IT-Sicherheit: BaFin veröffentlicht Entwurf des Rundschreibens „Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT)“

Entwurf des BaFin-Rundschreibens zu den „Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT)“) wurde veröffentlicht

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat sowohl im Bankenbereich („BAIT –Bankaufsichtliche Anforderungen an die IT“) wie auch im Versicherungsbereich („VAIT – Versicherungsaufsichtliche Anforderungen an die IT“) die Anforderungen an die technisch organisatorische Ausstattung (IT) massiv erweitert und detailliert. Nachdem diese Regelungen bereits Anwendung finden, rücken nun die Kapitalverwaltungsgesellschaften (KVGen) in den Fokus. Die BaFin veröffentlichte am 08. April 2019 einen Entwurf des Rundschreibens „Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT)“, dessen Konsultationsphase bis zum 06. Mai 2019 andauert.

Das Rundschreiben findet Anwendung auf alle Kapitalverwaltungsgesellschaften im Sinne des § 17 Kapitalanlagegesetzbuch (KAGB), soweit diese über eine Erlaubnis der BaFin verfügen. Vom Rundschreiben ausgenommen sind registrierte KVGen nach § 44 KAGB, extern verwaltete Investmentgesellschaften, Zweigniederlassungen von EU-Verwaltungsgesellschaften nach §§ 51 und 54 KAGB, Verwahrstellen, Treuhänder und Bewerter. Bei extern verwalteten Investmentgesellschaften trägt die verwaltende KVG die Verantwortung für die Einhaltung der Vorgaben des Rundschreibens.

Das veröffentlichte 26-seitige Rundschreiben enthält dabei Hinweise zur Auslegung des KAGB sowie Konkretisierungen zu den Mindestanforderungen an das Risikomanagement von Kapitalverwaltungsgesellschaften (KAMaRisk), soweit sie sich auf die technisch-organisatorische Ausstattung der Unternehmen beziehen. Die BaFin berücksichtigt damit die besondere Bedeutung der Informationstechnik (IT) in den KVGen. Zentrales Ziel dieses Rundschreibens zu den KAIT ist es, dem Management der Unternehmen einen flexiblen und praxisnahen Rahmen für die IT der KVGen, insbesondere auch für das Management der IT-Ressourcen und für das IT-Risikomanagement vorzugeben. Angesichts dessen, dass immer mehr KVGen IT-Dienstleistungen von Dritten in Anspruch nehmen (z. B. Cloud-Dienstleistungen), wird auch der Umgang mit Auslagerungen von IT-Aktivitäten und IT-Prozessen detailliert geregelt. Insgesamt werden acht Anforderungen näher beschrieben und behandelt:

  1. IT-Strategie: Es muss nachgewiesen werden, dass die KVG über eine aktuelle und zur Geschäftsstrategie konsistente IT-Strategie verfügt.
  2. IT-Governance: Hier werden die Strukturen zur Steuerung sowie Überwachung des Betriebes und der Weiterentwicklung der IT behandelt.
  3. Informationsrisikomanagement: Die KVG muss zukünftig Informationsrisiken systematisch identifizieren und sie sollten folglich über einen aktuellen Überblick über die Bestandteile des festgelegten Informationsverbunds sowie deren Abhängigkeiten und Schnittstellen verfügen. Analog zu den BAIT und VAIT muss der Schutzbedarf speziell der VIVA-Schutzziele (Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität) ermittelt werden, ein Soll-Maßnahmenkatalog erstellt werden und ein Soll-Ist-Vergleich der Maßnahmen erfolgen. Die Informationsrisiken sind in das operationelle Risikomanagement zu integrieren und gegenüber der Geschäftsführung mindestens vierteljährlich zu berichten.
  4. Informationssicherheitsmanagement: Es ist die Funktion eines Informationssicherheitsbeauftragten im eigenen Haus einzurichten. Zur Vermeidung von Interessenskonflikten ist diese Funktion organisatorisch und prozessual unabhängig auszugestalten. Nur in Sonderfällen darf die Funktion außerhalb der KVG angesiedelt werden. Darüber hinaus ist ein sogenannter Verbesserungskreislauf (KVP) umzusetzen mit dem Ziel, die Informationssicherheit über einen geregelten Prozess ständig zu verbessern und aktuell zu halten.
  5. Benutzerberechtigungsmanagement: Jeder Mitarbeiter darf nur die zur Durchführung seiner täglichen Aufgaben notwendig Berechtigungszugriffe verfügen (Sparsamkeitsgrundsatz – Need-to-know-Prinzip).
  6. IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen): Bei Auflage eines neuen Projektes muss gleichzeitig die Auswirkung auf die IT-Organisation und deren Prozesse beachtet werden. Die IT-Projektrisiken sind im Risikomanagement zu berücksichtigen und mitsamt den IT-Projekten gegenüber der Geschäftsleitung regelmäßig und anlassbezogen zu berichten. Die BaFin berücksichtigt im Zuge dessen auch agile Projektmanagementmethoden (wie etwa Scrum), indem sie aufführt, dass Anforderungsdokumente an die Funktionalität der Anwendung u. a. auch User Stories und Product Backlogs sein dürfen.
  7. IT-Betrieb (inkl. Datensicherung): Der Betrieb muss reibungslos vonstattengehen und dafür gilt es insbesondere das Lebenszyklusmanagement (LCM) sowie die zugrundeliegende Verfügbarkeit und Aktualität der genutzten Technik im Auge zu haben.
  8. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen: Wie alle Auslagerungen müssen auch hier in Zukunft Risikobetrachtungen in die Gesamtbewertung vor der Entscheidung zur Auslagerung eingebracht werden. Allerdings verweist die BaFin darauf, dass es nicht ohne weiteres möglich ist, starre und praxisgerechte Kriterien für die Abgrenzung zwischen einer Auslagerung und sonstigem Fremdbezug zu definieren. Dennoch gibt sie Beispiele vor, welche IT-Dienstleistungen in der Regel als Auslagerung zu betrachten sind und im Hinblick auf die Auslagerung auf Cloud-Anbieter ist ergänzend das BaFin-Merkblatt „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ zur berücksichtigen.

Nachdem mit einer zeitnahen Inkraftsetzung zu rechnen ist, sollten Sie bereits jetzt mit einer GAP-Analyse hinsichtlich der aufsichtsrechtlichen Anforderungen auf der einen Seite als auch den vorhandenen Gegebenheiten in Ihrem Haus auf der anderen Seite starten. Wir schätzen die Änderungen und die damit verbundenen Umsetzungsaufwände für die Branche als erheblich ein – das zeigt auch der direkte Vergleich zur Banken- und Versicherungsbranche mit relativ analogen Anforderungen. Insbesondere sind die Implementierungszeiten hierbei nicht zu unterschätzen!

Die Experten von RFC Professionals begleiten seit vielen Jahren effizient und erfolgreich die Implementierung von IT-Anforderungen, unterstützt durch bspw. das RFC-BAIT/VAIT/KAIT-Analyse-Tool sehen wir uns hier als Ansprechpartner der ersten Wahl. Sprechen Sie uns diesbezüglich gerne jederzeit an.

Ihre Ansprechpartner erreichen Sie gerne per Mail.

S. Christian Mayer

S. Christian
Mayer

Matthias Oßmann

Matthias
Oßmann