testbericht (mindestens jährlich)
  • Nachweis der Ausweichkapazitaeten
MAIT: MAIT 3.1, MAIT 3.2 MiFID/EMIR: MiFID II Art. 16 (Organisationspflichten), Delegierte Verordnung 2017/565 Art. 30 (BCM)
DORA: DORA Art. 11–13 (IKT-Notfallmanagement, BCM) MaRisk: MaRisk AT 8.1 (Notfallmanagement)
ESMA-004 initial needs_review
Third-Party-Risk & Auslagerung

IKT-Auslagerung bei Wertpapierfirmen

Auslagerungen von IKT-Dienstleistungen bei Wertpapierfirmen werden gemaess ESMA-Auslagerungsleitlinien und DORA gesteuert.

Sollzustand
Auslagerungsregister gefuehrt, wesentliche Auslagerungen genehmigt, Dienstleister-Monitoring aktiv.

Umsetzungsschritte

  • Auslagerungsregister nach ESMA-Leitlinien (ESMA35-36-2530) fuehren.
  • Wesentliche IKT-Auslagerungen identifizieren und dokumentieren.
  • Dienstleistervertraege auf Konformitaet mit DORA Art. 28–29 prüfen.

Nachweise

  • Auslagerungsregister (aktuell)
  • Genehmigungsdokumentation für wesentliche Auslagerungen
  • Dienstleister-Monitoring-Berichte
MAIT: MAIT 4.1, MAIT 4.2 MiFID/EMIR: MiFID II Art. 16 (Auslagerung), ESMA Outsourcing Guidelines ESMA35-36-2530
DORA: DORA Art. 25–29 (IKT-Drittparteienrisiko) MaRisk: MaRisk AT 9 (Auslagerung)
ESMA-005 initial needs_review
Integrität & Überwachung

Marktmissbrauchsüberwachung und IKT-Integrität (MAR)

Systeme zur Überwachung von Marktmissbrauch (MAR) sind technisch zuverlaessig und vor Manipulation geschützt.

Sollzustand
Überwachungssysteme sind dokumentiert, Zugriffe protokolliert, und die Datenintegritaet ist sichergestellt.

Umsetzungsschritte

  • Überwachungssysteme für Marktmissbrauch nach MAR Art. 16 implementieren.
  • Zugriffsprotokollierung und Aenderungsnachverfolgung für Überwachungssysteme einrichten.
  • Regelmaessige Integritätsprüfungen der Überwachungsdaten durchführen.

Nachweise

  • Systemdokumentation der Überwachungssysteme
  • Zugriffsprotokolle (letzte 12 Monate)
  • Integritätsprüfungsberichte
MAIT: MAIT 5.1, MAIT 5.2 MiFID/EMIR: MAR Art. 16 (Überwachungssysteme)
DORA: DORA Art. 9 (IKT-Schutz), Art. 16 (Erkennung) MaRisk: MaRisk BT 3.2 (Überwachung)
ESMA-006 initial needs_review
Integrität & Überwachung

Clearing- und Abwicklungssystem-Resilienz (EMIR, CSDR)

Die IKT-Systeme für Clearing und Abwicklung sind resilient gegen Stoerungen und erfuellen die Anforderungen von EMIR und CSDR.

Sollzustand
Systeme für Clearing (EMIR) und Wertpapierabwicklung (CSDR) sind dokumentiert, getestet und resilient.

Umsetzungsschritte

  • Risikoanalyse für Clearing- und Abwicklungssysteme durchführen.
  • Regelmaessige Resilienztests für EMIR-kritische Systeme durchführen.
  • Abwicklungsdisziplin (CSDR Settlement Discipline) in IKT-Prozesse integrieren.

Nachweise

  • Risikoanalyse für Clearing/Abwicklungssysteme
  • Resilienz-Testberichte
  • CSDR-Settlement-Berichte
MAIT: MAIT 6.1, MAIT 6.2 MiFID/EMIR: EMIR Art. 11, 18 (Risikominderung), CSDR Art. 5–7 (Settlement)
DORA: DORA Art. 11–14 (IKT-Notfallmanagement, BCM) MaRisk: MaRisk AT 8.1 (Notfallmanagement)
ESMA-007 initial needs_review
Informationssicherheit

IKT-Sicherheit und Datenschutz bei Wertpapierdienstleistungen

Kundenvermoegen, Handelsdaten und Transaktionsinformationen werden durch angemessene IKT-Sicherheitsmaßnahmen geschützt.

Sollzustand
ISMS implementiert, Kundenvermoegen getrennt verwahrt, Transaktionsdaten vor Manipulation geschützt.

Umsetzungsschritte

  • ISMS für den Wertpapierhandelsbereich implementieren.
  • Trennung von Kundenvermoegen und Institutsvermoegen (MiFID II Art. 16) in IKT-Systemen abbilden.
  • Transaktionsdaten-Integrität durch digitale Signaturen oder aehnliche Maßnahmen sicherstellen.

Nachweise

  • ISMS-Dokumentation
  • Nachweis der Vermoegenstrennung in IKT-Systemen
  • Transaktionsintegritaetsprüfung
MAIT: MAIT 7.1, MAIT 7.2 MiFID/EMIR: MiFID II Art. 16 (Sicherheit), Delegierte Verordnung 2017/565 Art. 21
DORA: DORA Art. 9 (IKT-Schutz, Prevention) MaRisk: MaRisk BT 3.1 (Informationssicherheit)
ESMA-008 initial needs_review
Erkennung & Reaktion

IKT-Vorfallerkennung, Meldewesen und Offenlegung

IKT-Vorfälle werden erkannt, klassifiziert und gemaess MiFID II, MAR und DORA an die zuständige Aufsicht gemeldet.

