Klare Anforderungen in der VAIT

Aufgrund der immer stärker wachsenden Digitalisierung im Finanzdienstleistungssektor, betrachtet die jeweilige Aufsichte nicht nur deren entwicklung sondern begleitet die dynamische Entwicklung in den Finanzinstituten konstruktiv mit. Im Versicherungssektor hat die BaFin erst kürzlich (am 03. März 2022) die neuste „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) veröffentlicht.

Ein wesentliches und neues Thema in der VAIT ist die operative Informationssicherheit und das IT-Notfallmanagement.

Herr Andreas Pfeßdorf (Referent in der IT-Aufsicht der BaFin) stellte in der Veranstaltung „IT-Aufsicht bei Versicherungen und Pensionsfonds“ am 21. Juni 2022 stellte die wesentlichen Änderungen durch die VAIT-Novelle vor. Dabei wurde klargestellt, dass die BaFin die Leitlinie der Europäischen Aufsichtsbehörde für das Versicherungswesen und der betriebliche Altersversorgung (EIOPA) zu Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologien (IKT) mit aufgenommen hat. Des Weiteren flossen weitere Ergänzungen und Aktualisierungen in die novellierte Fassung, die sich aus der alltäglichen Prüfungspraxis ergeben haben.

Das Grundprinzip der VAIT hat sich jedoch nicht mit der jüngsten Novelle geändert. Institute können die VAIT weiterhin unter dem Prinzip der Proportionalität anwenden. Bedeutet: Institute können die Anforderungen so erfüllen, dass die der Art, dem Umfang und der Komplexität der mit ihrer Tätigkeit einhergehenden Risiken gerecht wird. Vor allem für kleinere Institute sei das sehr wichtig.

Gegenüber der vorherigen Fassung deckt die neue überarbeitete Version der VAIT zwei weitere Themenbereiche ab. Zum einen die operative Informationssicherheit und zum anderen das IT-Notfallmanagement. Weiterhin werden zudem die Anforderungen an das Informationsrisiko- und Informationssicherheitsmanagement sowie an das Berechtigungsmanagement konkretisiert. Gleiches gilt auch für IT-Ausgliederungen.

Bezüglich des Informationsrisikomanagement spielen vor allem Schnittstellen und Abhängigkeiten von Dritten eine wichtige und wesentliche Rolle. Somit  fordert die aktuelle VAIT eine stärkere Einbeziehung der Eigentümer (Owner) von Informationen und Prozessen (Tz. 3.5). In diesem Zusammenhangwurden die Anforderung, dass der von den Eigentümern der Informationen und Prozesse ermittelte Schutzbedarf durch das Informationsrisikomanagement überprüft werden muss (Tz. 3.6) konkretisiert. Weiteres müssen die beaufsichtigten Institute zum einen die Bedrohungslage und zum anderen die Schwachstellen ihres Informationsverbunds beobachten und gegebenenfalls geeignete technische und organisatorische Maßnahmen ergreifen (Tz. 3.9), um diese zu beheben.

Was die Aufsicht in Österreich betrifft, so gibt es auch hier bereits erste Anforderungen. In dieser Form sind dies zwar noch nicht so wie in Deutschland verschriftlicht, jedoch liegen diese Themen bereits auf dem Tisch und werden zeitnah auch in Österreich schriftlich als Anforderungen der FMA fixiert.

Sollten Sie bzgl. der neuen VAIT Novelle bei der Umsetzung entsprechende Unterstützung benötigen, sprechen Sie mich an. Wir werden sicherlich einen Weg frinden, damit auch Ihr Institut die aufsichtlichen Anforderungen völlig entspannt erfüllen.