VAIT – die MaGo-Konkret­isierung: auf die IT der Versicherer kommen strengere An­for­der­ungen zu

Im November 2017 hat die BaFin einen ersten Entwurf der versicherungsaufsichtlichen An­for­de­run­gen an die IT (VAIT) vor­ge­legt. Das Schrei­ben legt die IT-be­zo­ge­nen An­for­de­run­gen des Ver­si­che­rungs­auf­sichts­ge­set­zes (VAG) und der Min­dest­an­for­de­run­gen an die Ge­schäfts­or­ga­ni­sa­ti­on von Ver­si­che­rungs­un­ter­neh­men (Ma­Go) ver­bind­lich aus und er­mög­licht auf die­sem We­ge ei­ne kon­sis­ten­te An­wen­dung im Ver­si­che­rungs­sek­tor. Da es sich bei den VAIT um ei­ne Kon­kre­ti­sie­rung be­ste­hen­der An­for­de­run­gen han­delt, sind kei­ne Über­gangs­fris­ten mit der ge­plan­ten Ver­ab­schie­dung Mit­te 2018 zu er­war­ten. Die An­for­de­run­gen der VAIT sind da­her von den Un­ter­neh­men kurz­fris­tig zu prü­fen und bis spä­tes­tens Mit­te 2018 zu er­fül­len.

von Dr. Jan Hendrik Sohl & Michael Kötting, ZEB

Die IT hat für Versicherungsunternehmen eine hohe strategische Bedeutung. Aus diesem Grund arbeitet die BaFin nach der Veröffentlichung der bankaufsichtlichen Anforderungen an die IT (BAIT) nun an einem vergleichbaren Rundschreiben für die Versicherungswirtschaft.

Einen ersten Entwurf der versicherungsaufsichtlichen Anforderungen an die IT (VAIT) hat die BaFin bereits im November 2017 vorgelegt. Dabei kon­kre­ti­sie­ren die VAIT das Ver­si­che­rungs­auf­sichts­ge­setz (VAG) und die Min­dest­an­for­de­run­gen an die Ge­schäfts­or­ga­ni­sa­ti­on von Ver­si­che­rungs­un­ter­neh­men (Ma­Go), in­dem sie ge­naue Vor­ga­ben im Hin­blick auf die IT von Ver­si­che­rern auf­füh­ren (sie­he Ab­bil­dun­g 1).

Die die IT-Or­ga­ni­sa­ti­on be­tref­fen­den Vor­ga­ben aus dem VAG und den Ma­Go wer­den auf die­sem We­ge ver­bind­lich aus­ge­legt, wo­durch ei­ne kon­sis­ten­te An­wen­dung im Ver­si­che­rungs­sek­tor ge­währ­leis­tet wer­den soll.”

Bei der Formulierung der einzelnen Anforderungen bedient sich die BaFin vielfach gängiger Standards. So finden sich in den Anforderungen der VAIT beispielsweise Aspekte aus den IT-Grundschutzkatalogen des BSI, dem internationalen Sicherheitsstandard ISO/IEC 2700X und dem Governance-Framework COBIT wieder. Durch die Nutzung dieser Standards möchte die BaFin den Unternehmen einen praxisnahen und flexiblen Rahmen an die Hand geben. Dabei heben die VAIT jedoch auch hervor, dass sich Unternehmen nicht auf einmal eingeführte Standards verlassen sollten, sondern bei der Ausgestaltung ihrer IT-Systeme und der dazugehörigen IT-Prozesse stets auf den Einsatz aktueller Standards zu achten haben.

VAIT: Anforderungen in acht Themenfeldern

Die über 60 Einzelanforderungen der VAIT sind in acht Themenfelder gegliedert (siehe Abbildung 2). Während einzelne Anforderungen bereits heute zum Standard in vielen Versicherungsunternehmen zählen, sind andere Anforderungen in der Praxis oftmals nicht erfüllt. Versicherer werden daher die einzelnen Anforderungen der VAIT sorgfältig prüfen und mit bereits getroffenen Vorkehrungen im Unternehmen abgleichen müssen. Im Ergebnis müssen die Unternehmen Transparenz darüber erlangen, in welchen Bereichen sie bereits konform zu den Anforderungen der VAIT agieren und in welchen Feldern noch Anpassungsbedarfe bestehen.

Berücksichtigung des Proportionalitätsprinzips

Bei der Umsetzung der VAIT können die Unternehmen auf das Proportionalitätsprinzip zurückgreifen.”

Dieses räumt den Versicherern die Möglichkeit ein, sich bei der Umsetzung der VAIT entlang der Komplexität des Unternehmens und der IT zu orientieren. Die geringe Größe eines Unternehmens kann beispielsweise ein Indiz dafür sein, dass aufgrund eines individuellen Risikoprofils des Versicherers die Konformität zu den VAIT mit einfacheren Strukturen und Prozessen erreicht werden kann.

Konkrete Hinweise zur Ableitung eines individuellen Risikoprofils und dem Profil entsprechender Strukturen und Maßnahmen machen die VAIT jedoch nicht.”

Vielmehr müssen die Unternehmen im Rahmen eines Risiko-Assessments ihr persönliches Risikoprofil bestimmen und anschließend den Risiken entsprechende Maßnahmen definieren. Die Herleitung des Risikoprofils und die Definition entsprechender Umsetzungsmaßnahmen sollten unbedingt dokumentiert und regelmäßig überprüft werden.

Umsetzung bis Mitte 2018

Es ist zu erwarten, dass die BaFin im ersten Quartal 2018 die Konsultationsphase zu den VAIT aufnehmen und im Rahmen dessen auch eine überarbeitete Entwurfsversion veröffentlichen wird.

Darauf aufbauend soll die finale Version Mitte 2018 folgen. Vor dem Hintergrund der bereits final verabschiedeten bankaufsichtlichen Anforderungen an die IT (BAIT) ist davon auszugehen, dass die BaFin versuchen wird, ein möglichst ähnliches Anforderungsniveau für Banken und Versicherer herzustellen.”

Auf viele Erleichterungen und Privilegien gegenüber Banken können Versicherer deshalb nicht hoffen. Versicherungsunternehmen sollten also eine Auseinandersetzung mit den VAIT nicht länger aufschieben, sondern sich kurzfristig mit der vorliegenden Entwurfsfassung beschäftigen. Nur durch eine frühzeitige Vorbereitung können sich die Unternehmen sicher sein, den Anforderungen mit der Veröffentlichung der finalen Version zu entsprechen. Denn da es sich bei den VAIT um eine Konkretisierung bestehender Anforderungen handelt, sind keine Übergangsfristen mit der geplanten Verabschiedung Mitte 2018 zu erwarten.aj

Externer Beitrag: “Hufeld: ‘Wir müssen bei der IT-Sicherheit jetzt den Regler hochfahren'” (GDV)