Zum Inhalt springen
Resilience Platform Resilience Platform

ESMA

IKT-Aufsicht für Wertpapierfirmen und Kapitalmarktakteure

IKT-Anforderungen für ESMA-regulierte Wertpapierfirmen.

Management-Zusammenfassung

  • 10 Kontrollbereiche decken die IKT-Aufsicht für Wertpapierfirmen ab — Governance, Handelssystem-Resilienz, Marktmissbrauch, Auslagerung, Clearing/Abwicklung und KI.
  • Jeder Control ist mit MAIT-Referenzen (Marktaufsichtliche Anforderungen an die IT), MiFID II-Artikeln, MAR, EMIR und CSDR verknüpft.
  • DORA- und MaRisk-Alignment für integrierte Compliance über Sektorengrenzen hinweg (Banken & Kapitalmarkt).
  • Konkrete Umsetzungsschritte und Nachweisbeispiele erleichtern die Prüfungsvorbereitung und Compliance-Dokumentation.

10

Kontrollbereiche (MAIT)

7

Handlungsfelder

0

Auf definiertem Niveau

10

In Prüfung (needs_review)

Governance & Organisation (2) Operative Resilienz (1) Third-Party-Risk & Auslagerung (1) Integritaet & Ueberwachung (2) Informationssicherheit (1) Erkennung & Reaktion (2) Innovation & Regulierung (1)
ESMA-001 initial needs_review
Governance & Organisation

IKT-Governance und Organisationspflichten (MiFID II)

Wertpapierfirmen verankern IKT-Risikomanagement in der Unternehmensfuehrung und erfuellen die organisatorischen Anforderungen nach MiFID II und MAIT.

Sollzustand
IKT-Governance ist im Organisationshandbuch dokumentiert, IKT-Risiken sind im Risikomanagementprozess integriert.

Umsetzungsschritte

  • IKT-Organisationsrichtlinie nach MiFID II Art. 16 (Organisationspflichten) erstellen.
  • IKT-Risikomanagement in das institutseigene Risikomanagementsystem integrieren.
  • Compliance-Funktion mit IKT-Kontrollaufgaben betrauen.

Nachweise

  • Organisationshandbuch mit IKT-Governance
  • Risikomanagement-Richtlinie mit IKT-Risikoabschnitt
  • Compliance-Bericht mit IKT-Pruefungen
MAIT: MAIT 1.1, MAIT 1.2 MiFID/EMIR: MiFID II Art. 16, 24, Delegierte Verordnung 2017/565 Art. 21–30
DORA: DORA Art. 4–8 (IKT-Governance, Risikomanagementrahmen) MaRisk: MaRisk AT 4.3.1, AT 7.2
ESMA-002 initial needs_review
Governance & Organisation

IKT-Risikomanagement und Kontrollsystem

Ein angemessenes IKT-Kontrollsystem stellt die Integritaet, Verfuegbarkeit und Sicherheit der Handelssysteme und Kundenvermoegen sicher.

Sollzustand
IKT-Kontrollsystem ist dokumentiert, Kontrollen werden regelmaessig auf Wirksamkeit geprueft.

Umsetzungsschritte

  • IKT-Kontrollmatrix mit Kontrollzielen und -frequenzen erstellen.
  • Regelmaessige Kontrollpruefungen (mindestens jaehrlich) durchfuehren.
  • Kontrollergebnisse im Compliance-Bericht dokumentieren.

Nachweise

  • IKT-Kontrollmatrix
  • Kontrollpruefungsnachweise
  • Compliance-Bericht mit IKT-Kontrollergebnissen
MAIT: MAIT 2.1, MAIT 2.2 MiFID/EMIR: MiFID II Art. 16 (Organisationspflichten)
DORA: DORA Art. 5–8 (IKT-Risikomanagement) MaRisk: MaRisk AT 7.2, BT 2.1
ESMA-003 initial needs_review
Operative Resilienz

Handelssystemresilienz und Geschaeftsfortfuehrung

Handelssysteme und Handelsinfrastruktur sind gegen IKT-Ausfaelle geschuetzt und koennen innerhalb definierter Fristen wiederhergestellt werden.

Sollzustand
Business-Continuity-Plan fuer Handelssysteme implementiert, regelmaessig getestet und dokumentiert.

Umsetzungsschritte

  • Business-Impact-Analyse (BIA) fuer Handelssysteme und Zahlungsdienstleistungen durchfuehren.
  • BCP fuer Handelssysteme mit definierten RTO/RPO erstellen und testen.
  • Ausweichkapazitaeten fuer kritische Handelssysteme vorhalten.

Nachweise

  • BIA fuer Handelssysteme
  • BCP-Testbericht (mindestens jaehrlich)
  • Nachweis der Ausweichkapazitaeten
MAIT: MAIT 3.1, MAIT 3.2 MiFID/EMIR: MiFID II Art. 16 (Organisationspflichten), Delegierte Verordnung 2017/565 Art. 30 (BCM)
DORA: DORA Art. 11–13 (IKT-Notfallmanagement, BCM) MaRisk: MaRisk AT 8.1 (Notfallmanagement)
ESMA-004 initial needs_review
Third-Party-Risk & Auslagerung

IKT-Auslagerung bei Wertpapierfirmen

Auslagerungen von IKT-Dienstleistungen bei Wertpapierfirmen werden gemaess ESMA-Auslagerungsleitlinien und DORA gesteuert.

Sollzustand
Auslagerungsregister gefuehrt, wesentliche Auslagerungen genehmigt, Dienstleister-Monitoring aktiv.

Umsetzungsschritte

  • Auslagerungsregister nach ESMA-Leitlinien (ESMA35-36-2530) fuehren.
  • Wesentliche IKT-Auslagerungen identifizieren und dokumentieren.
  • Dienstleistervertraege auf Konformitaet mit DORA Art. 28–29 pruefen.

Nachweise

  • Auslagerungsregister (aktuell)
  • Genehmigungsdokumentation fuer wesentliche Auslagerungen
  • Dienstleister-Monitoring-Berichte
MAIT: MAIT 4.1, MAIT 4.2 MiFID/EMIR: MiFID II Art. 16 (Auslagerung), ESMA Outsourcing Guidelines ESMA35-36-2530
DORA: DORA Art. 25–29 (IKT-Drittparteienrisiko) MaRisk: MaRisk AT 9 (Auslagerung)
ESMA-005 initial needs_review
Integritaet & Ueberwachung

Marktmissbrauchsueberwachung und IKT-Integritaet (MAR)

Systeme zur Ueberwachung von Marktmissbrauch (MAR) sind technisch zuverlaessig und vor Manipulation geschuetzt.

Sollzustand
Ueberwachungssysteme sind dokumentiert, Zugriffe protokolliert, und die Datenintegritaet ist sichergestellt.

Umsetzungsschritte

  • Ueberwachungssysteme fuer Marktmissbrauch nach MAR Art. 16 implementieren.
  • Zugriffsprotokollierung und Aenderungsnachverfolgung fuer Ueberwachungssysteme einrichten.
  • Regelmaessige Integritaetspruefungen der Ueberwachungsdaten durchfuehren.

Nachweise

  • Systemdokumentation der Ueberwachungssysteme
  • Zugriffsprotokolle (letzte 12 Monate)
  • Integritaetspruefungsberichte
MAIT: MAIT 5.1, MAIT 5.2 MiFID/EMIR: MAR Art. 16 (Ueberwachungssysteme)
DORA: DORA Art. 9 (IKT-Schutz), Art. 16 (Erkennung) MaRisk: MaRisk BT 3.2 (Ueberwachung)
ESMA-006 initial needs_review
Integritaet & Ueberwachung

Clearing- und Abwicklungssystem-Resilienz (EMIR, CSDR)

Die IKT-Systeme fuer Clearing und Abwicklung sind resilient gegen Stoerungen und erfuellen die Anforderungen von EMIR und CSDR.

