Kapitalverwaltungsaufsichtliche Anforderungen an die IT

Sicherheitsregeln im IT-Bereich von Geldinstituten

Die Kapitalverwaltungsaufsichtliche Anforderungen an die IT, abgekürzt KAIT, sind Verwaltungsanweisungen, die mit einem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und diesbezüglicher Anforderungen an die IT-Governance an deutschen Kapitalverwaltungsgesellschaften veröffentlicht wurden. Sie wurden von der BaFin mit dem Rundschreiben 11/2019 (WA) vom 1. Oktober 2019 veröffentlicht. Sie gilt für Kapitalverwaltungsgesellschaften im Sinne des § 17 Kapitalanlagegesetzbuch (KAGB).

Basisdaten
Titel Rundschreiben 11/2019 (WA) Kapitalverwaltungsaufsichtliche Anforderungen an die IT
Kurztitel Kapitalverwaltungsaufsichtliche Anforderungen an die IT
Abkürzung KAIT
Geltungsbereich Bundesrepublik Deutschland
Ursprüngliche Fassung vom 1. Oktober 2019
Letzte Neufassung vom 1. Oktober 2019

Die KAIT konkretisieren die gesetzlichen Anforderungen des Kapitalverwaltungsgesellschaften („KVGen“) im Sinne des § 17 Kapitalanlagegesetzbuch (KAGB). Es handelt sich bei ihnen um normeninterpretierende Verwaltungsvorschriften, die eine Selbstbindung der deutschen Aufsicht gegenüber den Kapitalverwaltungsgesellschaften darstellen.

In den Kapitalverwaltungsaufsichtlichen Anforderungen an die IT formuliert die Aufsicht einen Rahmen für die technisch-organisatorische Ausstattung der Unternehmen – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement. Da die Kapitalverwaltungsgesellschaften zunehmend IT-Dienstleistungen von Dritten beziehen, fordert die KAIT nun – unabhängig davon, ob es sich hierbei um die Hauptdienstleistung oder um eine ergänzende Nebendienstleistung zu einer anderen Hauptdienstleistung handelt – beispielsweise vorab zwingend eine Risikoanalyse.

Ebenso fordert nun die KAIT § 2 Absatz 8 sowie § 4 Absatz 26 in der Informationssicherheit mindestens Stand der Technik umzusetzen, wobei mindestens die Themen Identifizierung, Schutz, Entdeckung, Reaktion und Wiederherstellung abgedeckt werden müssen.

Ergänzend fordert die BaFin nun die Hinweise bei Nutzung von Cloud-Diensten aus dem Merkblatt „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ (KAIT § 8 Absatz 64) zu berücksichtigen.

Siehe auch

Bearbeiten
Bearbeiten