Verschärfung für KVGen

Christian Rüdiger, Leiter Fund Solutions bei Baker Tilly / Foto: © Baker Tilly

In einem neuen Rundschreiben definiert die BaFin erstmals Mindeststandards für die IT in Kapitalverwaltungsgesellschaft. Diese müssen nun u.a. einen neuen Posten schaffen. Auch die Auslagerungen an IT-Dienstleister werden neu geregelt.

Durch die Regulierung in der Finanzbranche wurden in den vergangenen Jahren immer wieder neue Abkürzungen eingeführt (IDD, MiFID II, etc.). Zu diesen gesellt sich nun eine neue: KAIT. Dahinter verbergen sich die Kapitalverwaltungsaufsichtlichen Anforderungen, die die BaFin mit einem neuen Rundschreiben festlegt. Davon sind 137 Kapitalverwaltungsgesellschaften (KVGen) in Deutschland betroffen, die als externe Verwalter tätig und somit rechtlich von der Fondsgesellschaft getrennt sind.

In dem Rundschreiben setzt die BaFin auf das Thema IT-Sicherheit. So muss jede KVG-Geschäftsleitung eine Informationssicherheitsrichtline aufstellen und beschließen. Basierend auf dieser Leitlinie müssen weitere Sicherheitsrichtlinie für bestimmte Unternehmensbereiche aufgestellt werden, bspw. für die Netzwerksicherheit, Kryptografie, Authentisierung und Protokollierung. Damit soll Informationssicherheitsvorfällen vorgebeugt werden und bei Problemfällen eine schnelle Reaktion möglich sein. Zudem muss jede KVG einen Informationssicherheitsbeauftragen ernennen, der die Verantwortlichen der IT-Sicherheit überwachen soll. Der Informationssicherheitsbeauftragte muss die KVG-Geschäftsführung in allen Fragen rund um das Thema Datensicherheit beraten, die oben genannten Richtlinien überwachen und Interessenskonflikte managen, die beispielsweise aus den Themen Kosten und IT-Sicherheit entstehen können.

„Die IT hat in den KVGen mittlerweile eine zentrale Bedeutung gewonnen. Aufgrund der großen Datenmengen, der verschiedenen beteiligten Systeme und der Sensibilität der Daten ist eine Festlegung von Minimalstandards durch BaFin eine gute Hilfestellung. Insbesondere im Hinblick auf das sensible Thema Risikomanagement“, erläutert Christian Rüdiger, Leiter Fund Solutions bei Baker Tilly, dass die KVGen von der Neuregelung durchaus profitieren können.

Bislang ist die IT von KVGen teilweise durch das KAMaRisk (Mindestanforderung an das Risikomanagement von KVGen) reguliert. Dessen Vorgaben bleiben durch die neuen BaFin-Vorgaben unberührt, werden aber teilweise konkretisiert.

Neuregelung für Auslagerungen

Weil die Auslagerung von IT-Dienstleistungen immer mehr an Bedeutung gewinnen, wird auch diese durch das BaFin-Rundschreiben geregelt. So muss jede KVG vor einer Auslagerung eine Risikobewertung durchführen. Zudem müssen auch die Möglichkeiten eines Ausfalls des IT-Dienstleisters berücksichtigt und eine Alternativ-Strategie erarbeitet werden.

Neben den genannten Themen IT-Sicherheit und IT-Auslagerung regelt das Rundschreiben noch eine Reihe weiterer Bereiche. Jede KVG muss Darstellungen zu folgenden Themen vorlegen: IT-Strategie, IT-Governance, Informationsrisikomanagement, Benutzerberechtigungsmanagement, IT-Betrieb sowie Datensicherung u.a.m.

„Die BaFin kalkuliert den Aufwand für die betroffenen KVGen bei der erstmaligen Umsetzung mit 4,5 Mannwochen je KVG“, so Christian Rüdiger.

Die Konsultationsfrist für das Rundschreiben ist bereits abgelaufen. Es wird mit einer finalen Fassung Ende Juli / Anfang August 2019 gerechnet, die sich nicht wesentlich von dem jetzigen Stand unterscheiden dürfte. (ahu)