Sollzustand
Systeme fuer Clearing (EMIR) und Wertpapierabwicklung (CSDR) sind dokumentiert, getestet und resilient.

Umsetzungsschritte

  • Risikoanalyse fuer Clearing- und Abwicklungssysteme durchfuehren.
  • Regelmaessige Resilienztests fuer EMIR-kritische Systeme durchfuehren.
  • Abwicklungsdisziplin (CSDR Settlement Discipline) in IKT-Prozesse integrieren.

Nachweise

  • Risikoanalyse fuer Clearing/Abwicklungssysteme
  • Resilienz-Testberichte
  • CSDR-Settlement-Berichte
MAIT: MAIT 6.1, MAIT 6.2 MiFID/EMIR: EMIR Art. 11, 18 (Risikominderung), CSDR Art. 5–7 (Settlement)
DORA: DORA Art. 11–14 (IKT-Notfallmanagement, BCM) MaRisk: MaRisk AT 8.1 (Notfallmanagement)
ESMA-007 initial needs_review
Informationssicherheit

IKT-Sicherheit und Datenschutz bei Wertpapierdienstleistungen

Kundenvermoegen, Handelsdaten und Transaktionsinformationen werden durch angemessene IKT-Sicherheitsmassnahmen geschuetzt.

Sollzustand
ISMS implementiert, Kundenvermoegen getrennt verwahrt, Transaktionsdaten vor Manipulation geschuetzt.

Umsetzungsschritte

  • ISMS fuer den Wertpapierhandelsbereich implementieren.
  • Trennung von Kundenvermoegen und Institutsvermoegen (MiFID II Art. 16) in IKT-Systemen abbilden.
  • Transaktionsdaten-Integritaet durch digitale Signaturen oder aehnliche Massnahmen sicherstellen.

Nachweise

  • ISMS-Dokumentation
  • Nachweis der Vermoegenstrennung in IKT-Systemen
  • Transaktionsintegritaetspruefung
MAIT: MAIT 7.1, MAIT 7.2 MiFID/EMIR: MiFID II Art. 16 (Sicherheit), Delegierte Verordnung 2017/565 Art. 21
DORA: DORA Art. 9 (IKT-Schutz, Prevention) MaRisk: MaRisk BT 3.1 (Informationssicherheit)
ESMA-008 initial needs_review
Erkennung & Reaktion

IKT-Vorfallerkennung, Meldewesen und Offenlegung

IKT-Vorfaelle werden erkannt, klassifiziert und gemaess MiFID II, MAR und DORA an die zustaendige Aufsicht gemeldet.

Sollzustand
Vorfallerkennungsprozess implementiert, Meldeketten definiert und getestet, Offenlegungspflichten bekannt.

Umsetzungsschritte

  • SIEM/SOC-Funktion oder vergleichbare Erkennungsmassnahmen implementieren.
  • Meldeketten an BaFin und ESMA fuer IKT-Vorfaelle definieren.
  • Offenlegungspflichten nach MAR Art. 17 (Ad-hoc-Publizitaet) bei IKT-Vorfaellen prüfen.

Nachweise

  • Vorfallerkennungsverfahren
  • Meldeprozess-Beschreibung
  • Testnachweise fuer Meldeketten
MAIT: MAIT 8.1, MAIT 8.2 MiFID/EMIR: MiFID II Art. 16 (Organisation), MAR Art. 17 (Ad-hoc)
DORA: DORA Art. 15–19 (IKT-Vorfallerkennung und -Meldewesen) MaRisk: MaRisk AT 8.2 (Notfalluebung)
ESMA-009 initial needs_review
Erkennung & Reaktion

Handelsplattform-Betrieb und Marktdatenintegritaet

Handelsplattformen und Marktdatensysteme arbeiten zuverlaessig und gewaehrleisten die Datenintegritaet fuer die Handelsueberwachung.

