Kapitalverwaltungsaufsichtliche Anforderungen an die IT
| Basisdaten | |
|---|---|
| Titel | Rundschreiben 11/2019 (WA) Kapitalverwaltungsaufsichtliche Anforderungen an die IT |
| Kurztitel | Kapitalverwaltungsaufsichtliche Anforderungen an die IT |
| Abkürzung | KAIT |
| Geltungsbereich | Bundesrepublik Deutschland |
| Ursprüngliche Fassung vom | 1. Oktober 2019 |
| Letzte Neufassung vom | 1. Oktober 2019 |
| Ende der Gültigkeit | 16. Januar 2025 |
Die Kapitalverwaltungsaufsichtliche Anforderungen an die IT, abgekürzt KAIT, waren Verwaltungsanweisungen, die mit einem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und diesbezüglicher Anforderungen an die IT-Governance an deutschen Kapitalverwaltungsgesellschaften veröffentlicht wurden. Sie wurden von der BaFin mit dem Rundschreiben 11/2019 (WA) vom 1. Oktober 2019 veröffentlicht.
Um eine Doppelregulierung zu vermeiden, wurden die KAIT zum 17. Januar 2025 zugunsten der Verordnung (EU) 2022/2554 (DORA) aufgehoben.[1]
Die KAIT konkretisierten die gesetzlichen Anforderungen des Kapitalverwaltungsgesellschaften („KVGen“) im Sinne des § 17 Kapitalanlagegesetzbuch (KAGB). Es handelte sich bei ihnen um normeninterpretierende Verwaltungsvorschriften, die eine Selbstbindung der deutschen Aufsicht gegenüber den Kapitalverwaltungsgesellschaften darstellen. Sie galten für Kapitalverwaltungsgesellschaften im Sinne des § 17 Kapitalanlagegesetzbuch (KAGB).
Inhalte
In den KAIT formulierte die Aufsicht einen Rahmen für die technisch-organisatorische Ausstattung der Unternehmen – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement. Da die Kapitalverwaltungsgesellschaften zunehmend IT-Dienstleistungen von Dritten beziehen, forderten die KAIT – unabhängig davon, ob es sich hierbei um die Hauptdienstleistung oder um eine ergänzende Nebendienstleistung zu einer anderen Hauptdienstleistung handelt – beispielsweise vorab zwingend eine Risikoanalyse.
Ebenso forderten die KAIT, dass in der Informationssicherheit mindestens Stand der Technik umzusetzen ist, wobei mindestens die Themen Identifizierung, Schutz, Entdeckung, Reaktion und Wiederherstellung abgedeckt werden müssen.
Ergänzend forderte die BaFin, die Hinweise bei Nutzung von Cloud-Diensten aus dem Merkblatt „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ (KAIT Ziffer 8 Nr. 64) zu berücksichtigen.
Siehe auch
- Bankaufsichtliche Anforderungen an die IT (BAIT)
- Versicherungsaufsichtliche Anforderungen an die IT (VAIT)
- ZAIT (Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten abgekürzt ZAIT)
Weblinks
- Rundschreiben 11/2019 (WA) - Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT) in der Fassung vom 1. Oktober 2019
- KAIT in English in der Fassung vom 25. Mai 2020
- Merkblatt - Orientierungshilfe zu Auslagerungen an Cloud-Anbieter in der Fassung vom 8. November 2018
Einzelnachweise
- ↑ DORA kommt: Änderungen bei den aufsichtlichen Anforderungen an die IT. In: bafin.de. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), 10. Januar 2025, abgerufen am 20. Januar 2025.