Am 17.08.2021 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) das novellierte Rundschreiben „Versicherungsaufsichtliche Anforderungen an die IT“ (VAIT) zur öffentlichen Konsultation gestellt. Mittels einiger Ergänzungen und Aktualisierungen soll die VAIT den europäischen Anforderungen, insbesondere hinsichtlich aktueller Risiken der Unternehmen im Zusammenhang mit der Informationsverarbeitung, gerecht werden.
Die VAIT-Novelle wächst ingesamt um zwei zusätzliche Kapitel „Operative Informationssicherheit“ und „IT-Notfallmanagement“. Acht weitere, bereits bestehende Kapitel wurden inhaltlich geändert bzw. ergänzt. Basis der Änderungen und Ergänzungen sind auch, neben den ICT-Guidelines, von der BaFin in Prüfungen ermittelte Defizite (Prüfungsfeststellungen) sowie punktuell erforderliche, explizitere bzw. detailliertere Vorgaben. Das Kapitel „kritische Infrastrukturen“ blieb unverändert.
die neuen kapitel der vait - inhaltsübersicht
Die Novelle enthält in den zwei neuen Kapiteln zusätzliche Themen, welche Erweiterungen bei Versicherungen nach sich ziehen.
operative informationssicherheit
Hierbei zielt die BaFin auf die Stärkung der operativen Widerstandsfähigkeit der IT ab. Es steht in engem Zusammenhang mit den Kapiteln „Informationsrisikomanagement“ sowie „Informationssicherheitsmanagement“ und ist als Abgrenzung der entsprechenden Aufgaben der ersten Verteidigungslinie (1st LoD) im Rahmen des Modells der drei Verteidigungslinien (3 LoD Modells) zu betrachten.
it-notfallmanagement
Das IT-Notfallmanagement verschärft die Vorsorge sowie die Maßnahmen bei IT-Notfällen. Es beinhaltet konkrete Vorgaben zu Konzepten, Plänen sowie deren Prüfung und Übung. Damit wird im Schulterschluss mit dem fachlichen Business Continuity Management (BCM) die systematische Gewährleistung der Wiederherstellbarkeit der IT vorgeschrieben.
bestehende kapitel der vait – ausmaß der konkretisierung und ergänzung
Acht etablierte Kapitel wurden inhaltlich konkretisiert bzw. ergänzt, wobei das Ausmaß unterschiedlich ausfällt:
Die VAIT-Ergänzungen bzw. Änderungen bedeuten insgesamt einen Handlungsbedarf für Versicherungsunternehmen. Der Handlungsbedarf ergibt sich in unterschiedlichem Ausmaß aus den neuen bzw. geänderten Kapiteln und ist abhängig von der individuellen „Absprunghöhe“ des Unternehmens. Insbesondere für kleine und mittlere Versicherer ist die Beachtung bzw. Ausgestaltung der Proportionalität bei der Erfüllung der Anforderungen ein zentrales Thema.
unser fazit und angebot
Auch wenn sich die novellierte VAIT noch in der Konsultation befindet, empfehlen wir eine frühzeitige Prüfung der spezifischen Auswirkungen im jeweiligen Unternehmen. Mit Hilfe eines "VAIT Delta-Checks" können wir Ihnen Ihre individuellen Handlungsbedarfe aufzeigen. Mit einem kompakten und ressourcenschonenden Vorgehen bieten wir Ihnen dabei eine Standortbestimmung innerhalb weniger Wochen. Neben den Schwachstellen Ihrer IT aus Sicht der novellierten Teile der VAIT zeigen wir Ihnen hierin auf, mit welchen Sofortmaßnahmen Sie Ihre Compliance kurzfristig steigern können. Der wichtigste Mehrwert in unserem Vorgehen liegt jedoch darin, dass wir auf Basis unserer mehr als 30-jährigen Erfahrung mit Ihnen zukunftsorientierte Maßnahmen erarbeiten, die für eine angemessene und nachhaltige Compliance sorgen – damit Sie sich wieder voll auf Ihr Kerngeschäft konzentrieren können.
