BaFin verschärft Regulierung der IT in Kapitalverwaltungsgesellschaften

(lifePR) ( Hamburg, )

KVGen müssen umfassende Sicherheitsleit- und Richtlinien aufstellen
Jede KVG muss die Funktion eines Informationssicherheitsbeauftragten einrichten
Auslagerung von IT wird reguliert
Umsetzungsaufwand laut BaFin bei 4,5 Mannwochen je KVG


Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) legt erstmals Minimalstandards für die IT in Kapitalverwaltungsgesellschaften (KVGen) fest. Das Rundschreiben trägt den Titel Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT). Betroffen sind 137 KVGen in Deutschland, die als externe Verwalter tätig sind und somit rechtlich von der Fondsgesellschaft getrennt sind.

Einen Schwerpunkt setzt die BaFin dabei auf das Thema IT-Sicherheit. Jede KVG-Geschäftsleitung muss eine Informationssicherheitsleitlinie aufstellen und beschließen. Auf Basis der Leitlinie müssen weitere Sicherheitsrichtlinien für bestimmte Unterbereiche aufgestellt werden wie etwa für Netzwerksicherheit, Kryptografie (Informationsverschlüsselung), Authentisierung und Protokollierung. Ziel ist die Vorbeugung von Informationssicherheitsvorfällen und die angemessene Reaktion bei Problemfällen.

Des Weiteren muss jede KVG einen Informationssicherheitsbeauftragten ernennen, der die Verantwortlichen der IT-Sicherheit überwachen soll. Diese Person muss die KVG-Geschäftsführung in allen Fragen rund um das Thema Datensicherheit beraten, sie muss die erwähnten Richtlinien überwachen und Interessenkonflikte managen. Interessenkonflikte können etwa entstehen, wenn die Themen Kosten und IT-Sicherheit in Konflikt miteinander stehen.

Christian Rüdiger, Leiter Fund Solutions bei Baker Tilly, kommentiert: „Die IT hat in den KVGen mittlerweile eine zentrale Bedeutung gewonnen. Aufgrund der großen Datenmengen, der verschiedenen beteiligten Systeme und der Sensibilität der Daten ist eine Festlegung von Minimalstandards durch BaFin eine gute Hilfestellung. Insbesondere im Hinblick auf das sensible Thema Risikomanagement.“

Die IT von KVGen wird teilweise bereits durch die KAMaRisk (Mindestanforderungen an das Risikomanagement von KVGen) reguliert. Die Vorgaben der KAMaRisk bleiben durch die Vorgaben des BaFin-Rundschreibens unberührt, werden jedoch teilweise weiter konkretisiert.

Das Rundschreiben regelt zudem die Auslagerung von IT-Dienstleistungen, da diese immer mehr an Bedeutung gewinnt. So muss jede KVG vor einer Auslagerung eine Risikobewertung durchführen. Des Weiteren müssen auch die Möglichkeit eines Ausfalls des IT-Dienstleisters berücksichtigt werden und eine Alternativ-Strategie erarbeitet werden.

Neben den genannten Themen IT-Sicherheit und IT-Auslagerung regelt das Rundschreiben noch eine Reihe weiterer Bereiche. Jede KVG muss Darstellungen zu folgenden Themen vorlegen: IT-Strategie, IT-Governance, Informationsrisikomanagement, Benutzerberechtigungsmanagement, IT-Betrieb sowie Datensicherung u.a.m.

Christian Rüdiger kommentiert: „Die BaFin kalkuliert den Aufwand für die betroffenen KVGen bei der erstmaligen Umsetzung mit 4,5 Mannwochen je KVG.“

Die Konsultationsfrist für das Rundschreiben ist bereits abgelaufen. Es wird mit einer finalen Fassung Ende Juli / Anfang August 2019 gerechnet, die sich nicht wesentlich von dem jetzigen Stand unterscheiden dürfte.
Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Meldungstitel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien.
Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@lifepr.de.