KAIT Bafin-Rundschreiben stellt höhere IT-Anforderungen an KVGen

Seite 2 / 5

Somit ist die Gliederung der KAIT annähernd deckungsgleich zu derjenigen der BAIT – IT-Regelungen für Kreditinstitute und Finanzdienstleister. Lediglich der Aspekt der kritischen Infrastrukturen wurde aufgrund des Geschäftsmodells nicht auf die Kapitalverwaltungsgesellschaften übertragen.

Bezüglich der IT-Strategie sind die grundlegenden Anforderungen deckungsgleich zu denen der BAIT. Es wurden jedoch zwei zusätzliche Anforderungen eingefügt. Dies betrifft zum einen die Vorgabe, dass die in der IT-Strategie niedergelegten Ziele einer sinnvollen Überprüfung zugänglich sein sollen. Zum anderen muss die KVG ihre IT-Strategie dem Aufsichtsorgan vorgelegen und mit diesem erörtern. Dies sind zwei Vorgaben, die man auch in der anstehenden Überarbeitung der BAIT erwartet.

Weitergehende Anforderungen sind im Entwurf für die IT-Governance vorgesehen. Während die grundlegenden Regelungen deckungsgleich sind, werden für Kapitalverwaltungsgesellschaften fünf weitergehende Anforderungen implementiert. In diesem Bereich liegt dies jedoch darin begründet, dass diese Aspekte, wie etwa adäquate Organisationsrichtlinien oder die Überwachung von IT-Risiken für Kreditinstitute bereits an anderer Stelle, wie zum Beispiel den MaRisk, festgehalten wurden.

Ähnlich verhält es sich bezüglich des Informationsrisikomanagements. Nur Teilziffer 17 des Entwurfs enthält eine Abweichung zu den BAIT, stellt jedoch inhaltlich keine zusätzliche Anforderung dar.

Abschnitt 4 des Entwurfs enthält eine der wichtigsten Anforderungen der KAIT: die Implementierung eines Informationssicherheitsbeauftragten. Hier sind einige nicht unwesentlichen Abweichungen zu den BAIT zu konstatieren. Den Kapitalverwaltungsgesellschaften ist es grundsätzlich gestattet, die Funktion des Informationssicherheitsbeauftragten mit der des Datenschutzbeauftragten zu kombinieren, wobei jedoch unklar bleibt, wie hierbei die auftretenden Interessenkonflikte beseitigt werden können. Außerdem soll es erlaubt werden, die Funktion des Informationssicherheitsbeauftragen an einen fachlich qualifizierten Dritten zu übertragen, wenn eine geringe Mitarbeiterzahl und kein wesentlicher eigener IT-Betrieb vorliegen. Hierbei werden jedoch zwei unbestimmte Rechtsbegriffe geschaffen, deren Auslegung in der Praxis sicherlich Probleme aufwerfen.

Die Regelungen zum Benutzerberechtigungsmanagement wurden nahezu wortgleich von den BAIT übernommen. Lediglich Teilziffer 35 stellt eine Erweiterung im Rahmen der Vorschriften zur Re-zertifizierung dar, die jedoch wohl auch der erwarteten Überarbeitung der BAIT aufgeführt werden wird. Gleiches gilt für den Bereich IT-Projekte, Anwendungsentwicklung – durch Endbenutzer in den Fachbereichen, wo lediglich einige Spezifizierungen aufgenommen wurden.

Deckungsgleich ist der Bereich IT-Betrieb inklusive Datensicherung, während für das Gebiet der Auslagerungen und sonstigen Fremdbezug für IT-Dienstleistungen nicht unerhebliche Abweichungen auftreten. Diese resultieren im Wesentlichen aus Vorgaben der delegierten Verordnung und weiteren bereits existierenden Vorschriften für Kapitalverwaltungsgesellschaften, so dass insofern keine Überraschungen erscheinen.

Insgesamt lässt sich konstatieren, dass der Entwurf der KAIT weitgehend mit den BAIT überein-stimmt, so dass sich Erfahrungen aus der bisherigen Anwendung der BAIT gut übertragen lassen. Abweichungen resultieren aus speziellen Vorschriften für Kapitalverwaltungsgesellschaften, vor allem aus europäischen Vorgaben, sowie aus Aspekten, die künftig ebenfalls in den BAIT berücksichtigt werden sollen.