VAIT – die MaGo-Konkretisierung: auf die IT der Versicherer kommen strengere Anforderungen zu
zeb
Im November 2017 hat die BaFin einen ersten Entwurf der versicherungsaufsichtlichen Anforderungen an die IT (VAIT) vorgelegt. Das Schreiben legt die IT-bezogenen Anforderungen des Versicherungsaufsichtsgesetzes (VAG) und der Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) verbindlich aus und ermöglicht auf diesem Wege eine konsistente Anwendung im Versicherungssektor. Da es sich bei den VAIT um eine Konkretisierung bestehender Anforderungen handelt, sind keine Übergangsfristen mit der geplanten Verabschiedung Mitte 2018 zu erwarten. Die Anforderungen der VAIT sind daher von den Unternehmen kurzfristig zu prüfen und bis spätestens Mitte 2018 zu erfüllen.
zeb
von Dr. Jan Hendrik Sohl & Michael Kötting, ZEB
Die IT hat für Versicherungsunternehmen eine hohe strategische Bedeutung. Aus diesem Grund arbeitet die BaFin nach der Veröffentlichung der bankaufsichtlichen Anforderungen an die IT (BAIT) nun an einem vergleichbaren Rundschreiben für die Versicherungswirtschaft.Einen ersten Entwurf der versicherungsaufsichtlichen Anforderungen an die IT (VAIT) hat die BaFin bereits im November 2017 vorgelegt. Dabei konkretisieren die VAIT das Versicherungsaufsichtsgesetz (VAG) und die Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo), indem sie genaue Vorgaben im Hinblick auf die IT von Versicherern aufführen (siehe Abbildung 1).
Die die IT-Organisation betreffenden Vorgaben aus dem VAG und den MaGo werden auf diesem Wege verbindlich ausgelegt, wodurch eine konsistente Anwendung im Versicherungssektor gewährleistet werden soll.”
ZEB
Bei der Formulierung der einzelnen Anforderungen bedient sich die BaFin vielfach gängiger Standards. So finden sich in den Anforderungen der VAIT beispielsweise Aspekte aus den IT-Grundschutzkatalogen des BSI, dem internationalen Sicherheitsstandard ISO/IEC 2700X und dem Governance-Framework COBIT wieder. Durch die Nutzung dieser Standards möchte die BaFin den Unternehmen einen praxisnahen und flexiblen Rahmen an die Hand geben. Dabei heben die VAIT jedoch auch hervor, dass sich Unternehmen nicht auf einmal eingeführte Standards verlassen sollten, sondern bei der Ausgestaltung ihrer IT-Systeme und der dazugehörigen IT-Prozesse stets auf den Einsatz aktueller Standards zu achten haben.
VAIT: Anforderungen in acht Themenfeldern
Die über 60 Einzelanforderungen der VAIT sind in acht Themenfelder gegliedert (siehe Abbildung 2). Während einzelne Anforderungen bereits heute zum Standard in vielen Versicherungsunternehmen zählen, sind andere Anforderungen in der Praxis oftmals nicht erfüllt. Versicherer werden daher die einzelnen Anforderungen der VAIT sorgfältig prüfen und mit bereits getroffenen Vorkehrungen im Unternehmen abgleichen müssen. Im Ergebnis müssen die Unternehmen Transparenz darüber erlangen, in welchen Bereichen sie bereits konform zu den Anforderungen der VAIT agieren und in welchen Feldern noch Anpassungsbedarfe bestehen.
ZEB
Nach verschiedenen Tätigkeitsfeldern bei einem IT-Dienstleister eines internationalen Versicherungskonzerns wechselte Dr. Jan Hendrik Sohl in die Beratungsbranche. Als verantwortlicher Partner bei zeb befasst er sich mit IT-Strategien und IT-Transformationen im Versicherungssektor.
Michael Kötting ist Senior Consultant bei zeb und befasst sich mit IT-Strategien und IT-Transformationen von Versicherungsunternehmen. Im Rahmen seiner Forschungstätigkeit am Lehrstuhl für Unternehmensgründungen und Unternehmertum an der Universität Hohenheim untersucht er Innovationsprogramme etablierter Unternehmen.
Berücksichtigung des Proportionalitätsprinzips
Bei der Umsetzung der VAIT können die Unternehmen auf das Proportionalitätsprinzip zurückgreifen.”
Bei der Umsetzung der VAIT können die Unternehmen auf das Proportionalitätsprinzip zurückgreifen.”
Dieses räumt den Versicherern die Möglichkeit ein, sich bei der Umsetzung der VAIT entlang der Komplexität des Unternehmens und der IT zu orientieren. Die geringe Größe eines Unternehmens kann beispielsweise ein Indiz dafür sein, dass aufgrund eines individuellen Risikoprofils des Versicherers die Konformität zu den VAIT mit einfacheren Strukturen und Prozessen erreicht werden kann.
Konkrete Hinweise zur Ableitung eines individuellen Risikoprofils und dem Profil entsprechender Strukturen und Maßnahmen machen die VAIT jedoch nicht.”
Vielmehr müssen die Unternehmen im Rahmen eines Risiko-Assessments ihr persönliches Risikoprofil bestimmen und anschließend den Risiken entsprechende Maßnahmen definieren. Die Herleitung des Risikoprofils und die Definition entsprechender Umsetzungsmaßnahmen sollten unbedingt dokumentiert und regelmäßig überprüft werden.
Umsetzung bis Mitte 2018
Es ist zu erwarten, dass die BaFin im ersten Quartal 2018 die Konsultationsphase zu den VAIT aufnehmen und im Rahmen dessen auch eine überarbeitete Entwurfsversion veröffentlichen wird.
Darauf aufbauend soll die finale Version Mitte 2018 folgen. Vor dem Hintergrund der bereits final verabschiedeten bankaufsichtlichen Anforderungen an die IT (BAIT) ist davon auszugehen, dass die BaFin versuchen wird, ein möglichst ähnliches Anforderungsniveau für Banken und Versicherer herzustellen.”
Auf viele Erleichterungen und Privilegien gegenüber Banken können Versicherer deshalb nicht hoffen. Versicherungsunternehmen sollten also eine Auseinandersetzung mit den VAIT nicht länger aufschieben, sondern sich kurzfristig mit der vorliegenden Entwurfsfassung beschäftigen. Nur durch eine frühzeitige Vorbereitung können sich die Unternehmen sicher sein, den Anforderungen mit der Veröffentlichung der finalen Version zu entsprechen. Denn da es sich bei den VAIT um eine Konkretisierung bestehender Anforderungen handelt, sind keine Übergangsfristen mit der geplanten Verabschiedung Mitte 2018 zu erwarten.aj
Externer Beitrag: “Hufeld: ‘Wir müssen bei der IT-Sicherheit jetzt den Regler hochfahren'” (GDV)
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/64885
Schreiben Sie einen Kommentar