Sollzustand
Vorfallerkennungsprozess implementiert, Meldeketten definiert und getestet, Offenlegungspflichten bekannt.

Umsetzungsschritte

  • SIEM/SOC-Funktion oder vergleichbare Erkennungsmaßnahmen implementieren.
  • Meldeketten an BaFin und ESMA für IKT-Vorfälle definieren.
  • Offenlegungspflichten nach MAR Art. 17 (Ad-hoc-Publizitaet) bei IKT-Vorfällen prüfen.

Nachweise

  • Vorfallerkennungsverfahren
  • Meldeprozess-Beschreibung
  • Testnachweise für Meldeketten
MAIT: MAIT 8.1, MAIT 8.2 MiFID/EMIR: MiFID II Art. 16 (Organisation), MAR Art. 17 (Ad-hoc)
DORA: DORA Art. 15–19 (IKT-Vorfallerkennung und -Meldewesen) MaRisk: MaRisk AT 8.2 (Notfalluebung)
ESMA-009 initial needs_review
Erkennung & Reaktion

Handelsplattform-Betrieb und Marktdatenintegritaet

Handelsplattformen und Marktdatensysteme arbeiten zuverlaessig und gewaehrleisten die Datenintegritaet für die Handelsüberwachung.

Sollzustand
Systeme für Handelsplattform, orderabruf, -weiterleitung und Marktdaten sind dokumentiert, überwacht und resilient.

Umsetzungsschritte

  • Systematische Überwachung der Handelsplattformverfuegbarkeit einrichten.
  • Marktdatenfeeds auf Integrität und Vollständigkeit prüfen.
  • Failover-Kapazitaeten für Handelsplattformen vorhalten und testen.

Nachweise

  • Verfügbarkeitsstatistiken der Handelsplattform
  • Marktdaten-Integritätsprüfung
  • Failover-Testberichte
MAIT: MAIT 9.1, MAIT 9.2 MiFID/EMIR: MiFID II Art. 47–50 (Handelsplatzanforderungen), MiFIR Art. 22–25
DORA: DORA Art. 10–14 (IKT-Schutz, BCM) MaRisk: MaRisk AT 8.1 (Notfallmanagement)
ESMA-010 initial needs_review
Innovation & Regulierung

KI-Governance und automatisierte Handelssysteme (MiFID II, AI Act)

Automatisierte Handelssysteme und KI-Anwendungen im Wertpapierhandel erfuellen die Anforderungen von MiFID II Art. 17 (Algorithmic Trading) und AI Act.

Sollzustand
Algorithmic-Trading-Systeme sind getestet, überwacht und dokumentiert. KI-Systeme sind nach AI Act klassifiziert.

Umsetzungsschritte

  • Algorithmic-Trading-Systeme nach MiFID II Art. 17 testen und zulassen.
  • KI-Use-Cases im Handel inventarisieren und nach AI Act klassifizieren.
  • Business-Continuity-Maßnahmen für automatisierte Handelssysteme definieren.

Nachweise

  • Systemtests für Algorithmic-Trading
  • KI-Use-Case-Inventar
  • BCP-Maßnahmen für automatisierte Systeme
MAIT: MAIT 10.1, MAIT 10.2 MiFID/EMIR: MiFID II Art. 17 (Algorithmic Trading), AI Act (EU 2024/1689)
DORA: DORA Art. 15 (Erkennung), Art. 21 (TLPT) MaRisk: MaRisk AT 7.2 (Risikomanagement)
MAIT — Marktaufsichtliche Anforderungen an die IT

MAIT als historische Grundlage — heute durch DORA abgelöst

Die MAIT (Marktaufsichtliche Anforderungen an die IT) der BaFin wurden mit Inkrafttreten von DORA zum 17. Januar 2025 aufgehoben. DORA ist als EU-Verordnung lex specialis und verdrängt die nationalen IT-Standards. Die MAIT-Kontrollbereiche bleiben jedoch als historische Referenz und konzeptionelle Grundlage für die DORA-Umsetzung bei Wertpapierfirmen relevant. Zusammen mit EMIR (Clearing) und CSDR (Abwicklung) bilden MiFID II und DORA den aktuellen aufsichtsrechtlichen IKT-Rahmen für Kapitalmarktakteure.

DORA löst MAIT ab

Seit 17.01.2025 gilt ausschliesslich DORA für IKT-Risikomanagement bei Wertpapierfirmen. MAIT-Referenzen dienen der historischen Einordnung.

MiFID II bleibt

MiFID II (Art. 16, 17, 24) gilt unverändert. DORA ergänzt die IKT-spezifischen Anforderungen.

EMIR/CSDR unberührt

EMIR (Clearing) und CSDR (Abwicklung) bleiben eigenständig. DORA trifft auf die IKT-Basis dieser Systeme.

Übergangsfristen beachten

Institute unter FinmadiG-Übergangsfrist nutzen BAIT/MAIT bis 31.12.2026. Danach vollständiger DORA-Übergang.

Hinweis: Diese Inhalte sind Umsetzungshilfen und kuratierte Hinweise. Sie ersetzen keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung. Die Kontrollbereiche befinden sich im Aufbau (needs_review).