Kapitalverwaltungsaufsichtliche Anforderungen an die IT

Basisdaten
Titel	Rundschreiben 11/2019 (WA) Kapitalverwaltungsaufsichtliche Anforderungen an die IT
Kurztitel	Kapitalverwaltungsaufsichtliche Anforderungen an die IT
Abkürzung	KAIT
Geltungsbereich	Bundesrepublik Deutschland
Ursprüngliche Fassung vom	1. Oktober 2019
Letzte Neufassung vom	1. Oktober 2019
Ende der Gültigkeit	16. Januar 2025

Die Kapitalverwaltungsaufsichtliche Anforderungen an die IT, abgekürzt KAIT, waren Verwaltungsanweisungen, die mit einem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und diesbezüglicher Anforderungen an die IT-Governance an deutschen Kapitalverwaltungsgesellschaften veröffentlicht wurden. Sie wurden von der BaFin mit dem Rundschreiben 11/2019 (WA) vom 1. Oktober 2019 veröffentlicht.

Um eine Doppelregulierung zu vermeiden, wurden die KAIT zum 17. Januar 2025 zugunsten der Verordnung (EU) 2022/2554 (DORA) aufgehoben.^[1]

Die KAIT konkretisierten die gesetzlichen Anforderungen des Kapitalverwaltungsgesellschaften („KVGen“) im Sinne des § 17 Kapitalanlagegesetzbuch (KAGB). Es handelte sich bei ihnen um normeninterpretierende Verwaltungsvorschriften, die eine Selbstbindung der deutschen Aufsicht gegenüber den Kapitalverwaltungsgesellschaften darstellen. Sie galten für Kapitalverwaltungsgesellschaften im Sinne des § 17 Kapitalanlagegesetzbuch (KAGB).

Inhalte

In den KAIT formulierte die Aufsicht einen Rahmen für die technisch-organisatorische Ausstattung der Unternehmen – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement. Da die Kapitalverwaltungsgesellschaften zunehmend IT-Dienstleistungen von Dritten beziehen, forderten die KAIT – unabhängig davon, ob es sich hierbei um die Hauptdienstleistung oder um eine ergänzende Nebendienstleistung zu einer anderen Hauptdienstleistung handelt – beispielsweise vorab zwingend eine Risikoanalyse.

Ebenso forderten die KAIT, dass in der Informationssicherheit mindestens Stand der Technik umzusetzen ist, wobei mindestens die Themen Identifizierung, Schutz, Entdeckung, Reaktion und Wiederherstellung abgedeckt werden müssen.

Ergänzend forderte die BaFin, die Hinweise bei Nutzung von Cloud-Diensten aus dem Merkblatt „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ (KAIT Ziffer 8 Nr. 64) zu berücksichtigen.

Siehe auch

Bankaufsichtliche Anforderungen an die IT (BAIT)
Versicherungsaufsichtliche Anforderungen an die IT (VAIT)
ZAIT (Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten abgekürzt ZAIT)

Weblinks

Einzelnachweise

↑ DORA kommt: Änderungen bei den aufsichtlichen Anforderungen an die IT. In: bafin.de. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), 10. Januar 2025, abgerufen am 20. Januar 2025.

[:2-1] DORA kommt: Änderungen bei den aufsichtlichen Anforderungen an die IT. In: bafin.de. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), 10. Januar 2025, abgerufen am 20. Januar 2025.

[1]