KAIT der BaFin - KAIT der BaFin

KAIT-Beratung
ISO 22301 Beratung
Vorsprung durch Wissen
KAIT-Beratung
Direkt zum Seiteninhalt

Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT)

KAIT Überblick

Grundlagen zu KAIT

Aufgrund verschiedener Vorfälle rückte die Informationstechnologie (IT) in den Banken, Versicherungen und Kaptialverwaltungsgesellschaften immer stärker in den Fokus der nationalen und europäischen Aufsichtsbehörden. Kein Unternehmen in diesen Wirtschaftsstektoren kann ohne eine funktionierende IT mehr sein Geschäftsmodell aufrecht erhalten.

Die Anforderungen diesbezüglich an Kapitalverwaltungsgesellschaften sind grundsätzlich nichts neues. Bisher bestanden bereits grundsätzliche Anforderungen an die Informationstechologie. Diese waren bzw. sind unter anderem in dem Kapitalanlagegesetzbuch (KAGB) von 2013, der Verordnung zur Konkretisierung der Verhaltensregeln und Organisationsregeln nach dem Kapitalanlagegesetzbuch und anderen europäischen Regelungen und Vorgaben bereits existent.

In Deutschland fand die Präzisierung bislang in den Mindestanforderungen an das Risikomanagement von Kapitalverwaltungsgesellschaften (KAMaRisk) in dem Rundschreiben 01/2017 der BaFin statt.

Im Jahr 2019 hat die BaFin aufgrund des Anspruches und Komplexität das Thema der Anforderungen an die Informationstechnologie in einem eigenen Rundschreiben - der KAIT - weiter vertieft und konkrete Anforderungen spezifiziert.   

Die BaFin veröffentlichte am 08. April 2019 eine Konsultation zum Rundschreiben 07/2019 VAIT auf der Homepage der BaFin (am 16. Mai 2019 nochmals geändert). In dem Rundschreiben wurden die Anforderungen an die organisatorischen und technischen Rahmenbedingungen an die IT festgelegt. Da auch Kapitalverwertungsgesellschaften immer verstärkt IT-Dienstleistungen von Dritten beziehen, wurde auch hier Anforderungen und Rahmenbedingungen festgelegt.

Die Anforderungen der KAMaRisk bleiben von dem KAIT Rundschreiben unberührt. Die Umsetzung der formulierten Anforderungen hat nach dem Stand der Technik und auf Basis gängiger anerkannter Standards zu erfolgen.

Das Rundschreiben KAIT wurde am 02. Oktober 2019 veröffentlicht. Es kam zu keinen großartigen Änderungen zur Version der Konsultation zum Rundschreiben 07/2019, ausser dem Wegfall der inhaltlichen Berichtspflicht des Informationssicherheitsbeauftragten an den Aufsichtsrat.

Wie im Konsultationspapier, ist auch in der Endversion keine Übergangsphase vorgesehen. Somit gilt die KAIT unmittelbar. Die BaFin stellt in der Anfangsphase von KAIT eine Durchführung der Aufsicht nach "Augenmaß" in Aussicht. Aus Sicht der BaFin besteht jedoch die Erwartungshaltung, dass die KVGen umgehend mit der Umsetzung beginnen.

Downloads:

KAIT Rundschreiben 10/2017                                                      Download_KAIT_Rundschreiben_10_2019

KAMaRisk                                                                                   Download_KAMaRisk

Ansatz BaFin Aufsichtsrecht - Präsentation (Quelle BaFin)            Download_Ansatz_Aufsichtsrecht
KAIT 1 - Info-Präsentation (Quelle BaFin)                                     Download_Infopräsentation_BaFin_1
KAIT 2 - Info-Präsentation (Quelle BaFin)                                     Download_Infopräsentation_BaFin_2

Struktur von KAIT

Nach dem Einführungsteil, welcher in den Randnummern (Rn) eins bis fünf die Ableitung aus anderen Rechtsvorschriften ableitet und die Anforderungen zu den Standards im Fachgebiet formuliert, wird auch das Proportionalisätsprinzip dargestellt.

