BaFin veröffentlicht KAIT für KVGen
Im Juni haben wir an dieser Stelle eine Zusammenfassung der zentralen Punkte der BaFin Konsultation bzgl. der Anforderungen an die IT von Kapitalverwaltungsgesellschaften (KAIT) vom April 2019 gegeben.
Innerhalb der Konsultationsphase bis Mai 2019 gingen von verschiedenen betroffenen Verbänden, wie BVI[1], BVK[2], IDW[3] und ZIA[4], eine Reihe von Anmerkungen zu dem vorgestellten Entwurf ein.
Die folgenden wesentlichen Änderungswünsche wurden mit Blick auf die Angemessenheit und den Umsetzungsaufwand bei den KVGen seitens der Verbände angemerkt:
Einplanen von Übergangsfristen bei der Umsetzung, da ein nicht unerheblicher Umsetzungsaufwand aus der KAIT folgt.
Berücksichtigung der zeitgleichen Umsetzung von Anforderungen an die IT im Kontext der europäischen Aufsichtspraxis, mit erheblichen Aufwänden bei den einzelnen KVGen.
Berücksichtigung des erheblich vergrößerten Umfanges des Informationssicherheitsmanagements aus den Anforderungen.
Konkretisierung der Anforderungen bei Auslagerungen und sonstiger Fremdbezüge von IT-Dienstleistungen.
Nun hat die BaFin Anfang Oktober die vollständigen Anforderungen veröffentlicht, die Sie hier abrufen können. Diese gelten aufgrund der spezifizierenden Natur bereits bestehender Regulatorik (KaMaRisk, KAGB, AIFM Level 2-VO) ab Oktober 2019 – ohne Übergangsfrist. Aus unserer Sicht ergeben sich, wie erwartet, nur sehr vereinzelt Änderungen zwischen Entwurf und der nun in Kraft getretenen Version der KAIT. Herauszustellen ist insbesondere eine Präzisierung durch die Aufsicht:
Im Gegensatz zum früheren Entwurf werden die zu betrachteten Schnittstellen zu externen Systemen in der veröffentlichten KAIT somit konkretisiert.
UNSER BEratungsangebot
Basierend auf der finalen Richtlinie haben wir ein KAIT Impact Assessment entwickelt. Innerhalb der Validierung prüfen wir Ihre Ist-Prozesse und den bereits erreichten Reifegrad der IT gegen die Anforderungen (vgl. Abb.1). Die Validierung der Ist-Prozesse und Ableitung geeigneter Maßnahmen erfolgt hierbei nach branchenüblichen Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Insbesondere betrachten wir die Angemessenheit der Sicherheits- und Risikomanagementprozesse nach
BSI-Standard 200-2: IT-Grundschutz (Informationssicherheit),
BSI-Standard 200-3: Risikoanalyse basierend auf dem IT-Grundschutz und
BSI Standard 100-4: Notfallmanagement
Die darin definierten allgemeinen Anforderungen sind weiterhin kompatibel zum Sicherheitsstandard ISO/IEC 270XX.
Abbildung 1: KAIT Impact Assessment - Auszug aus dem Fragenkatalog zum Umsetzungsstand und umzusetzende Maßnahme bei der KVG. Quelle: Finbrigde GmbH & Co. KG.
Auf Basis der Prüfung leiten wir gemeinsam mit Ihnen konkrete Maßnahmen ab und priorisieren diese in Form eines Backlogs. Das Backlog kann in einem ggf. folgenden Umsetzungsprojekt als Ausgangspunkt verwendet werden. Darüber hinaus kann das Assessment auch als eine Prüfungsvorbereitung zur Identifikation offener Themen und Handlungsfelder genutzt werden (vgl. auch Abb.2).
Abbildung 2: Priorisierung der umzusetzenden Maßnahmen und resultierender Umsetzungsplan.
Quelle: Finbrigde GmbH & Co. KG.
Neben der regulatorischen Beurteilung unterstützen wir Sie außerdem gerne mit unserer umfangreichen Umsetzungserfahrung in regulatorischen (IT-) Fragestellungen bei Finanzdienstleistern und Kapitalanlagegesellschaften, z.B. beim Aufsetzen und Durchführen von Projekten oder einzelnen Maßnahmen zur Einhaltung aktuell gültiger Standards.
Sprechen Sie uns an!
QUELLEN UND ANMERKUNGEN:
[1] Bundesverband Investment und Assetmanagement e.V.
[2] Bundesverband Deutscher Kapitalbeteiligungsgesellschaften
[3] Institut der Wirtschaftsprüfer
[4] Zentraler Immobilienausschuss e.V.
