KAIT - Anforderungen - KAIT der BaFin

KAIT-Beratung
ISO 22301 Beratung
Vorsprung durch Wissen
KAIT-Beratung
Direkt zum Seiteninhalt

Was ist bei KAIT umzusetzen?

KAIT Anforderungen

Erwartungshaltung der BaFin

Die BaFin erwartet, dass die KVGen in einem ersten Schritt eine GAP-Analyse durchführt und daraus einen Projektplan zur Umsetzung der KAIT-Anforderungen entwickeln. Die BaFin wird in der erstmaligen Anwendung der Überprüfung diese mit "Augenmaß" durchführen.

Es ist von der BaFin die Einrichtung einer gesonderten "Implementierungsgruppe" geplant. Diese Arbeitsgruppe soll die  KVGen einzeln anschreiben und einen Bericht zum Umsetzungsstatus von KAIT in den Unternehmen anfordern.

Ursprünglich war die Planung der BaFin mit der ersten Welle von Sonderprüfungen bei KVGen - durch das neue Referat Informationstechnologie bei der BaFin - frühestens in der zweiten Jahreshälfte 2020 zu beginnen. Dies wird sich jetzt wahrscheinlich durch die aktuelle Lage verzögern.

Was ist umzusetzen?

KAIT erfordert ein ganzheitliches Vorgehen bei der Projektumsetzung, da die einzelen Gebiete [1] bis [8] teilweise direkt aufeinander aufbauen bzw. ineinander verzahnt sind.

[1] IT-Strategie

Eine Grundlage für die Umsetzung der KAIT bildet die IT-Strategie. Aus ihr werden alle weiteren IT-Themen und Informationssicherheit-Themen abgeleitet.

Die IT-Strategie ist aus der Geschäftsstrategie des Unternehmens abzuleiten. Zur Erstellung der IT-Strategie kann methodisch kann hierzu zum Beispiel eine SWOT-Analyse durchgeführt werden. Hieraus lassen sich messbare Ziele für die IT und Informationssicherheit ableiten.

Die Ergebnisse müssen in der Organisation kommuniziert und gelebt werden (Rn4). Nach KAIT Rn5 müssen zusätzlich Anpassungen oder Erstverabschiedung der IT-Strategie dem Aufsichtsrat vorgelegt und erörtert werden.

Die Mindestinhalte der IT-Strategie müssen gem. Ziffer 2 folgende Punkte umfassen:

    • Strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation sowie der Auslagerungen von IT-Dienstleistungen,

    • Zuordnung der gängigen Standards, an denen sich die KVG orientiert

    • Aufgaben, Kompetenzen undZuständigkeiten und Einbindung in der IT und ISM sowie Einbindung der Informationssicherheit in die IT-Strategie

    • Strategische Entwicklung der IT-Architektur

    • Regelungen zum Notfallmanagement (BCM) unter Berücksichtigung der IT-Belange,

    • Aussagen zu den in den Fachbereichen selbst betriebenen bzw. entwickelten individuell entwickelten IT-Systemen, IDV geannt (Hardware- und Software-Komponenten).
        

[2] IT-Governance

Bestandteile der IT-Governance sind Führung, Organisationsstrukturen und Prozesse, welche die Unternehmensstrategie und -ziele unterstützen. Diese erfolgen in den Prinzipien

    • Verantwortlichkeit : Bewusstsein bei Geschäftsführung für IT-Belange

    • Stratgie: Strategische Planung aktueller und zukünftiger IT-Möglichleiten in Abstimmung mit der Unternehmenszielen

    • Beschaffung: Bedarfsgerechter Einsatz von IT-Budgets

    • Leistung: Ausgestaltung von IT-Services nach den Anforderungen der Fachbereichen

    • Konformität: Umsetzung der IT-Services nach den rechtlichen Vorgaben, Normen und internen Standards

    • Menschliche Verhaltensweisen: Beachtung der Bedürfnisse von Personen, die von der zur Verfügung gestellten IT betroffen sind

Es geht somit um die Steuerung, Überwachung und Weiterentwicklung der IT.  KAIT fordert hierbei:

    • Festlegung der IT-Aufbau- und IT-Ablauforganisation

    • Angemessene Ressourcenausstattung der IT

    • Auflösen von Interessenkonflikten

    • Überwachung der Umsetzung von IT-Strategien

    • Einrichtung von Überwachungs- und Steuerungsprozessen für IT-Risiken

    • Sicherstellung auf Grundlage der IT-Richtlinien

    • Sicherstellung des Notfallmanagement

[3] Informationsrisikomanagement (IRM)

