III. Umsetzungs- und Auslegungsfragen sowie Erfahrungen aus der Prüfung von Kredit- und Finanzdienstleistungsinstituten
Im Rahmen der praktischen Umsetzung der neuen Anforderungen ergeben sich zahlreiche Fragen. Wichtig ist vor allem, dass im Entwurf keine Umsetzungs- oder Übergangsfristen enthalten sind, so dass sämtliche Vorgaben unverzüglich umzusetzen sind. Hintergrund ist, dass mit den KAIT nach Auffassung der Aufsicht keine neuen Regelungen geschaffen, sondern nur bestehende Vorschriften sowie die gängige Verwaltungsauffassung und Praxis schriftlich niedergelegt werden. Dem kann jedoch nicht in allen Teilen gefolgt werden, da sich insbesondere die Implementierung eines Informationssicherheitsbeauftragten nicht aus den bestehenden Regelungen ableiten lässt.
Die Bafin hat auf ihrer Homepage vier Stellungnahmen zu den KAIT veröffentlicht. Das IDW weist etwa auf das Nebeneinander unterschiedlicher Rechtsquellen zum Einsatz von IT bei Kapitalverwaltungsgesellschaft hin, was entsprechend bereinigt werden sollte. Auch bestünden einige Unklarheiten bezüglich bestimmter Begrifflichkeiten sowie zum Anwendungsbereich des geplanten Rundschreibens. Die meisten Anmerkungen zu einem einzelnen Aspekt der KAIT trifft das IDW zur Funktion des Informationssicherheitsbeauftragten, zum Beispiel zur Vereinbarkeit mit der Funktion des Datenschutzbeauftragten sowie zur Bestellung eines qualifizierten Dritten.
Der Branchenverband BVI bemängelt das Nebeneinander von neuen nationalen und europäischen Regelungen mit der Folge möglicher Inkonsistenzen. Auch sei es unklar, ob man die KAIT im Rahmen der Abschlussprüfung berücksichtigen muss. Einige Anmerkungen trifft der BVI zu Auslagerungen und sonstigen Fremdbezug, wo der Verband etwa eine stärkere Berücksichtigung des spezifischen Geschäftsmodells fordert. Außerdem wird die Anforderung, eine Funktion eines Informationssicherheitsbeauftragten implementieren zu müssen, als unverhältnismäßig kritisiert, vor allem für kleinere Unternehmen. Des Weiteren werden teilweise strengere Regelungen als in den BAIT und den VAIT bemängelt. Zuletzt fordert der BVI eine angemessene Umsetzungsfrist.
Der BVK trifft auch einige Anmerkungen zu den Bereichen IT-Strategie, IT-Governance, Informationsrisikomanagement sowie Informationssicherheitsmanagement. Der ZIA legt den Schwerpunkt seiner Anmerkungen ebenfalls auf die Bereiche Auslagerungen und sonstigen Fremdbezug sowie auf die Funktion des Informationssicherheitsbeauftragten. Hier fordert er eine Übergangsregelung von sechs Monaten.
Bezüglich der bisherigen Erfahrungen mit den BAIT bei Kreditinstituten und Finanzdienstleistern lässt sich festhalten, dass im ersten Jahr nach der Implementierung nahezu kein Institut sämtliche Anforderungen vollständig und korrekt umgesetzt hatte, was wichtig für ein Benchmarking im Rahmen der ersten Prüfungssaison sein wird. Wichtig ist es jedoch, den Aufsichtsbehörden sowie den Prüfern zu zeigen, dass für alle Teilgebiete entsprechende Projekte aufgesetzt und ausreichende Anstrengungen zur Umsetzung unternommen wurden. Im Jahr zwei nach der Implementierung sollten dann nur noch formale Umsetzungsnotwendigkeiten auftauchen.