Eine gute Hilfestellung?

Warum Bafin die Regulierung der IT in KVGen verschärft

Die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) legt erstmals Minimalstandards für die IT in Kapitalverwaltungsgesellschaften (KVG) fest. Das Rundschreiben trägt den Titel „Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT)“. Betroffen seien 137 KVGen in Deutschland, die als externe Verwalter tätig sind und somit rechtlich von der Fondsgesellschaft getrennt sind.

Hilfestellung

Aufgrund der großen Datenmengen, der verschiedenen beteiligten Systeme und der Sensibilität der Daten soll eine Festlegung von Minimalstandards durch Bafin eine gute Hilfestellung sein.

Einen Schwerpunkt setzt die Bafin dabei auf das Thema „IT-Sicherheit“. Jede KVG-Geschäftsleitung muss eine Informationssicherheitsleitlinie aufstellen und beschließen. Auf Basis der Leitlinie müssen weitere Sicherheitsrichtlinien für bestimmte Unterbereiche aufgestellt werden wie etwa für Netzwerksicherheit, Kryptografie (Informationsverschlüsselung), Authentisierung und Protokollierung. Ziel ist die Vorbeugung von Informationssicherheitsvorfällen und die angemessene Reaktion bei Problemfällen.

Desweiteren muss jede KVG einen Informationssicherheitsbeauftragten ernennen, der die Verantwortlichen der IT-Sicherheit überwachen soll. Diese Person muss die KVG-Geschäftsführung in allen Fragen rund um das Thema „Datensicherheit“ beraten, sie muss die erwähnten Richtlinien überwachen und Interessenkonflikte managen. Interessenkonflikte können etwa entstehen, wenn die Themen „Kosten“ und „IT-Sicherheit“ in Konflikt miteinander stehen.

Alternativstrategien erarbeiten


Christian Rüdiger, Leiter Fund Solutions bei Baker Tilly, kommentiert: „Die IT hat in den KVGen mittlerweile eine zentrale Bedeutung gewonnen. Aufgrund der großen Datenmengen, der verschiedenen beteiligten Systeme und der Sensibilität der Daten ist eine Festlegung von Minimalstandards durch Bafin eine gute Hilfestellung. Insbesondere im Hinblick auf das sensible Thema ‚Risikomanagement‘.“

Die IT von KVGen wird teilweise bereits durch die KAMaRisk (Mindestanforderungen an das Risikomanagement von KVGen) reguliert. Die Vorgaben der KAMaRisk sollen durch die Vorgaben des Bafin-Rundschreibens unberührt bleiben, werden jedoch teilweise weiter konkretisiert.

Das Rundschreiben regelt zudem die Auslagerung von IT-Dienstleistungen, da diese immer mehr an Bedeutung gewinnt. So muss jede KVG vor einer Auslagerung eine Risikobewertung durchführen. Desweiteren müssen auch die Möglichkeit eines Ausfalls des IT-Dienstleisters berücksichtigt werden und eine Alternativstrategie erarbeitet werden.

Neben den genannten Themen „IT-Sicherheit“ und „IT-Auslagerung“ regelt das Rundschreiben noch eine Reihe weiterer Bereiche. Jede KVG muss Darstellungen zu folgenden Themen vorlegen: IT-Strategie, IT-Governance, Informationsrisikomanagement, Benutzerberechtigungsmanagement, IT-Betrieb sowie Datensicherung u.a.m.

Bildquelle: Getty Images / iStock / Getty Images Plus

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok