KAIT
Am 08.04.2019 stellte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Entwurf eines Rundschreibens zu den Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) zur Konsultation. Bereits Ende 2017 wurden die Bankaufsichtlichen Anforderungen an die IT (BAIT) und Mitte 2018 die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) veröffentlicht. Mit den am 02.10.2019 veröffentlichen KAIT erfolgte die Erläuterung der BaFin bezüglich der Mindestanforderungen, insbesondere an die IT-Governance und Informationssicherheit, die von KVGen mit Erlaubnis nach § 20 Abs. 1 Kapitalanlagegesetzbuch (KAGB) einzuhalten sind. Die BaFin setzt damit ihre Reihe der Anforderungen an die IT-Landschaft im Finanzsektor fort.
Ihre Herausforderungen
Die KAIT stellen eine Konkretisierung bereits bestehender Vorschriften aus dem KAGB beziehungsweise aus den Mindestanforderungen an das Risikomanagement von Kapitalverwaltungsgesellschaften (KAMaRisk) hinsichtlich der IT dar. Vom Umfang der gesetzten Anforderungen gehen sie jedoch weit über diese hinaus. Damit fügen sie sich in die Verwaltungspraxis der BaFin im Sinne der BAIT und VAIT ein.
Die acht Anforderungsbereiche (siehe Darstellung weiter unten) der KAIT legen unter anderem Vorgaben zur IT-Governance, Informationssicherheit sowie zur Entwicklung und dem Betrieb von IT-Systemen fest. Darüber hinaus werden auch IT-Projekte, IT-Betrieb und Auslagerungen respektive der Fremdbezug von IT-Dienstleistungen behandelt.
Für KVGen bedeuten die Vorgaben der KAIT vor allem eine Steigerung der Dokumentations- und Kontrollanforderungen in der IT sowie die Notwendigkeit einer stärkeren Transparenz von verarbeiteten Informationen in den IT-Systemen und den dazugehörigen Prozessen. Für die Herstellung einer angemessenen Compliance bedarf es einer individuellen Herangehensweise zur Definition eines risikobezogenen Soll-Zustandes.
Die wichtigsten Punkte der KAIT sind:

- Identifikation, Bewertung, Überwachung und Steuerung von IT-Risikokriterien, IT-Risiken sowie von Schutzbedarf und Schutzmaßnahmen
- Sollmaßnahmenkatalog zu Umsetzung der Schutzziele
- Personalausstattung und -kompetenzen
- Technisch-organisatorische Ausstattung
- IT-Aufbau- und Ablauforganisation
- Konformität der IT-Geschäftsaktivitäten und Organisationsrichtlinien
- Implementierung und Prüfung von Notfallmaßnahmen
- Definition der IT-Strategie (Ziele und Maßnahmen)
- Überprüfbarkeit der Zielerreichung
- Abstimmung und Kommunikation mit Aufsichtsorgan
- Abgrenzung von Auslagerung und sonstigem Fremdbezug
- Risikobewertung, Überwachung
- Vertragsgestaltung
- Verwaltung und Aktualisierung der IT-System-Komponenten
- Lebens-Zyklus Management des IT-System Portfolios
- Analyse, Steuerung und Dokumentation von Störungen im Regelbetrieb
- Spezifizierung organisatorischer Grundlagen
- Festlegung von Steuerungs- und Überwachungsprozessen
- Zuordnungsmöglichkeit nicht personalisiertet Berechtigungen
- Trennung von Produktion und Testumfeld
- Erstellung und Anpassung von Berechtigungskonzepten
- Zuordnungsmöglichkeit, Überprüfbarkeit
- Protokollierungsmaßnahmen, Rezertifizierung
- Etablierung eines Informationssicherheitsbeauftragten (ISB)
- Ausgestaltung der ISB Funktion unter Vermeidung von Interessenkonflikten
Unser Angebot
Unsere KAIT Experten von EXXETA ermitteln zunächst den aktuellen Erfüllungsgrad der KAIT-Anforderungen in Ihrem Unternehmen. Auf Basis dieses Compliance Checks beraten wir Sie hinsichtlich der notwendigen Maßnahmen zur vollständigen Umsetzung der KAIT-Anforderungen.
Beispielhaftes Projektvorgehen
KAIT Compliance Check
- Identifikation relevanter Geschäftsbereiche, Funktionen und Systeme
- KAIT Compliance Check zum Erfüllungsgrad der regulatorischen Anforderungen
- Identifizierung von kritischen Erfolgsfaktoren
Ergebnis:
Ergebnisbericht hinsichtlich des Erfüllungsgrades der KAIT-Anforderungen (Ist-Situation)
Gap-Analyse
- Definition einer individuellen risikobezogenen Soll-Situation
- Durchführung des individuell definierten Soll-Zustandes mit dem Ist-Zustand
Ergebnis:
- Definierter individueller risikobezogener Zielerreichungsgrad
- Analyse und Darstellung der Schwachstellen und Gaps
Umsetzungsvorbereitung
- Festlegung von Maßnahmen zur Steigerung des Erfüllungsgrades
- Erstellung einer Roadmap zur Umsetzung
Ergebnis:
- Abgeleitete Maßnahmen zur Schwachstellenbeseitigung
- Projektplan zur risikoorientierten Maßnahmenumsetzung
Umsetzung
Implementierung der erforderlichen Anpassungen
- Prozesse
- Dokumentationen
- Systemlandschaft
Ergebnis:
Sicherstellen der KAIT Compliance
Ihre Vorteile
Um die norminterpretierenden Verwaltungsvorschriften der BaFin effektiv in der KVG umsetzen zu können benötigt es einen zuverlässigen und kompetenten Partner. Mit unserer profunden Erfahrung und Expertise bei namhaften Finanzinstituten bieten wir Ihnen eine ganzheitliche Unterstützung von der Analyse über die Konzeption bis hin zur Implementierung, Optimierung, Digitalisierung und Automatisierung Ihrer institutsspezifischen Prozesse an.
Durch unsere methodisch effiziente Vorgehensweise und dem Blick für das Ganze gelingt Ihnen die Herstellung einer bestmöglichen KAIT Compliance. Hierfür arbeiten wir in interdisziplinären Expertenteams für Geschäftsprozesse und IT.