Die Anforderungen untergliedern sich in acht Bereiche:

[1] IT-Strategie
[2] IT-Governance
[3] Informationsrisikomanagement (IRM)
[4] Informationssicherheitsmanagement (ISM)
[5] Berechtigungsmanagement
[6] IT-Projekte und Anwendungsentwicklung (inkl. durch Anwender in den Fachbereichen (IDV)
[7] IT-Betrieb
[8] Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Somit gleicht die Gliederung fast dem Rundschreiben zu den Bankaufsichtliche Anforderungen an die IT (BAIT) und Versicherungsaufsichtliche Anforderungen an die IT (VAIT). Die dort zusätzlich formulierten Anforderungen [9] Kritische Infrastruktur wurden aufgrund des Geschäftszwecks der Kaptialverwaltungsgesellschaften nicht übernommen.


Proportionalisätsprinzip

Die Proportionalität stellt damit die Umsetzung in Bezug auf die Verhältnismäßigkeit in Bezug auf Größe, Komplexität, Risikobewertung und Internationalität dar.

Unterschiede KAIT zu BAIT


Obwohl die Struktur von KAIT zu BAIT (und auch zu KAIT) oberflächlich sich fast gleicht, unterscheiden sich jedoch die einzelnen Randnummern (Rn) in den Anforderungen. Nachfolgend wird die KAIT zur BAIT vergleichen.

[1] IT-Strategie

Hier wurden zwei zusätzliche Anforderungen aufgenommen.

Rn3: Die in der IT-Strategie niedergelegten Ziele sind so zu formulieren, dass eine sinnvolle Überprüfung der Zielerreichung möglich ist.

Rn4: Die IT-Strategie ist bei Erstverabschiedung sowie bei Anpassungen dem Aufsichtsrat oder dem vergleichbaren Aufsichtsorgan der KVG zur Kenntnis zu geben und ggf. mit diesem zu erörtern.

[2] IT-Governance

Rn7: Es ist sicherzustellen, dass die Regelungen zur IT-Aufbau- und IT-Ablauforganisation wirksam umgesetzt werden. Ergänzung: Das gilt auch bezüglich der Schnittstellen zu Verwahrstellen und wichtigen Auslagerungsunternehmen.

Rn11: Für IT-Risiken sind angemessene Überwachungs- und Steuerungsprozesse einzurichten.

Rn12: Die KVG hat sicherzustellen, dass die IT-bezogenen Geschäftsaktivitäten auf der Grundlage von Arbeitsablaufbeschreibungen (Organisationsrichtlinien) betrieben werden. Der Detaillierungsgrad der Organisationsrichtlinien hängt von der Risikostruktur der KVG ab.

Rn13: Alle Mitarbeiter müssen fortlaufend - abhängig von ihren Aufgaben, Kompetenzen und Verantwortlichkeiten - über die erforderlichen Kenntnisse und Erfahrungen auch im Bereich der IT verfügen.

Rn14: Die Abwesenheit oder das Ausscheiden von Mitarbeitern darf nicht zu nachhaltigen Störungen der Betriebsabläufe führen.

Rn15: Für den Fall einer Störung, eines Ausfalls oder der Zerstörung der IT-Systeme, einschließlich der Schnittstellen und / oder der Online-Anbindung sind geeignete Notfallmaßnahmen zu implementieren, die die angemessene Fortführung des Geschäftsbetriebs, die Handlungsfähigkeit der KVG und die Sicherung der Wahrnehmung der Interessen der Anleger gewährleisten. Die Funktionsfähigkeit der Notfallmaßnahmen ist regelmäßig zu testen.

[3] Informationsrisikomanagment (IRM)

Rn17: Die Identifikations-, Bewertungs-, Überwachungs- und Steuerungsprozesse haben insbesondere die Festlegung von IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleitete Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung von Maßnahmen zur Risikobehandlung der verbliebenen Restrisiken zu umfassen. Beim Bezug von Software sind die damit verbundenen Risiken angemessen zu bewerten und zu steuern.

