Kapitalverwaltungsgesellschaften: BaFin veröffentlicht Anforderungen an die IT (KAIT)
Neuer Monat, neue BaFin-Veröffentlichung: Anfang Oktober hat die Bundesanstalt für Finanzdienstleistungsaufsicht die Anforderungen an die IT von Kapitalverwaltungsgesellschaften (kurz: KAIT) publiziert.
Aufgrund der zunehmenden Digitalisierung der Finanzinstitute steigt auch die Bedeutung der IT-Systeme und IT-Infrastruktur dieser. Deshalb legte die BaFin einen ihrer Aufsichtsschwerpunkte für 2021 auf die IT-Infrastruktur regulierter Unternehmen. Damit möchte die Behörde sicherstellen, dass IT-Systeme und Daten sowie Technologien, die von den beaufsichtigten Instituten genutzt werden, sicher sind.
Auch für Kapitalverwaltungsgesellschaften stuft die BaFin die IT als Basis für die Prozesse sowie die Verarbeitung von Daten innerhalb der Organisationen ein. Somit kommt ihr eine zentrale Bedeutung für den gesamten Geschäftsbetrieb mit einem relevanten operativen Risiko zu. Mit der Veröffentlichung der Kapitalverwaltungsaufsichtlichen Anforderungen an die IT werden den betroffenen Instituten Hinweise an die Hand gegeben, wie nationale und europarechtliche Vorschriften für die technisch-organisatorische Ausstattung ausgelegt werden sollen. Das Rundschreiben regelt unter anderem, wie bei der Auslagerung von IT-Aktivitäten und IT-Prozessen verfahren werden soll.
Nach den Veröffentlichungen der BAIT im November 2017 und der VAIT im Juli 2018 ist es nur der nächste logische Schritt, diese Regelungen auch auf Kapitalverwaltungsgesellschaften auszuweiten. Denn Informationssicherheit und IT-Governance haben aus Sicht der Aufsichtsbehörde einen hohen Stellenwert und sollen zukünftig nicht mehr nur als Randthemen behandelt werden. Ziel der festgeschriebenen Anforderungen ist es, ein Bewusstsein bei den Instituten zu schaffen, dass ihre IT-Systeme eine robuste Struktur aufweisen müssen. Zum anderen sollen sich die Institute aber auch mit den Risiken auseinandersetzen, die sich aufgrund der IT ergeben können, sodass sie auf mögliche Störfälle vorbereitet sind.
Der Entwurf der KAIT wurde von der BaFin im Frühjahr 2021 bereits öffentlich konsultiert. Inhaltlich sind viele parallelen zu den BAITs und den VAITs zu erkennen.
Jürgen Brombacher, Senior Strategy Consultant bei matrix technology bewertet das Schreiben wie folgt: „Die BaFin zieht nun auch die Zügel für Kapitalverwaltungsgesellschaften fester an. Inhaltlich entsprechen die KAIT zu großen Teilen den BAIT und VAIT. Nicht nur deshalb gilt es von den Banken und deren Dienstleistern zu lernen, die in den vergangenen Jahren große Anstrengungen unternommen haben, um den regulatorischen Anforderungen gerecht zu werden. Wurde dies genutzt, um ein transparentes Risikomanagement als Steuerungsgrundlage zu schaffen und die IT sicher und modern zu gestalten, stehen Banken heute auch wesentlich stabiler und sicherer da als vorher. Das muss nun auch das Ziel für jedes nach den KAIT regulierte Unternehmen werden.“
Jetzt die Anforderungen an die IT von Kapitalverwaltungsgesellschaften (KAIT) lesen
Der Weg in Cloud – von der Idee zur Strategie
Anforderungen – Cloud-Strategie – Datensicherheit
Viele regulierte Unternehmen stehen vor der Frage, welche Anforderungen bereits im Vorfeld umgesetzt werden müssen, um einen aufsichtskonformen Cloud-Einsatz zu ermöglichen. Das Whitepaper unterstützt Sie bei der Herstellung der Cloud Readiness und zeigt Ihnen schrittweise auf, wie Sie zu einer umfassenden Cloud-Strategie gelangen. Zudem erfahren Sie, was Sie nach der Inbetriebnahme berücksichtigen sollten, um die Sicherheit Ihrer Daten zu gewährleisten.