Sanduhr

KAIT - Gnadenfrist durch Covid-19?

KAIT - Gnadenfrist durch Covid-19?

KAIT - Gnadenfrist durch Covid-19?

Holger Pfleger | Director,

Keyfacts

  • Mit Verabschiedung im Oktober 2019 wurden die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) umgehend gültig, und KVGen benötigen einen ganzheitlichen Ansatz zum IT-Risikobewusstsein.

  • Eine Implementierung der KAIT-Anforderungen ist ein umfangreiches Projekt mit komplexen Anforderungen.

  • Mögliche KAIT-Sonderprüfungen der Finanzaufsicht werden sich gegebenenfalls verzögern, erste Kontaktaufnahmen der BaFin mit KVGen zeigen aber, dass das Thema weiter aktiv verfolgt wird.

Neue Technologien verändern den Finanzmarkt seit Jahren. Durch die Digitalisierung und neue Entwicklungen wie Cloud Computing, künstliche Intelligenz und Blockchain wird dieser Trend weiter beschleunigt. Auch für die Wertschöpfungskette eines Finanzinstituts wird die Relevanz von Informationstechnologie immer größer. Um mit dieser Entwicklung Schritt zu halten, verschärfen Aufsichtsorgane die regulatorischen Anforderungen an den Einsatz von IT ebenfalls laufend.

Wie lassen sich die KAIT einordnen?

Die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT wurden im Oktober 2019 durch die BaFin veröffentlicht. Die KAIT sind keine grundlegend neuen Regelungen, sondern aus Sicht der Aufsicht eine Konkretisierung der IT-Anforderungen aus den Mindestanforderungen an das Risikomanagement von Kapitalverwaltungsgesellschaften (KaMaRisk) aus dem Jahr 2017 sowie der AIFM Level 2-VO. Diese Konkretisierungen sind mit der Veröffentlichung im Oktober 2019 direkt verbindlich geworden. Wir haben beobachtet, dass diese Konkretisierungen für einen Großteil unserer Kunden eine Herausforderung darstellen und häufig als grundlegend neue Anforderungen der Aufsicht gesehen werden. Viele Kunden haben daher bereits GAP-Analysen durchgeführt und beginnen nun, Umsetzungsprojekte um die identifizierten Lücken zu schließen. Mit den KAIT hat die BaFin, neben den BAIT für Banken und den VAIT für Versicherungsunternehmen, nun auch ähnliche Regelungen für KVGen veröffentlicht. Somit unterliegt der gesamte Finanzsektor inzwischen sehr ähnlichen regulatorischen Anforderungen in Hinblick auf IT.

Welche Themen behandeln die KAIT?

Ein primäres Ziel der KAIT ist die Schärfung des IT-Risikobewusstseins, vor allem in den Managementebenen der KVGen. Dazu gehen die KAIT auf die acht Bereiche IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Benutzerberechtigungsmanagement, IT-Projekte & Anwendungsentwicklung, IT-Betrieb sowie Auslagerung & sonstiger Fremdbezug von IT-Dienstleistungen ein. In diesen Themenbereichen adressieren die KAIT unter anderem die Feststellung der Aufsicht aus IT-Audits der letzten Jahre. Die Anforderungen sind dabei prinzipienorientiert und eher abstrakt beschrieben. Für detaillierte Ausführungen wird weiterhin auf gängige Standards wie die BSI IT-Grundschutzkataloge oder ISO 270xx verwiesen. Insgesamt findet das Prinzip der Proportionalität hinsichtlich Art, Umfang Komplexität und Risikogehalt weiterhin Anwendung.

Das ganzheitliche Vorgehen im Informationsrisikomanagement ist ein integraler Ansatz in den KAIT. Ein detaillierter Informationsverbund ist hierfür die notwendige Grundlage. Dieser beinhaltet beispielsweise die geschäftsrelevanten Daten, IT-Systeme, Infrastrukturen aber auch Schnittstellen und andere Abhängigkeiten. Dies ist erforderlich um Auswirkungen zu verstehen und Risiken angemessen beurteilen zu können.

Relevanz nur für KVGen?

Die KAIT sind direkt nur für die bereits erwähnten regulierten Kapitalverwaltungsgesellschaften relevant. Indirekt sind diese Anforderungen jedoch auch für Dienstleister der KVGen relevant. Für die Aufgaben einer KVG gelten grundsätzlich die gleichen Anfordernden unabhängig davon, ob diese ausgelagert sind oder intern erbracht werden. In beiden Fällen ist die KVG dazu verpflichtet sicherzustellen, dass die Aufgaben unter Einhaltung der regulatorischen Anforderungen durchgeführt werden. Dies gilt ebenfalls für Sub-Dienstleister, Dienstleister im Konzernverbund und selbstverständlich auch für ausländische Dienstleister. Gerade im Kontext von ausländischen Dienstleistern (auch konzernintern) konnten wir feststellen, dass die KAIT oft nicht erfüllt werden. 

Was bringt die Zukunft?

Die BaFin hat in einer Informationsveranstaltung letztes Jahr die Durchführung von KAIT-Sonderprüfungen für das zweite Halbjahr 2020 angekündigt. Um die Sonderprüfungen gezielt durchzuführen, wollte die BaFin zunächst standardisierte Fragebögen verschicken, um eine Ersteinschätzung der Situation zu bekommen. Nach unseren Informationen sind im Mai erste Anfragen an einzelne KVGen versandt worden.

Aufgrund der anhaltenden globalen Pandemie ist aktuell unklar, inwieweit sich die angekündigten Sonderprüfungen der Aufsicht verschieben werden. In Umsetzungsprojekten zur Schließung aufsichtlicher Feststellungen konnten wir sehen, dass die Behörden die Situation vieler Gesellschaften wahrgenommen haben und daher proaktiv eine Verschiebung von Meilensteinen bis zu einem halben Jahr anbieten.

Die aktuelle Krise zeigt uns, wie wichtig eine robuste und gleichzeitig moderne IT ist. Wir beobachten einen starken Anstieg an Cloud-Nutzung, Remote-Arbeit und der Datenübertragung insgesamt. Dies ist für eine KVG nur handhabbar, wenn die IT sowohl technologisch als auch organisatorisch exzellent aufgestellt ist. Wir sehen aktuell, dass unsichere Kommunikationsmittel aufgrund von fehlenden Alternativen gewählt werden, Risikomanagementprozesse aufgrund von Handlungsdruck nicht umfänglich durchlaufen werden oder das Business Continuity Management mit der Situation zu Anfang stark überfordert war. Aufsichtsrechtlich stellt all dies ein Problem dar und wird nach unserer Ansicht zu einer Vielzahl an Feststellungen in kommenden Prüfungen führen. Aber auch der Blickwinkel für zukünftige Aktivitäten der BaFin wird sich verändern. In diesem Zusammenhang ist es wahrscheinlich, dass zum Beispiel das Thema Business Continuity Management einen höheren Stellenwert bekommen wird.