Rn29: Erweiterung in den Erläuterungen: KVGen können die Funktion des Informationssicherheitsbeauftragten grundsätzlich mit anderen Funktionen in der KVG kombinieren. Sofern eine Kombination mit der Funktion des Datenschutzbeauftragten erfolgen soll, sind ergänzend die datenschutzrechtlichen Voraussetzungen zu prüfen.
Nur in folgenden Fällen kann der Informationssicherheitsbeauftragte außerhalb der KVG angesiedelt werden:
KVGen mit geringer Mitarbeiteranzahl und ohne wesentlichen eigenen IT-Betrieb, bei denen die IT-Dienstleistungen im Wesentlichen durch einen externen IT-Dienstleister erbracht werden, können die Funktion des Informationssicherheitsbeauftragten auf einen fachlich qualifizierten Dritten übertragen.
Konzernangehörige KVGen mit geringer Mitarbeiteranzahl und ohne wesentlichen eigenen IT-Betrieb, bei denen IT-Dienstleistungen im Wesentlichen durch konzernangehörige Unternehmen erbracht werden, können die Funktion des Informationssicherheitsbeauftragten auch auf den Informationssicherheitsbeauftragten eines übergeordneten Konzernunternehmens übertragen.
In beiden Fällen ist in der KVG eine interne Ansprechperson für den Informationssicherheitsbeauftragten zu benennen.
Die Möglichkeit, sich externer Unterstützung per Servicevertrag zu bedienen, bleibt unberührt.

[4] Berechtigungsmanagement

Rn35: Jeder technische Benutzer muss einer verantwortlichen Person zugeordnet sein, die im Rahmen der Rezertifizierung einzubinden ist. Die eingerichteten technischen Benutzer müssen in einem Zentralverzeichnis verwaltet werden.

[6] IT-Projekte und Anwendungsentwicklung (einschließlich IDV)

Rn42: Die IT-Systeme sind vor ihrer Übernahme in den produktiven Betrieb zu testen und von den fachlich sowie auch von den technisch zuständigen Mitarbeitern abzunehmen. Produktions- und Testumgebung sind dabei grundsätzlich voneinander zu trennen. Diese Anforderungen gelten grundsätzlich auch bei wesentlichen Veränderungen der IT-Systeme.

Rn55: Ergänzung: Die Anforderungen unter II. Rn. 17 und 42 sind auch beim Einsatz von durch die Fachbereiche selbst entwickelten Anwendungen (Individuelle Datenverarbeitung - „IDV“) Entsprechend der Kritikalität der unterstützten Geschäftsprozesse und der Bedeutung der Anwendungen für diese Prozesse zu beachten. Die Festlegung von Maßnahmen zur Sicherstellung der Datensicherheit hat sich am Schutzbedarf der verarbeiteten Daten zu orientieren.

[7] IT-Betrieb

keine Ergänzung

[8] Auslagerungen und sonstiger Fremdbezug von IT Leistungen

Rn64: Eine Auslagerung liegt vor, wenn ein anderes Unternehmen mit der Wahrnehmung von Aufgaben beauftragt wird (Auslagerungsunternehmen), die ansonsten von der KVG selbst erbracht würden. Von der Auslagerung von IT-Dienstleistungen ist der sonstige Fremdbezug von ITDienstleistungen abzugrenzen.

Es wird davon ausgegangen, das diese Punkte in der Überarbeitung der BAIT auch dort übernommen wird.
Wir helfen Ihnen bei allen Fragen zu KAIT
KAIT KAIT KAIT KAIT KAIT
KAIT Beratung KAIT Beratung KAIT Beratung KAIT Beratung KAIT Beratung KAIT Beratung
KAIT Schulung KAIT Schulung KAIT Schulung KAIT Schulung KAIT Schulung KAIT Schulung
www.kait-beratung.de
Diese Seite wird von der CONSUVATION GmbH betrieben.
(C) CONSUVATION GmbH
+49 (0) 7031.4181-860
contact(@)consuvation.com
CONSUVATION GmbH
Ziegelstraße 20
71063 Sindelfingen
Deutschland
Hier finden Sie Informationen
zu unserem Unternehmen
MONTAG-FREITAG
09:00  - 17:00
SAMSTAG -SONNTAG
geschlossen
Die Übermittlung Ihrer  Daten in unseren Kontaktformularen erfolgt nicht verschlüsselt. Wollen Sie das  Kontaktformular nicht nutzen wollen, können Sie uns gerne auch direkt eine Email senden oder anrufen. Wir verarbeiten Ihre Daten aus dem Kontaktformular oder Email ausschließlich zur Bearbeitung Ihrer Anfrage und gegeben diese nicht an Dritte weiter. Dabei halten wir die Anforderungen der Datenschutz Grundverordnung (DS GVO) und BDSG-neu ein.
Hier finden Sie Informationen zum
Datenschutz
Zurück zum Seiteninhalt