KAIT –Neue Anforderungen an die IT von Kapitalverwaltungsgesellschaften ab voraussichtlich Mitte / Ende Juli 2019

​Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) plant Mitte / Ende Juli 2019 das Inkrafttreten ihres Rundschreibens „Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT)”. Die KAIT beinhaltet neue Anforderungen an die IT von Kapitalverwaltungsgesellschaften (KVGen), die wir Ihnen nachfolgend – basierend auf der aktuellen Entwurfsfassung der KAIT – zusammenfassen möchten:  

Ähnlich zu den BaFin-Rundschreiben im Banken- und Versicherungsbereich („Bankaufsichtliche Anforderungen an die IT (BAIT)” und „Versicherungsaufsichtliche Anforderungen an die IT (VAIT)” zielt die KAIT auf die Erhöhung der IT-Sicherheit – nun bezogen auf KVGen – ab. Entsprechend des KAIT-Entwurfs beabsichtigt die BaFin mit der KAIT ein flexibles und praxisnahes Regelungswerk bezüglich der technisch-organisatorischen Ausstattung der KVGen namentlich für das Management der IT-Ressourcen und für das IT-Risikomanagement zu schaffen.  

 

Informationssicherheitsbeauftragter (ISB)

Als wichtige Neuerung der KAIT ist die Einführung der Funktion des Informationssicherheitsbeauftragten (ISB) hervorzuheben. Entsprechend des KAIT-Entwurfs trägt der ISB die Verantwortung für die Wahrnehmung aller Belange der Informationssicherheit sowohl innerhalb der KVG als auch gegenüber Dritten. Der ISB soll im Wesentlichen gewährleisten, dass die in der IT-Strategie und den Informationssicherheitsleitlinien der KVG enthaltenen Zielsetzungen und Maßnahmen überwacht werden. Zur Vermeidung von Interessenkonflikten soll der ISB organisatorisch und prozessual unabhängig installiert werden, wobei Kombinationen mit anderen KVG-internen Kontrollfunktionen, z.B. aus dem Compliance-Bereich, möglich sein sollen. Wichtig ist, dass KVGen den ISB nach dem aktuellen KAIT-Entwurf grundsätzlich im eigenen Haus abzubilden haben. Eine Auslagerung an Dritte kommt nur bei KVGen mit geringer Mitarbeiterzahl oder bei konzernangehörigen KVGen in Betracht.  

 

Auslagerung von IT-Dienstleistungen

Der KAIT-Entwurf enthält Neuerungen zur Abgrenzung von Auslagerung und sonstigem Fremdbezug von IT-Dienstleistungen. Sofern kritische Auswirkungen bspw. auf die Portfolioverwaltung oder das Risikomanagement gegeben sind, soll als Auslagerung insbesondere gelten: 

• die Anpassung von Software an die Erfordernisse der KVG
• die entwicklungstechnische Erstellung von Programmen oder Programmteilen und die Umsetzung von Änderungswünschen der KVG
• andere Unterstützungsleistungen im IT-Bereich (bspw. der Betrieb und die Wartung von IT-Systemen durch Dritte) 

 

Nicht als Auslagerung, sondern ein sogenannter „sonstiger Fremdbezug von Leistungen” soll hingegen insbesondere beim isolierten Bezug von handelsüblicher Standard-Software oder der Zuverfügungstellung von Personal durch Dritte zu Gunsten der KVG, wenn die Tätigkeit auf den IT-Systemen der KVG und nach ihrer Weisung und unter ihrer Kontrolle erfolgt, vorliegen. 

 

Ausblick

Die Umsetzung der KAIT wird auf Seiten der KVGen keinen unerheblichen Aufwand hervorrufen. Dies gilt nicht zuletzt bei der Frage, ob in Anspruch genommene IT-Dienstleitungen nun als Auslagerung einzustufen sind. Aufgrund der weichen Abgrenzungskriterien wird im Wesentlichen auf die Risiken der IT-Dienstleitung für das Portfoliomanagement und das Risikomanagement abzustellen sein.  

Hinsichtlich der Einführung des ISB wird für KVGen die Frage der Auslagerungsfähigkeit dieser neuen Funktion relevant. Diesbezüglich wäre eine Indikation seitens der BaFin wünschenswert, wann eine KVG über eine „geringe Mitarbeiterzahl” verfügt. 
 

Aktuell führt die BaFin eine Konsultation zum aktuellen KAIT-Entwurf durch. Marktteilnehmer haben die Möglichkeit, der BaFin bis zum 6. Mai 2019 diesbezüglich eine Stellungnahme zu übersenden. Gerne halten wir Sie über die weitere Entwicklung auf dem Laufenden.