VAIT: Das neue Modul „Kritische Infrastrukturen“ und die Positionierung der BaFin
Die finale Fassung der versicherungsaufsichtlichen Anforderungen an die IT (VAIT) wurde am 2. Juli 2018 in Form des Rundschreibens 10/2018 veröffentlicht. Seit nunmehr neun Monaten sind somit die Anforderungen des Rundschreibens durch Versicherungsunternehmen zu berücksichtigen. Zeit um den aktuellen Umsetzungsstand in der Versicherungswirtschaft sowie die Positionierung der BaFin zu reflektieren.
von Dr. Jan Hendrik Sohl und Michael Kötting, zeb
Nahezu alle Versicherer haben sich in den vergangenen Monaten mit der VAIT aktiv auseinandergesetzt. Dabei haben sich die Häuser vor allem auf Ist-Analysen zur Bewertung des Umsetzungsstands der VAIT-Anforderungen fokussiert.Während geringfügige Maßnahmen (z. B. Ergänzung von Richtlinien) in der Regel direkt umgesetzt wurden, wurden umfassendere und mit konzeptionellen Vorarbeiten verbundene Maßnahmen (z. B. Ausbau Dienstleistersteuerung um sonstigen IT-Fremdbezug) zumeist in die Portfolioplanungen für 2019 aufgenommen.
Im Rahmen der Ist-Erhebung wurde vielfach deutlich, dass insbesondere sehr spezifische Auslegungen innerhalb der VAIT sowie gänzlich neue Themenfelder – wie u. a. die Anforderungen an sonstigen IT-Fremdbezug – flächendeckend noch keinen ausreichenden Reifegrad aufweisen.
So lassen sich in der Versicherungswirtschaft kaum Unternehmen finden, welche bereits heute sämtliche Anforderungen der VAIT zufriedenstellend erfüllen.”
Der Reifegrad über die verschiedenen Themenfelder der VAIT hinweg gestaltet sich dabei zwischen den Häusern relativ ähnlich. Die Unternehmen haben somit grundsätzlich mit ähnlichen Herausforderungen zu kämpfen.
Nachdem viele Versicherer die Jahresabschlussprüfung Ende 2018/Anfang 2019 genutzt haben, um den Erfüllungsstand der VAIT auch noch einmal durch ihren Prüfer beurteilen zu lassen, ist damit zu rechnen, dass eine Vielzahl der in die Portfolien aufgenommenen Maßnahmen im Laufe des Jahres umgesetzt werden. Es ist daher davon auszugehen, dass spätestens Ende 2019 in der Versicherungswirtschaft ein deutlich ausgeprägterer Reifegrad verglichen mit 2018 Standard sein wird.
BaFin befasst sich weiterhin intensiv mit der Thematik – Anfang 2019 erste Erweiterung der VAIT
Neben den Versicherern befasst sich auch die BaFin weiterhin aktiv mit dem Rundschreiben sowie möglichen Prüfungshandlungen. So hat die BaFin in einem ihrer letzten Journals (vgl. BaFin-Journal 02/2019) noch einmal explizit betont, dass sie zukünftig auch verstärkt IT-Prüfungen in Versicherungsunternehmen durchführen möchte. Während IT-Prüfungen durch die BaFin im Bankensektor bereits heute gängige Praxis ist, sind BaFin-IT-Prüfungen in der Versicherungswirtschaft bisher nicht sonderlich stark ausgeprägt. Zur Sicherstellung einer angemessenen Personalausstattung hat die BaFin hierfür 2018 eigens eine entsprechende Gruppe eingerichtet.
Neben der Vor-Ort-Prüfung bedient sich die BaFin zunehmend auch Prüfungsinstrumenten mit deutlich größerer Reichweite. Hierzu kann beispielsweise der BaFin-Fragebogen zu Cyber-Risiken und Auslagerungen von Ende 2017 angeführt werden, welcher an alle relevanten Versicherer versendet wurde (vgl. BaFin-Journal 08/2018).”
