IT-Sicherheit: BaFin veröffentlicht finales Rundschreiben der Versicherungsaufsicht

Nachdem bei der Bankenbranche das Thema BAIT (bankenaufsichtliche Anforderungen an die IT) seitens der BaFin als nationale Aufsichtsbehörde am 6. November des letzten Jahres final veröffentlicht wurde (siehe unsere Veröffentlichung zu diesem Thema) war das Thema für die Versicherer im ersten Quartal 2018 im Rahmen einer Konsultationsphase gestartet.

Am 3. Juli 2018 hat die BaFin nunmehr das finale Rundschreiben 10/2018- Versicherungsaufsichtliche Anforderungen an die IT (VAIT) veröffentlicht.

Das veröffentlichte 23 seitige Rundschreiben enthält Hinweise zur Auslegung der Vorschriften über die Geschäftsorganisation im VAG, soweit sie sich auf die technisch-organisatorische Ausstattung der Unternehmen beziehen. Die BaFin berücksichtigt damit die besondere Bedeutung der Informationstechnik (IT) in den Unternehmen. Zentrales Ziel dieses Rundschreibens zu den VAIT ist es, dem Management der Unternehmen einen flexiblen und praxisnahen Rahmen für die Ausgestaltung der IT der Unternehmen, insbesondere auch für das Management der IT-Ressourcen und für das IT-Risikomanagement vorzugeben. Insgesamt werden 8 Anforderungen näher beschrieben und behandelt:

  1. IT Strategie: Es muss nachgewiesen werden, dass der Versicherer über eine aktuelle und zur Geschäftsstrategie konstante IT-Strategie verfügt.
  2. IT-Governance: Hier werden die Strukturen zur Steuerung sowie Überwachung des Betriebes und der Weiterentwicklung der IT behandelt
  3. Informationsmanagement: Um Maßnahmen zur Risikoreduzierung definieren zu können muss der Versicherer in Zukunft Informationsrisiken systematisch identifizieren
  4. Informationssicherheitsmanagement: Ein sogenannter Verbesserungskreislauf muss umgesetzt werden mit dem Ziel, die Informationssicherheit über einen geregelten Prozess ständig zu verbessern und aktuell zu halten.
  5. Benutzerberechtigungsmanagement: jeder Mitarbeiter darf nur noch die Berechtigungszugriffe haben, die zur Durchführung seiner täglichen Aufgaben notwendig sind.
  6. IT-Projekte / Anwendungsentwicklung: Bei Auflage eines neuen Projektes muss gleichzeitig die Auswirkung auf die IT-Organisation und deren Prozesse beachtet werden.
  7. IT-Betrieb: Der Betrieb muss reibungslos vonstattengehen. Dafür gilt es insbesondere das Alter der IT-Anwendungen im Auge zu haben.
  8. Ausgliederung von IT-Dienstleistungen: Wie alle Auslagerungen müssen auch hier in Zukunft Risikobetrachtungen in die Gesamtbewertung vor der Entscheidung zur Auslagerung eingebracht werden.
  9. Die prinzipienorientierten Anforderungen des Rundschreibens zu den VAIT tragen dem Proportionalitätsprinzip Rechnung. Für Unternehmen, die dem Anwendungsbereich des Aufsichtssystems Solvabilität II unterliegen, bleiben die in den Mindestanforderungen an die Geschäftsorganisation (MaGo) enthaltenen Anforderungen weiterhin unberührt.

Starten Sie rechtzeitig eine GAP Analyse hinsichtlich der aufsichtsrechtlichen Anforderungen auf der einen Seite als auch den vorhandenen Gegebenheiten in Ihrem Haus. Wir schätzen die Änderungen und die damit verbundenen Umsetzungsaufwände für die Branche als wesentlich und erheblich ein – das zeigt auch der direkte Vergleich zu Bankenbranche mit dem analogen BAIT. Unterschätzen Sie somit die Implementierungszeiten nicht!

Die Experten von RFC Professionals begleiten seit vielen Jahren effizient und erfolgreich die Implementierung von IT-Anforderungen, unterstützt durch bspw. das RFC-BAIT/VAIT-Analyse-Tool sehen wir uns hier als Ansprechpartner der ersten Wahl . Sprechen Sie uns diesbezüglich gerne jederzeit an.


Alexander Wolf

Ihr Ansprechpartner:

Alexander Wolf

Mail