Neue Verpflichtungen: BaFin-Konsultation der Kapitalverwaltungsaufsichtliche Anforderungen an die IT

Am 08.04.2019 hat die BaFin ihren Entwurf des Rundschreibens „Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT)“ nebst Schätzung des Erfüllungsaufwands zur Konsultation gestellt. Das Rundschreiben enthält Hinweise zur Auslegung der nationalen und europarechtlichen Vorschriften über die Geschäftsorganisation, soweit sie sich auf die technisch-organisatorische Ausstattung der Kapitalverwaltungsgesellschaften beziehen. Die BaFin möchte damit die besondere Bedeutung des Einsatzes von Informationstechnik in Kapitalverwaltungsgesellschaften („KVGen“) berücksichtigen.

Der Anwendungsbereich des Rundschreibens soll sich auf nach nach § 20 Abs. 1 KAGB lizenzierte KVGen im Sinne des § 17 KAGB erstrecken. Nicht umfasst sollen registrierte KVGen nach § 44 KAGB (die KAIT könnte aber freiwillig angewendet werden), extern verwaltete Investmentgesellschaften (die verwaltende KVG ist hingegen grds. erfasst), inländische Zweigniederlassungen von EU-Verwaltungsgesellschaften nach §§ 51 und 54 KAGB, Verwahrstellen, Treuhänder und Bewerter sein.

Dies sind, nicht abschließend, die wesentlichen Inhalte des in Kapitel unterteilten Rundschreibens:

  1. Kapitel (IT-Strategie): Festlegung einer konsistenten IT-Strategie durch die Geschäftsleitung, etwa mit einer „Beschreibung“ der Rolle, der Positionierung und des Selbstverständnisses der IT sowie einer  „Darstellung“ des Zielbilds der IT-Architektur in Form eines Überblicks über die Anwendungslandschaft. Die in der IT-Strategie niedergelegten Ziele sind so zu formulieren, dass eine sinnvolle Überprüfung der Zielerreichung möglich ist.
  2. Kapitel (IT-Governance): Die KVG hat sicherzustellen, dass die IT-bezogenen Geschäftsaktivitäten auf der Grundlage von Arbeitsablaufbeschreibungen (Organisationsrichtlinien) betrieben werden.
  3. Kapitel (Informationsrisikomanagement): Die KVG hat ihren Schutzbedarf einschließlich von Schutzzielen festzulegen. Die Anforderungen der KVG zur Umsetzung der Schutzziele in den Schutzbedarfskategorien sind festzulegen und in geeigneter Form zu dokumentieren. Die soll in einem Sollmaßnahmenkatalog Darüber hinaus ist der Geschäftsleitung mindestens vierteljährlich ein Statusbericht über die durchgeführte Risikoanalyse vorzulegen.
  4. Kapitel (Informationssicherheitsmanagement): Die Geschäftsleitung hat eine Informationssicherheitsleitlinie zu beschließen und innerhalb der KVG angemessen zu kommunizieren (Rn. 25f.). Darüber hinaus hat die KVG die Funktion des Informationssicherheitsbeauftragten einzurichten (Rn. 27). Diese Funktion ist organisatorisch und prozessual unabhängig auszugestalten, um mögliche Interessenskonflikte zu vermeiden (Rn. 28), der Beauftragte muss aber innerhalb der KVG angesiedelt werden, wobei eine Möglichkeit darin liegt, diese Rolle mit dem Datenschutzbeauftragten zu verbinden (Rn. 29).
  5. Kapitel (Benutzerberechtigungsmanagement): Konkretisierungen der Anforderungen nach Ziff. 8.1 Tz. 3 sowie Ziff. 4.5 Tz. 7 KAMaRisk
  6. Kapitel (IT-Projekte, Anwendungsentwicklung): Diverse organisatorische Grundlagen, vor allem für die Anwendungsentwicklung
  7. Kapitel (IT-Betrieb (inkl. Datensicherung): Konkretisierungen vor allem im Hinblick auf Anträge zur Änderung von IT-Systemen und Störungen
  8. Kapitel (Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen): Konkretisierungen zum Begriff der Auslagerung und Abgrenzung vom sonstigen Fremdbezug

Die BaFin betont zudem, dass die Anforderungen an die IT, die in den Mindestanforderungen an das Risikomanagement von Kapitalverwaltungsgesellschaften (KAMaRisk) enthalten sind, unberührt bleiben. Das vielfach auf die KAMaRisk verweisende KAIT-Rundschreiben sei in Regelungsumfang und –tiefe diesbezüglich nicht abschließend. Die KVGen bleiben folglich auch insbesondere jenseits der Konkretisierungen in diesem Rundschreiben gemäß § 28 Abs. 1 Satz 2 Nr. 2 KAGB i. V. m. Ziffer 8.1 Tz. 3 KAMaRisk verpflichtet, bei der Ausgestaltung der IT-Systeme (Hardware- und Softwarekomponenten) und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen (beispielsweise die IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik und der internationale Sicherheitsstandard ISO/IEC 270XX der International Organization for Standardization).

Kontakt