BaFin startet Konsultation zur VAIT

Die BaFin hat am 19.08.2021 einen Entwurf zur Neufassung des Rundschreibens „Versicherungsaufsichtliche Anforderungen an die IT“ (VAIT) bis zum 24.09.2021 zur Konsultation gestellt. Mit den Ergänzungen gegenüber der Fassung vom 20.03.2019 werden Aspekte der „Leitlinien zur Sicherheit und Governance im Bereich Informations- und Kommunikationstechnologie (ICT-Guidelines) der EIOPA umgesetzt.

Die vorgesehenen Anpassungen entsprechen im Wesentlichen denen der BAIT-Novelle. Auch bei der VAIT werden die beiden Kapitel „Operative IT-Sicherheit“ (Kapitel 5) und „IT-Notfallmanagement“ (Kapitel 10) neu eingeführt. In den bestehenden Kapiteln werden zahlreiche Ergänzungen hinsichtlich der Sicherheit von Informationen und IT-Systemen vorgenommen.

Die wichtigsten Neuerungen haben wir für Sie zusammengestellt:

IT-Strategie
  • Einrichtung eines Prozesses zur Messung, Überwachung und Beurteilung der Umsetzung der Ziele der IT-Strategie
  • Erweiterung der Mindestinhalte z.B. Darstellung und strategische Einordnung der Abhängigkeiten von Dritten
IT-Governance
  • regelmäßige Überprüfung der Vorgaben durch hinreichend qualifizierte interne Revisoren
Informationsrisiko-management
  • regelmäßige & anlassbezogene Ermittlung und Dokumentation des Schutzbedarfs für Bestandteile des Informationsverbundes
  • laufende Information über potenzielle Bedrohungen und Schwachstellen des Informationsverbundes unter Berücksichtigung externer Veränderungen und potenziellen Maßnahmen zur Bekämpfung der Risiken
Informations-sicherheits-management
  • Einführung einer regelmäßig zu überprüfenden Richtlinie zum Testen und Überprüfen der Maßnahmen zum Schutz der Informationssicherheit
  • Einrichtung eines Sensibilisierungs- und Schulungsprogramms zur Informationssicherheit
Operative IT-Sicherheit
  • Sicherstellung der Integrität, Verfügbarkeit, Authentizität sowie Vertraulichkeit von Daten sowie der damit verbundenen Schutzziele
  • Potenziell sicherheitsrelevante Informationen und Aktivitäten sind angemessen zeitnah, regelbasiert und zentral (in der Regel durch automatisierte IT-Systeme) auszuwerten, um sicherheitsrelevante Ereignisse zu identifizieren
IT-Notfall-management
  • Definition von Verfahren zur Gewährleistung der Fortführung der Geschäftstätigkeit in Notfallsituationen wie z.B. dem Ausfall eines Dienstleisters oder einer kritischen Anzahl von Mitarbeitern
  • Erstellung von IT-Notfallplänen im Rahmen des IT-Notfallkonzepts für zeitkritische Aktivitäten und Prozesse, geeignete Maßnahmen zur Risikoreduzierung oder Wiederherstellung der Prozesse
  • Überprüfung der Wirksamkeit der Notfallpläne durch regelmäßige und anlassbezogene Notfalltests im Rahmen eines Testkonzepts
  • Zeitkritische Aktivitäten und Prozesse bei Ausfall eines Rechenzentrums müssen aus einem anderen, ausreichend entfernten Rechenzentrum heraus erbracht werden können
 

Die aufgezeigten neuen Anforderungen erfordern neben Anpassungen der IT-Strategie insbesondere Veränderungen beim Informationsrisiko- und Informationssicherheitsmanagement sowie dem Business Continuity Management und Notfallmanagement. Um auf die Implementierung vorbereitet zu sein, sollte bereits jetzt eine Gap Analyse auf Basis des vorliegenden Entwurfes zur VAIT Novelle erfolgen.

Die Experten von RFC Professionals begleiten ihre Mandanten seit vielen Jahren erfolgreich bei der Umsetzung aufsichtsrechtlicher Anforderungen. Neben der regulatorischen Expertise verfügen wir über vielfältige Praxiskenntnisse zu Versicherungsprozessen sowie der in den Prozessen eingesetzten IT-Systeme und ihrer Schnittstellen untereinander.

Greifen Sie auf unsere umfangreichen Erfahrungen und unser Benchmark Know-How aus Audit- und Umsetzungsprojekten im Kontext der BAIT zurück. Kontaktieren Sie uns gerne per Mail.

RFC-Veröffentlichungen zur BAIT-Novelle:

Ihre Ansprechpartner:

Matthias Oßmann

Matthias Oßmann

Sandra Schmolz

Sandra Schmolz

Dringlichkeit

Umsetzungsaufwand

Auswirkungen