Es ist damit zu rechnen, dass solche Formate zukünftig auch für flächendeckende Abfragen zum Umsetzungsstand der VAIT eingesetzt werden. Auf diesem Wege könnten auch Versicherer, welche sich erst einmal nicht im Scope der Aufsicht sehen, in den Blickpunkt der BaFin geraten.
Michael Kötting ist Senior Consultant bei zeb und befasst sich mit IT-Strategien und IT-Transformationen von Versicherungsunternehmen. Im Rahmen seiner Forschungstätigkeit am Lehrstuhl für Unternehmensgründungen und Unternehmertum an der Universität Hohenheim untersucht er Innovationsprogramme etablierter Unternehmen.
Zusätzlich zur Ausweitung der Prüfung befasst sich die Aufsicht auch mit der inhaltlichen Erweiterung der VAIT. Analog der BAIT wurde hierzu am 20. März 2019 die VAIT um das Modul „Kritische Infrastrukturen“ erweitert (vgl. Rundschreiben 10/2018 (VA) vom 20.03.2019). Ist dieses Modul auch für viele Unternehmen nicht von Relevanz, da sie gemäß der Schwellwerte des IT-Sicherheitsgesetzes nicht als kritische Infrastruktur klassifiziert werden (vgl. § 7 BSI-Kritisverordnung), zeigt dies dennoch, dass sich die BaFin auch nach der ersten Veröffentlichung des Rundschreibens intensiv mit der Versicherungs-IT auseinandersetzt.
Das neue Modul „Kritische Infrastrukturen“
… nimmt in seinen Anforderungen insbesondere auf die Module „Informationsrisikomanagement“ und „Informationssicherheitsmanagement“ Bezug und verlangt in ihrem Rahmen eine angemessene Berücksichtigung der Anforderungen gemäß IT-Sicherheitsgesetz und der entsprechenden BSI-Kritisverordnung. Dies bedeutet in der Praxis, dass betroffene Infrastrukturen (beispielsweise Bestandssysteme) mit entsprechend weitreichenderen Schutzmechanismen zu versehen sind.
Da sich Betreiber kritischer Infrastrukturen schon alleine aufgrund des IT-Sicherheitsgesetzes mit der entsprechenden Absicherung ihrer Systeme auseinandersetzen mussten, dürfte die VAIT daher in dieser Stelle wenig Neues bieten.
Spannender als die inhaltliche Erweiterung der VAIT ist daher die damit verbundene Kooperation zwischen BaFin und BSI. Diese zeigt, dass die Aufsicht durchaus offen für externe Impulse ist und diese auch bereitwillig aufgreift.”
Es ist daher nicht auszuschließen, dass die Aufsicht auch im Rahmen kommender Erweiterungen externe Standards aufgreifen wird oder sogar im Rahmen von Prüfungen Kooperationen entstehen werden.
Klar: Versicherer müssen Konformität zur VAIT herstellen, um Anforderungen der Aufsicht zu genügen
Nachdem seitens der BaFin über eigene Publikationen (u. a. BaFin-Journal) sowie Interviews der Direktoren der Stellenwert von IT-Prüfungen in der Versicherungswirtschaft deutlich gemacht wurde, sollten nun auch die Versicherer die geplanten bzw. bereits gestarteten Maßnahmen konsequent umsetzen, um die Konformität zur VAIT herzustellen. Zwar haben die meisten Häuser in den vergangenen Monaten bereits entsprechend Transparenz über den eigenen Umsetzungsstand hergestellt, nun müssen aber konkrete Maßnahmen forciert werden. Während sich vermutlich viele Themen ad hoc lösen lassen, sollte jedoch auch der konzeptionelle Aufwand für umfassendere Themenstellungen (u. a. Berechtigungsmanagement und Protokollierung von Nutzern) nicht vernachlässigt und ausreichend Zeit für die Umsetzung der jeweiligen Maßnahmen eingeplant werden.Dr. Jan Hendrik Sohl und Michael Kötting, zeb/aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/88314
Schreiben Sie einen Kommentar