Das Unternehmen muss eine Risikomethodik und Risikomanagement für IT-Risiken aufbauen um damit die Schutzziele Vertraulichkeit - Integrität - Verfügbarkeit - Authenzität (V-I-V-A) sicherstellen. Hierzu müssen

    • der Informationsverbund, deren Abhängigkeiten und Schnittstellen der IT analysiert werden

    • die Sicherheitsziele und Risiken dafür bestimmt werden

    • eine Methodik und Risikomanagement aufgebaut werden

    • entsprechende Risikanalysen unter Beteiligung der Fachbereiche durchgeführt werden

    • eine regelmäßige Berichterstattung zur Geschäftsleitung durchgeführt werden

[4] Informationssicherheitmanagement (ISM)

KAIT fordert die Umsetzung eines Informationssicherheitsmanagement (ISM) mit festgelegten und gesteuerten Prozessen im klassischen Plan-Do-Act-Check Zyklus. Dies soll nach einem anerkannten Standard wie z.B. der ISO 27001 und nach Stand der Technik erfolgen.

Dazu gehören:

    • IS-Politik und -leitlinien

    • IS Sollkonzept

    • Installation eines Informationssicherheitsbeauftragten (ISB)

[5] Berechtigungsmanagement

Ein Berechtigungsmanagement stellt sicher, dass Berechtigungen nach dem "need to know" Prinzip erfolgen und den Schutzbedarf erfüllen. Hierzu gehören u.a.

    • ein geregelter Berechtigungsprozess (Einrichten, Ändern und Löschen)

    • ein Überprüfungsprozess für vergebene Berechtigungen

    • Verwaltung von priviligieren Benutzerrechten

    • Technische Maßnahmen zum Schutz von Berechtigungen

    • Richtlinen und Vorgaben zur Berechtigungssteuerung

[6] IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)

Dabei geht es um die gesteuerte und beherrschte Änderung an den IT-Systemen, die transparente Steuerung von IT-Risiken in Projekten sowie die Beherrschung der von den Fachabteilungen erstellten Anwendungen (IDV). Hierzu gehören

    • Steuerung von IT-Projekten

    • IT-Portfolio-Management

    • Testverfahren

    • Sicherheitsanforderungen für Anwendungsentwicklung

    • Dokumentationsanforderungen

    • Beherrschung der IDV

[7] IT-Betrieb

Der IT-Betrieb setzt die IT-Strategie um, die  aus der Geschäftsstrategie abgeleitet wurde. Hierzu sind u.a. folgende Punkte umzusetzen:

    • Verwaltung von Komponenten der IT-Systeme

    • Steuerung von dem IT-System-Portfolio

    • Steuerung der IT-Prozesse

    • Umsetzung des Änderungsmanagement

    • Umsetzung des Störungsmanagement

    • Umsetzung der Verfahren zur Datensicherheit

[8] Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

IT-Dienstleistungen umfassen alle Ausprägungen des Bezugs von IT; dazu zählen insbesondere die Bereitstellung von IT-Systemen, Projekte/Gewerbe oder Personalgestellung. Dies umfasst immer stärker die IT-Risiken der Unternehmen und ist somit in den Fokus der BaFin geraten. Folgende Anforderungen sind zu erfüllen:

    • Risikobewertung für jeden Fremdbezug von IT-Dienstleistungen

    • Umsetzung eines Auslagerungsmanagement

    • Überprüfungen von externem Leistungsbezug

Haben Sie Fragen hierzu oder benötigen Sie Unterstützung?

Dann sprechen Sie mit uns - wir unterstützen Sie gerne.
Wir helfen Ihnen bei allen Fragen zu KAIT
www.kait-beratung.de
Diese Seite wird von der CONSUVATION GmbH betrieben.
(C) CONSUVATION GmbH
+49 (0) 7031.4181-860
contact(@)consuvation.com
CONSUVATION GmbH
Ziegelstraße 20
71063 Sindelfingen
Deutschland
IMPRESSUM
Hier finden Sie Informationen
zu unserem Unternehmen
MONTAG-FREITAG
09:00  - 17:00
SAMSTAG -SONNTAG
geschlossen
Die Übermittlung Ihrer  Daten in unseren Kontaktformularen erfolgt nicht verschlüsselt. Wollen Sie das  Kontaktformular nicht nutzen wollen, können Sie uns gerne auch direkt eine Email senden oder anrufen. Wir verarbeiten Ihre Daten aus dem Kontaktformular oder Email ausschließlich zur Bearbeitung Ihrer Anfrage und gegeben diese nicht an Dritte weiter. Dabei halten wir die Anforderungen der Datenschutz Grundverordnung (DS GVO) und BDSG-neu ein.
DATENSCHUTZERKLÄRUNG
Hier finden Sie Informationen zum
Datenschutz
Zurück zum Seiteninhalt