Institutional Money, Ausgabe 3 | 2020

A ls beim Überschwappen der Corona-Infektionen nach Europa mit einem Schlag ein Großteil der Mitarbeiter von Kapitalverwaltungsgesellschaften (KVGen) vom Büro ins Homeoffice über- siedelte, offenbarte sich, wie es um die IT- Infrastruktur der Fondshäuser bestellt war. Erfreulich: Alles in allem lief es nach einer kurzen Schreck- und Anpassungs- periode gut: Die Fonds konnten gemanagt werden, Wertpapierkäufe und -verkäufe fanden statt, und auch der Kauf und Verkauf der Anteilsscheine klappte weitgehend reibungslos. Dass es so kurz nach Einführung der „Anforderungen an die IT von Kapitalverwaltungsgesellschaften“ (KAIT) zu einem derartigen Lackmustest kommen würde, war überraschend, zeigt aber, wie sinnvoll dieses Reglement ist. Die BaFin veröffentlichte das KAIT-Rundschrei- ben erst am 1. Oktober 2019, nachdem sie es im April 2019 zur Konsultation gegeben hatte. Mit den KAIT erweiterte die Behörde ihren Anforderungskatalog an die IT-Land- schaft im Finanzsektor, nachdem zuvor Banken (BAIT-Rundschreiben 10/2017) und Versicherungen (VAIT-Rundschreiben 10/ 2018) hinsichtlich ihrer IT-Organisation reguliert wurden. Die KAIT traten am Tag ihrer Veröffentlichung in Kraft und gelten seitdem für alle Kapitalverwaltungsgesell- schaften mit satzungsmäßigem Sitz in Deutschland, die über eine Erlaubnis der BaFin zum Geschäftsbetrieb verfügen. Die kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) zwingen Fondsgesellschaften zu einer weiteren Professionalisierung ihrer IT-Systeme – ein Ende dieses Prozesses ist nicht in Sicht. Die KAIT enthält viele unterschiedliche Herausforderungen und Diskussionspunkte für die Kapitalverwaltungsgesellschaften rund um die IT-Systemlandschaft. Die Umsetzung der KAIT stellt einen Prozess dar, der nicht von einem Tag auf den anderen zu bewerkstelligen ist. Aber die Fondsgesellschaften sollen sich auf den Weg zu einer integrier- ten IT-Strategie machen, die dann die operative Ebene, die Unternehmenssteuerung und die Governance betrifft. Quelle: Deloitte FOTO : © L AMME RT L EGA L CONS U LT I NG, L A S S EDE S I GNEN | S TOCK . ADOB E . COM » Zur Rezertifizierung müssen die Rechte aus dem IT-System ausgelesen und auf Plausibilität kontrolliert werden. « RA Katja Lammert, Lammert Legal Consulting, München Weg ohne Ende AUFGABEN zu 3 Festlegung des Informationsverbundes zu 4 Funktion des Informationssicherheits- beauftragten (ISB) zu 8 Abgrenzung sonstiger Fremdbezug von IT-Dienstleistungen 3 Informations risiko management 4 Informations sicherheit smanagement 8 Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen 1 IT- Strategie 2 IT- Governance 6 IT-Projekte und Anwendungs entwicklung 5 Benutzerberechtigung smanagement 7 IT- Betrieb (inkl. Datensicherung) Governance Steuerung Operativ zu 6 Änderungen von Dritten, Überprüfung des Quellcodes zu 7 Aufbau eines Konfigurations- managements (CMDB) 262 N o. 3/2020 | www.institutional-money.com S T E U E R & R E C H T : KA I T