Nachdem die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 02. April 2019 die Konsultation ihres Rundschreibens Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT) durchführte, wurde am 01. Oktober 2019 die endgültige Fassung des Rundschreibens veröffentlicht.
Das Rundschreiben enthält Hinweise zur Auslegung der nationalen und europarechtlichen Vorschriften über die Geschäftsorganisation von Kapitalverwaltungsgesellschaften (KVG), soweit sie sich auf die technisch-organisatorische Ausstattung, und damit auch auf die IT-Systeme, der KVGen beziehen. Mit den KAIT verfolgt die BaFin das Ziel, die IT-Sicherheit im Markt zu erhöhen und das IT-Risikobewusstsein in den KVGen zu schärfen. Denn die IT ist die Basisinfrastruktur für sämtliche Prozesse in den KVGen, hat damit eine zentrale Bedeutung für deren Geschäftsbetrieb und stellt ein relevantes operationelles Risiko dar. Ausführliche Erläuterungen zu dem Inhalt des Rundschreibens finden Sie in unserem früheren Blogbeitrag.
Endgültige Fassung der KAIT: Was besonders wichtig ist
Was ist nun also aus der endgültigen Fassung der KAIT als besonders wichtig hervorzuheben?
- Die in den Mindestanforderungen an das Risikomanagement von KVGen (KAMaRisk) enthaltenen Anforderungen an die IT bleiben von den KAIT unberührt und werden durch sie konkretisiert. Daher bleiben die KVGen jenseits der Konkretisierungen der KAIT nach den Regelungen der KAMaRisk verpflichtet, bei der Ausgestaltung der IT-Prozesse (Hardware- und Software Komponenten) und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen. Zu diesen zählen bspw. die IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik und der internationalen Sicherheitsstandard ISO/IEC 270XX der International Organization for Standardization.
- Die Vorgaben der KAIT sind prinzipienorientiert und lassen damit Raum für eine Aufsichtspraxis, die die Größe und die individuellen Geschäftsmodelle der KVGen berücksichtigt (Proportionalitätsgrundsatz). Das heißt aber nicht nur, dass den KVGen Erleichterungen hinsichtlich der Anforderungen der KAIT zukommen können. Vielmehr bedeutet ein sachgerechter Umgang mit prinzipienorientierten Anforderungen und dem Proportionalitätsgrundsatz auch, dass die KVGen im Einzelfall über die in der KAIT formulierten Anforderungen hinaus weitergehende Vorkehrungen treffen müssen, soweit dies zur Sicherstellung der Angemessenheit und Wirksamkeit der technisch-organisatorischen Ausstattung und des Risikomanagements der KVG erforderlich sein sollte.
- Die Geschäftsleitung der KVG hat eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen, zu überprüfen und regelmäßig anzupassen. Aufzunehmen ist z.B. die strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation, die Entwicklung der Auslagerungen von IT-Dienstleistungen, die Einbindung der Informationssicherheit in die Organisation sowie Aussagen zum Notfallmanagement und zu den in den Fachbereichen selbst entwickelten IT-Systemen.
- Da keine neuen Anforderungen kodifiziert werden, sondern lediglich vorhandene Anforderungen verschriftlicht wurden, gilt die KAIT unmittelbar, also ohne Übergangsvorschriften. Die BaFin wird im Hinblick auf die Umsetzung der KAIT ihre Aufsicht jedoch, wie bei neuen regulatorischen Implementierungsanforderungen gewohnt, ihre Aufsicht mit Augenmaß führen. KVGen sollten aber dennoch zeitnah mit der Umsetzung der Anforderungen der KAIT beginnen.
- Im Rahmen der Jahresabschlussprüfungen 2020 werden die Vorgaben der Verordnung über den Gegenstand der Prüfung und die Inhalte der Prüfungsberichte für externe Kapitalverwaltungsgesellschaften, Investmentaktiengesellschaften, Investmentkommanditgesellschaften und Sondervermögen (KAPrüfBV) unter Einbeziehung der KAIT Berücksichtigung finden; die besonderen Anforderungen der KAIT also einer Prüfung durch den Abschlussprüfer unterliegen.
Konkreter Handlungsbedarf für KVGen
Welcher Handlungsbedarf ergibt sich nun aus der endgültigen Fassung der KAIT für KVGen? Da das Rundschreiben unmittelbar gilt, sollten KVGen zügig mit der Erstellung einer Gap-Analyse und der Errichtung eines angemessenen Projektzeitplans, der ausgehend von Umfang und Komplexität der anstehenden Arbeiten eine zügige Implementierung der KAIT sicherstellt, beginnen. Dies wird der erste aufsichtliche Fokus der BaFin im Rahmen ihrer Überwachung der Implementierung der KAIT sein. In einem zweiten Schritt wird dann die inhaltlich korrekte Umsetzung der KAIT im Fokus der Aufsicht stehen.
Diese Handlungsschritte werden bei den KVGen zwar Ressourcen binden; dies wird aber dadurch gerechtfertigt, dass die Anforderungen der KAIT einer kontinuierlichen und störungsfreien Erbringung der Dienstleistungen der KVG und damit letztlich dem Anlegerschutz dienen.