Sollzustand
Systeme fuer Handelsplattform, orderabruf, -weiterleitung und Marktdaten sind dokumentiert, ueberwacht und resilient.

Umsetzungsschritte

  • Systematische Ueberwachung der Handelsplattformverfuegbarkeit einrichten.
  • Marktdatenfeeds auf Integritaet und Vollstaendigkeit pruefen.
  • Failover-Kapazitaeten fuer Handelsplattformen vorhalten und testen.

Nachweise

  • Verfuegbarkeitsstatistiken der Handelsplattform
  • Marktdaten-Integritaetspruefung
  • Failover-Testberichte
MAIT: MAIT 9.1, MAIT 9.2 MiFID/EMIR: MiFID II Art. 47–50 (Handelsplatzanforderungen), MiFIR Art. 22–25
DORA: DORA Art. 10–14 (IKT-Schutz, BCM) MaRisk: MaRisk AT 8.1 (Notfallmanagement)
ESMA-010 initial needs_review
Innovation & Regulierung

KI-Governance und automatisierte Handelssysteme (MiFID II, AI Act)

Automatisierte Handelssysteme und KI-Anwendungen im Wertpapierhandel erfuellen die Anforderungen von MiFID II Art. 17 (Algorithmic Trading) und AI Act.

Sollzustand
Algorithmic-Trading-Systeme sind getestet, ueberwacht und dokumentiert. KI-Systeme sind nach AI Act klassifiziert.

Umsetzungsschritte

  • Algorithmic-Trading-Systeme nach MiFID II Art. 17 testen und zulassen.
  • KI-Use-Cases im Handel inventarisieren und nach AI Act klassifizieren.
  • Business-Continuity-Massnahmen fuer automatisierte Handelssysteme definieren.

Nachweise

  • Systemtests fuer Algorithmic-Trading
  • KI-Use-Case-Inventar
  • BCP-Massnahmen fuer automatisierte Systeme
MAIT: MAIT 10.1, MAIT 10.2 MiFID/EMIR: MiFID II Art. 17 (Algorithmic Trading), AI Act (EU 2024/1689)
DORA: DORA Art. 15 (Erkennung), Art. 21 (TLPT) MaRisk: MaRisk AT 7.2 (Risikomanagement)
MAIT — Marktaufsichtliche Anforderungen an die IT

MAIT als historische Grundlage — heute durch DORA abgelöst

Die MAIT (Marktaufsichtliche Anforderungen an die IT) der BaFin wurden mit Inkrafttreten von DORA zum 17. Januar 2025 aufgehoben. DORA ist als EU-Verordnung lex specialis und verdrängt die nationalen IT-Standards. Die MAIT-Kontrollbereiche bleiben jedoch als historische Referenz und konzeptionelle Grundlage für die DORA-Umsetzung bei Wertpapierfirmen relevant. Zusammen mit EMIR (Clearing) und CSDR (Abwicklung) bilden MiFID II und DORA den aktuellen aufsichtsrechtlichen IKT-Rahmen für Kapitalmarktakteure.

DORA löst MAIT ab

Seit 17.01.2025 gilt ausschliesslich DORA für IKT-Risikomanagement bei Wertpapierfirmen. MAIT-Referenzen dienen der historischen Einordnung.

MiFID II bleibt

MiFID II (Art. 16, 17, 24) gilt unverändert. DORA ergänzt die IKT-spezifischen Anforderungen.

EMIR/CSDR unberührt

EMIR (Clearing) und CSDR (Abwicklung) bleiben eigenständig. DORA trifft auf die IKT-Basis dieser Systeme.

Übergangsfristen beachten

Institute unter FinmadiG-Übergangsfrist nutzen BAIT/MAIT bis 31.12.2026. Danach vollständiger DORA-Übergang.

Hinweis: Diese Inhalte sind Umsetzungshilfen und kuratierte Hinweise. Sie ersetzen keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung. Die Kontrollbereiche befinden sich im Aufbau (needs_review).