BaFin hebt die KAIT zum 17. Januar 2025 auf

Die Aufhebung dient der Vermeidung einer Doppelregulierung

Am 17. Januar 2025 tritt die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (DORA-Verordnung) in Kraft. Mit der DORA-Verordnung sollen europaweit einheitliche Regelungen im Umgang mit Risiken der Informations- und Kommunikationstechnologie geschaffen werden.

Bisher waren die aufsichtlichen Anforderungen für erlaubnispflichtige Kapitalverwaltungsgesellschaften in der KAIT (Kapitalverwaltungsaufsichtlichen Anforderungen an die IT) geregelt. Die BaFin hat in ihrem Informationsschreiben vom 9. Januar 2025 angekündigt, dass die KAIT vollständig mit Ablauf des 16.  Januar 2025 aufgehoben wird. Dies dient nach Aussagen der BaFin der Komplexitätsreduktion und der Vermeidung einer Doppelregulierung.

• Information der BaFin vom 9. Januar 2025

Die Regelungen der DORA-Verordnung sind für alle erlaubnispflichtigen Kapitalverwaltungsgesellschaften ab 17. Januar 2025 unmittelbar anzuwenden. Einer Umsetzung ins KAGB bedurfte es hierzu nicht. Mit der noch kurz vor dem Jahresende ergangenen Veröffentlichung des Gesetz zur Digitalisierung des Finanzmarktes (FinmadiG) hat der Gesetzgeber darüber hinaus sichergestellt, dass die Anforderungen der DORA-Verordnung auch Gegenstand der Prüfung der Kapitalverwaltungsgesellschaften (sowie der intern verwalteten InvKG und InvAG) ist.

• Art. 6 (Seite 56) – Änderungen des KAGB durch das Gesetz über die Digitalisierung des Finanzmarktes (FinmadiG) [BGBl I, Nr. 438 vom 27. Dezember 2024]

Auch wenn registrierte Kapitalverwaltungsgesellschaften i.S.d.§ 2 Abs. 4 KAGB nicht unter die DORA-Verordnung fallen, so deutet die BaFin in ihrem Schreiben aber auch an, dass Maßnahmen zum angemessenen Umgang mit IKT-/Cyberrisiken unabhängig von einer gesetzlichen Verpflichtung im Rahmen der ordnungsgemäßen Geschäftsorganisation zu treffen sein könnten.