Am 20. März 2019 hat die BaFin eine Ergänzung der VAIT um ein weiteres Modul (KRITIS-Modul) vorgenommen. Das Modul richtet sich ausschließlich an Versicherer, die Betreiber Kritischer Infrastrukturen (KRITIS) im Sinne des § 8a BSI-Gesetz sind.
Das KRITIS-Modul beschreibt für diesen Adressatenkreis, welche Anforderungen zu berücksichtigen sind, um den Nachweis gemäß § 8a Absatz 3 BSI-Gesetz auf Basis der VAIT zu erbringen. Inhaltliche Änderungen an den bestehenden acht Modulen hat die BaFin nicht vorgenommen.
Das Modul richtet sich – im Kontext mit den anderen Modulen der VAIT und den sonstigen einschlägigen versicherungsaufsichtlichen Anforderungen in Bezug auf die Sicherstellung angemessener Vorkehrungen zur Gewährleistung von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Informationsverarbeitung – eigens an die Betreiber kritischer Infrastrukturen (KRITIS-Betreiber1).
Es ergänzt insoweit die versicherungsaufsichtlichen Anforderungen an die IT um Anforderungen an die wirksame Umsetzung besonderer Maßnahmen zum Erreichen des KRITIS- Schutzziels. Als KRITIS-Schutzziel wird das Bewahren der Versorgungssicherheit der Gesellschaft mit den in § 7 BSI-Kritisverordnung genannten kritischen Versicherungsdienstleistungen verstanden, da deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen könnte.
Für kritische Dienstleistungen sind von den jeweiligen KRITIS-Betreibern (und im Falle von Ausgliederungen zusätzlich von ihren IT-Dienstleistern) geeignete Maßnahmen zu beschreiben und wirksam umzusetzen, die die Risiken für den sicheren Betrieb kritischer Infrastrukturen auf ein dem KRITIS-Schutzziel angemessenes Niveau senken. Hierzu müssen sich die KRITIS-Betreiber sowie ihre IT-Dienstleister an den einschlägigen Standards orientieren. Dabei soll der Stand der Technik eingehalten werden.
Ebenfalls kann das Modul verwendet werden, um durch Sicherheitsaudits oder Prüfungen (beispielsweise im Rahmen der Jahresabschlussprüfung) den Nachweis nach § 8a Abs. 3 BSIG zu erbringen. Dazu müssen die Anforderungen der VAIT für alle informationstechnischen Systeme, Komponenten oder Prozesse der kritischen Infrastrukturen umgesetzt und in der Prüfung komplett abgedeckt sein. Der Nachweis gemäß § 8a Abs. 3 BSIG ist unter Hinzuziehung einer geeigneten prüfenden Stelle zu erstellen.
Alternativ können die KRITIS-Betreiber für den Nachweis gemäß § 8a Abs. 3 BSIG einen unternehmensindividuellen Ansatz unter Berücksichtigung anderer geeigneter Anforderungen verfolgen oder einen branchenspezifischen Sicherheitsstandard (B3S) gemäß § 8a Abs. 2 BSIG erstellen.
Nutzen Sie die Expertise von RFC Professionals. Wir unterstützen unsere Mandanten erfolgreich bei der Analyse und Umsetzung der VAIT. Sehen Sie hierzu auch unseren Blog zu diesem Thema . Profitieren Sie dabei auch von unserer regulatorischen Expertise bei der Ausgestaltung von Auslegungs- und Umsetzungsspielräumen. Sprechen Sie uns jederzeit gerne per Mail an!
Weiterführende Details:
BaFin – Publikation: Kritische Infrastrukturen: BaFin ergänzt VAIT um KRITIS-Modul
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG) vom 23. Juni 2017
Versicherungsaufsichtliche Anforderungen an die IT (VAIT) – Rundschreiben 10/2018
Sehen Sie auch den Blog von RFC Professionals GmbH zum Thema VAIT als auch den Blog im Hinblick auf Prüfungsschwerpunkte (BaFin) für Versicherungen 2018/2019
Dringlichkeit
Umsetzungsaufwand
Auswirkungen
Ihre Ansprechpartner
