I. Hintergrund
Die Informationstechnologie von Banken, Wertpapierdienstleistungsunternehmen, Kapitalverwaltungsgesellschaften (KVG) und anderen Unternehmen der Finanzbranche stand zuletzt aufgrund diverser Vorfälle, vor allem im Bankenbereich, im Blickpunkt der europäischen und nationalen Aufsichtsbehörden. Zudem hat die Bedeutung der IT im Rahmen der Funktionsfähigkeit des Finanzsektors in den vergangenen Jahren weiter an Bedeutung hinzugewonnen, so dass der erhöhte Fokus der Aufsichtsbehörden auf dieses Thema keineswegs überraschend ist.
Auch vor den Kapitalverwaltungsaufsichtlichen Anforderungen (KAIT) gab es bereits aufsichtsrechtliche kodifizierte Anforderungen an die IT von Kapitalverwaltungsgesellschaften. Diese ergeben sich insbesondere aus dem KAGB, der KAVerOV sowie aus europäischen Vorgaben. Die nationale Präzisierung fand bislang vor allem im Rahmen der KAMaRisk statt. Aufgrund der Komplexität des Themas IT soll nunmehr ein eigenes Rundschreiben diese Anforderungen weiter spezifizieren.
Umsetzung
- Allgemeines
Am 8. April 2019 (mit einer Änderung vom 16. Mai 2019) wurde die Konsultation zum Rund-schreiben 7/2019 - Kapitalverwaltungaufsichtliche Anforderungen an die IT durch die Bafin auf ihrer Homepage zur Konsultation gestellt. Das Rundschreiben soll Anwendung auf Kapitalverwaltungsgesellschaften finden, soweit sie über eine Erlaubnis nach Paragraf 20 Absatz 1 KAGB verfügen.
Das Rundschreiben enthält Hinweise zur Auslegung der nationalen und europarechtlichen Vor-schriften über die Geschäftsorganisation, soweit sie sich auf die technisch-organisatorische Ausstattung beziehen. Gemäß der Bafin ist es ein zentrales Ziel des Rundschreibens, die IT-Sicherheit zu erhöhen und das IT-Risikobewusstsein zu schärfen. Es soll der Geschäftsleitung einen praxisnahen Rahmen für die technisch-organisatorische Ausgestaltung der IT vorgeben, insbesondere auch für das Management der IT-Ressourcen und für das IT-Risikomanagement. Da immer mehr Kapitalverwaltungsgesellschaften IT-Dienstleistungen von Dritten beanspruchen, regelt das Rundschreiben auch den Umgang mit Auslagerungen von IT-Aktivitäten und IT-Prozessen.
Die KAMaRisk enthaltenen Anforderungen an die IT bleiben von dem Rundschreiben unberührt. Die Themenbereiche sind darüber hinaus nicht abschließender Natur. Die Kapitalverwaltungsgesellschaften bleiben auch jenseits der Konkretisierungen durch die KAIT verpflichtet, auf gängige IT-Standards abzustellen sowie den Stand der Technik zu berücksichtigen.
- Inhalte des Rundschreibens und Vergleich zu den BAIT
Nach einführenden Vorbemerkungen untergliedert sich der Entwurf in folgende Themenbereiche:
- IT-Strategie,
- IT-Governance,
- Informationsrisikomanagement,
- Informationssicherheitsmanagement,
- Benutzerberechtigungsmanagement,
- IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen),
- IT-Betrieb (inkl. Datensicherung) sowie
- Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen