de en
Nexia Ebner Stolz

Branchen

Spezielle Anforderungen an die IT für Kapitalverwaltungsgesellschaften

Nachdem die BaFin im November 2017 mit den „Bankaufsichtliche Anforderungen an die IT“ und im Juli 2018 mit den „Versicherungsaufsichtliche Anforderungen an die IT“ detaillierte Anforderungen an die technisch organisatorische Ausstattung der IT stellte, erfolgte dies nun auch für Kapitalverwaltungsgesellschaften.

Am 8.4.2019 wurde der Ent­wurf des Rund­sch­rei­bens „Kapi­tal­ver­wal­tungs­auf­sicht­li­che Anfor­de­run­gen an die IT“ (KAIT) zur Kon­sul­ta­tion ges­tellt.

Hin­weis

Die KAIT sol­len ohne offi­zi­elle Über­gangs­frist, im Juni in Kraft tre­ten. Wie auch bei den BAIT und VAIT han­delt es sich bei den KAIT nicht um grund­le­gend neue Anfor­de­run­gen, son­dern nur um eine Kon­k­re­ti­sie­rung von beste­hen­den Anfor­de­run­gen, die sich aus den Min­de­st­an­for­de­run­gen an das Risi­ko­ma­na­ge­ment von Kapi­tal­ver­wal­tungs­ge­sell­schaf­ten (KAMa­Risk) erge­ben.

Betrof­fen von die­sem Rund­sch­rei­ben sind KVGen im Sinne des § 17 KAGB, sofern diese über eine Erlaub­nis nach dem KAGB ver­fü­gen. Aus­ge­nom­men sind u. a. regi­s­trierte KVGen nach § 44 KAGB oder extern ver­wal­tete Invest­ment­ge­sell­schaf­ten.

Ziel ist es „einen fle­xi­b­len und pra­xis­na­hen Rah­men für die tech­nisch-orga­ni­sa­to­ri­sche Aus­stat­tung der KVGen – ins­be­son­dere für das Mana­ge­ment der IT-Res­sour­cen und für das IT-Risi­ko­ma­na­ge­ment“ vor­zu­ge­ben.

Die Anfor­de­run­gen der KAIT ent­sp­re­chen inhalt­lich den BAIT und wer­den eben­falls für ins­ge­s­amt acht Berei­che defi­niert (siehe novus Finanz­di­enst­leis­tun­gen 1. Aus­gabe 2017, S. 8 bis 9). Die Auf­sicht hat in den KAIT jedoch erst­ma­lig fol­gende wesent­li­che Rege­lun­gen for­mu­liert bzw. kon­k­re­ti­siert, die über die Rege­lun­gen der BAIT hin­aus­ge­hen:

IT-Stra­te­gie

Ergän­zend wird in den KAIT eine sinn­volle Über­prüf­bar­keit der Zie­l­er­rei­chung gemäß der IT-Stra­te­gie gefor­dert. Die Erst­ver­ab­schie­dung und ggf. Ver­än­de­rung der IT-Stra­te­gie sind dem Auf­sicht­s­or­gan zur Kennt­nis zu geben. Wei­ter­hin wird eine interne Kom­mu­ni­ka­tion von Ver­än­de­run­gen der IT-Stra­te­gie gefor­dert.

IT-Gover­nance

Her­vor­zu­he­ben sind die kon­k­re­ten Anfor­de­run­gen an die Per­so­nal­aus­stat­tung und -Kom­pe­ten­zen im Bereich IT sowie an Umfang und Qua­li­tät der tech­nisch-orga­ni­sa­to­ri­schen Aus­stat­tung. Die KVGen haben sicher­zu­s­tel­len, dass die IT-Geschäfts­ak­ti­vi­tä­ten auf Basis von Orga­ni­sa­ti­ons­richt­li­nien betrie­ben wer­den.

Über die Kon­k­re­ti­sie­run­gen der BAIT hin­aus gehen die KAIT bei der Funk­ti­ons­fähig­keit von Not­fall­maß­nah­men. Diese sind regel­mä­ßig zu tes­ten.

Infor­ma­ti­ons­ri­si­ko­ma­na­ge­ment

Zukünf­tig sind durch die KVGen Pro­zesse zu imp­le­men­tie­ren, wel­che IT-Risi­ko­kri­te­rien, die Iden­ti­fi­ka­tion von IT-Risi­ken, den Schutz­be­darf sowie die Schutz­ziele iden­ti­fi­zie­ren, bewer­ten, über­wa­chen und steu­ern. Wie bei den BAIT erfolgt die Ermitt­lung des Schutz­be­darfs anhand der Schutz­ziele Inte­gri­tät, Ver­füg­bar­keit, Ver­trau­lich­keit und Authen­ti­zi­tät. Eben­falls ist ein Soll­maß­nah­men­ka­ta­log zur Umset­zung der Schutz­ziele zu ers­tel­len. Die KAIT stel­len jeden­falls noch­mals klar, dass bei der Fest­le­gung des Schutz­be­darfs und der Iden­ti­fi­zie­rung der Risi­ken auch die ver­b­lei­ben­den Res­t­ri­si­ken zu berück­sich­ti­gen sind.

Infor­ma­ti­ons­si­cher­heits­ma­na­ge­ment

Als eine zen­trale Neue­rung für die KVGen defi­niert die KAIT die Ein­füh­rung des Auf­ga­ben­ge­bie­tes eines Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten (ISB). Der ISB ver­ant­wor­tet neben der Wah­rung der Infor­ma­ti­ons­si­cher­heit in der KVG ins­be­son­dere vor dem Hin­ter­grund der Aus­la­ge­rung von IT-Dienst­leis­tun­gen diese auch gegen­über Drit­ten. Die Funk­tion des ISB ist zur Ver­mei­dung von Inter­es­sens­kon­f­lik­ten orga­ni­sa­to­risch und pro­zes­sual unab­hän­gig aus­zu­ge­stal­ten. Diese Tätig­keit ist grund­sätz­lich im eige­nen Haus vor­zu­hal­ten. Eine Aus­la­ge­rung an Dritte ist nur in zwei kon­k­re­ten Aus­nah­me­fäl­len mög­lich.

Hin­weis

Die KAIT stim­men hier mit den BAIT übe­r­ein.

Benut­zer­be­rech­ti­gungs­ma­na­ge­ment

Im Rah­men des Benut­zer­be­rech­ti­gungs­ma­na­ge­ments wird kon­k­re­ti­siert, dass Mit­ar­bei­ter aus­sch­ließ­lich jene Berech­ti­gun­gen besit­zen dür­fen, wel­che sie zur Aus­übung Ihrer Tätig­keit direkt benö­t­i­gen. Spe­zi­fi­sche Anfor­de­run­gen betref­fen in die­sem Zusam­men­hang bspw. die Erstel­lung von Berech­ti­gungs­kon­zep­ten sowie die direkte Zuord­nungs­mög­lich­keit eines nicht per­so­na­li­sier­ten Benut­zers (z. B. tech­ni­scher Benut­zer) zu einer han­deln­den Per­son.

Hin­weis

Die rest­li­chen Anfor­de­run­gen an das Mana­ge­ment der Benut­zer­be­rech­ti­gun­gen sind mit den Anfor­de­run­gen der BAIT iden­tisch.

IT-Pro­jekte, Anwen­dungs­ent­wick­lung (inkl. durch End­be­nut­zer in den Fach­be­rei­chen)

In die­sem Abschnitt wer­den orga­ni­sa­to­ri­sche sowie pro­zes­suale Vor­ge­hens­wei­sen spe­zi­fi­ziert. So sind IT-Pro­jekte und Ver­än­de­run­gen der IT-Sys­teme vor ihrer Über­nahme in den pro­duk­ti­ven Betrieb zu tes­ten und von den fach­lich sowie auch von den tech­nisch zustän­di­gen Mit­ar­bei­tern abzu­neh­men. Pro­duk­ti­ons- und Test­um­ge­bung sind dabei grund­sätz­lich von­ein­an­der zu tren­nen. Für die Ent­wick­lung neuer IT-Funk­tio­nen sind ange­mes­sene Pro­zesse fest­zu­le­gen. Diese ent­hal­ten Vor­ga­ben zur Anfor­de­rungs­ent­wick­lung, zum Ent­wick­lungs­ziel, zur tech­ni­schen Umset­zung, zur Qua­li­täts­si­che­rung, sowie zu Test, Abnahme und Frei­gabe.

Eben­falls wird klar­ge­s­tellt, dass diese Anfor­de­run­gen und Kri­te­rien für die Risi­ko­i­den­ti­fi­zie­rung, zur Ermitt­lung des Schutz­be­darfs sowie für die Ver­wen­dung von get­renn­ten Test- und Pro­duk­tiv­sys­te­men auch für von den Fach­be­rei­chen selbst ent­wi­ckelte Anwen­dun­gen (sog. indi­vi­du­elle Daten­ver­ar­bei­tung, IDV) ein­zu­hal­ten sind.

IT-Betrieb (inkl. Daten­si­che­rung)

In die­sem Abschnitt wer­den Vor­ga­ben zum kon­k­re­ten IT-Betrieb gemacht, die mit den BAIT übe­r­ein­stim­men.

Aus­la­ge­run­gen und sons­ti­ger Fremd­be­zug von IT-Dienst­leis­tun­gen

Von zen­tra­ler Bedeu­tung ist die Defini­tion, wann eine Aus­la­ge­rung vor­liegt und was unter den Begriff der Aus­la­ge­rung fällt.

Davon abzu­g­ren­zen ist der sons­tige Fremd­be­zug. Wesent­li­cher, ergän­zen­der Punkt zu den BAIT ist, dass zum einen der iso­lierte Bezug von han­dels­üb­li­cher Stan­dard-Soft­ware als sons­ti­ger Fremd­be­zug ein­ge­stuft wird. Als Stan­dard-Soft­ware gilt hier eine Soft­ware, an der noch keine unter­neh­mens­ei­ge­nen Anpas­sun­gen (inkl. auto­ma­ti­scher Upda­tes und Pat­ches) vor­ge­nom­men wur­den. Zum ande­ren ist sons­ti­ger Fremd­be­zug die Per­so­nal­ge­stel­lung, also die Beschäf­ti­gung bei einem Drit­ten unter Fort­set­zung des beste­hen­den Arbeits­ver­hält­nis­ses, zuguns­ten der KVG, sofern auf den KVG-eige­nen Sys­te­men nach Ein­wei­sung und unter Kon­trolle gear­bei­tet wird.

Hin­weis

Dies war bis­her ein Punkt, der in der Ver­gan­gen­heit inn­er­halb der Finanz­bran­che zu Dis­kus­sio­nen geführt hat. Hier schaf­fen die KAIT gegen­über den BAIT eine deut­li­che Kon­k­re­ti­sie­rung und Klar­stel­lung.

Fazit

Die Anfor­de­run­gen an die IT stei­gen, ein­her­ge­hend mit der Erhöh­ung des IT-Risi­ko­be­wusst­seins. Das hat die BaFin bereits mit den BAIT und den VAIT ver­deut­licht.

Die KAIT kön­nen als wei­te­rer Schritt der Kon­k­re­ti­sie­rung und Aus­ge­stal­tung der beste­hen­den auf­sichts­recht­li­chen Anfor­de­run­gen gese­hen wer­den. Es ist vor­s­tell­bar, dass die hier for­mu­lier­ten, wei­ter­ge­hen­den Kon­k­re­ti­sie­run­gen in zukünf­tige Fas­sun­gen der BAIT und VAIT über­nom­men wer­den.

nach oben