Die Kapitalverwaltungsaufsichtliche Anforderungen an die IT, abgekürzt KAIT, sind Verwaltungsanweisungen, die mit einem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und diesbezüglicher Anforderungen an die IT-Governance an deutschen Kapitalverwaltungsgesellschaften veröffentlicht wurden. Sie wurden von der BaFin mit dem Rundschreiben 11/2019 (WA) vom 1. Oktober 2019 veröffentlicht. Sie gilt für Kapitalverwaltungsgesellschaften im Sinne des § 17 Kapitalanlagegesetzbuch (KAGB).

Die KAIT konkretisieren die gesetzlichen Anforderungen des Kapitalverwaltungsgesellschaften („KVGen“) im Sinne des § 17 Kapitalanlagegesetzbuch (KAGB). Es handelt sich bei ihnen um normeninterpretierende Verwaltungsvorschriften, die eine Selbstbindung der deutschen Aufsicht gegenüber den Kapitalverwaltungsgesellschaften darstellen.

In den Kapitalverwaltungsaufsichtlichen Anforderungen an die IT formuliert die Aufsicht einen Rahmen für die technisch-organisatorische Ausstattung der Unternehmen – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement. Da die Kapitalverwaltungsgesellschaften zunehmend IT-Dienstleistungen von Dritten beziehen, fordert die KAIT nun – unabhängig davon, ob es sich hierbei um die Hauptdienstleistung oder um eine ergänzende Nebendienstleistung zu einer anderen Hauptdienstleistung handelt – beispielsweise vorab zwingend eine Risikoanalyse.

Ebenso fordert nun die KAIT § 2 Absatz 8 sowie § 4 Absatz 26 in der Informationssicherheit mindestens Stand der Technik umzusetzen, wobei mindestens die Themen Identifizierung, Schutz, Entdeckung, Reaktion und Wiederherstellung abgedeckt werden müssen.

Ergänzend fordert die BaFin nun die Hinweise bei Nutzung von Cloud-Diensten aus dem Merkblatt „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ (KAIT § 8 Absatz 64) zu berücksichtigen.