Versicherungsaufsichtliche Anforderungen an die IT (VAIT)

VAIT – Versicherungsaufsichtliche Anforderungen an die IT

Mit der VAIT – versicherungsaufsichtliche Anforderungen an die IT – hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Rahmenbedingungen für die IT-Organisation für Versicherungsunternehmen nach §23 ff VAG neu ausgelegt.

Aus Sicht der Aufsicht stellen die VAIT eine Konkretisierung der bestehenden Vorschriften aus dem Versicherungsaufsichtsgesetz (VAG) und der Mindestanforderungen an die Geschäftsorganisation (MaGo) von Versicherungsunternehmen an die IT-Geschäftsorganisation dar.

Wirksame IT-Geschäftsorganisation

In diesem Kontext werden die „Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen“ (MaGo) durch die VAIT in den Themenfeldern durch folgende Module konkretisiert:

  • IT Strategie
  • IT-Governance
  • Informationsrisikomanagement
  • Informationssicherheitsmanagement Benutzerberechtigungskonzept
  • Anwendungsentwicklung
  • IT-Betrieb
  • Ausgliederung

Unsere Lösung

Um den komplexen Anforderungen gerecht zu werden, bieten wir Ihnen eine Überprüfung der IT-Geschäftsorganisation mit Handlungsempfehlungen an. Kennen Sie bereits Ihren Reifegrad der IT-Geschäftsorganisation?

Die Rahmenbedingungen im Detail

Folgende Rahmenbedingungen wurden dem BaFin Rundschreiben 10/2018 in der Fassung vom 20.03.2018 in Ausschnitten teilweise wortgleich entnommen.

IT Strategie

Die Geschäftsleitung hat eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen, in der die Ziele sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden.
Die IT-Strategie ist durch die Geschäftsleitung regelmäßig und anlassbezogen zu überprüfen und erforderlichenfalls anzupassen. Die Geschäftsleitung muss für die Umsetzung der IT-Strategie Sorge tragen.

IT-Governance

Das Versicherungsunternehmen hat eine IT-Governance im Sinne der VAIT einzurichten. Unter IT-Governance ist die Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme zu verstehen. Hierzu gehören auch die dazugehörigen IT-Prozesse auf Basis der IT-Strategie. Insbesondere sind folgende Vorgaben maßgeblich, die an die Veränderungen der Aktivitäten und Prozesse anzupassen sind:

  • IT-Aufbau und IT-Ablauforganisation
  • Informationsrisikomanagement
  • Informationssicherheitsmanagement
  • quantitative und qualitative angemessene Personalausstattung
  • Umfang und Qualität der technisch-organisatorischen Ausstattung

Informationsrisikomanagement

Nach den VAIT hat ein Versicherungsunternehmen der ordnungsgemäßen IT-Geschäftsorganisation ein Risikomanagement vorzuhalten. In diesem Kontext sind folgende Themenbereiche zu definieren und aufeinander abzustimmen:

  • Management der Informationsrisiken
  • Kompetenzen
  • Verantwortlichkeiten
  • Kontrollen und Kommunikationswege

Im Sinne eines wirksamen IT-Risikomanagement hat die Versicherung folgende Vorgaben vorzuhalten:

  • Identifikationsprozesse
  • Bewertungsprozesse
  • Überwachungs- und Steuerungsprozess
  • Berichtspflichten

Informationssicherheitsmanagement

Im Rahmen des Informationssicherheitsmanagements hat die Versicherung Vorgaben zur Informationssicherheit festzulegen und entsprechende Prozesse für die Steuerung und Umsetzung zu definieren.

Berechtigungsmanagement

Der Bestandteil einer wirksamen IT-Geschäftsorganisation ist ein Management von Berechtigungen. Ziel ist dabei die Sicherstellung von Berechtigungen. Diese sollten so ausgestaltet sein, wie es auf- und ablaufbezogenen Prozessen entspricht.

IT-Projekte und Anwendungsentwicklung

Kommt es in den IT-Systemen von IT Projekten zu wesentlichen Veränderungen, sind deren Auswirkungen auf die IT-Aufbau- und IT-Ablauforganisation sowie die dazugehörigen IT-Prozesse vorab im Rahmen einer Auswirkungsanalyse zu bewerten. Dabei hat das Unternehmen insbesondere die Auswirkungen der geplanten Veränderungen auf die Kontrollverfahren und die Kontrollintensität zu analysieren. In diese Analysen sind die später in die Arbeitsabläufe eingebundenen Organisationseinheiten zu beteiligen.

Im Rahmen ihrer Aufgaben sind auch die unabhängige Risikocontrolling-, die Compliance- und die versicherungsmathematische Funktion zu beteiligen, sofern das Unternehmen die jeweiligen Funktionen von Gesetzes wegen einzurichten hat. Die Funktion der Internen Revision kann beratend beteiligt werden.

IT-Betrieb

Der IT-Betrieb hat die Erfüllung der Anforderungen, die sich aus der Umsetzung der Geschäftsstrategie sowie aus den IT-unterstützten Geschäftsprozessen ergeben, umzusetzen.

Ausgliederung und sonstiger Fremdbezug von IT-Dienstleistungen

Gliedert ein Versicherungsunternehmen IT-Dienstleistungen aus – unabhängig davon, ob es sich hierbei um die Hauptdienstleistung oder um eine ergänzende Nebendienstleistung zu einer anderen Hauptdienstleistung handelt – sind die hierfür jeweils geltenden Anforderungen zu erfüllen.

Bei jeder Ausgliederung von IT-Dienstleistungen oder sonstigen Fremdbezug ist vorab eine Risikoanalyse durchzuführen. Hierzu versteht man aufsichtsrechtlich auch Ausgliederungen von IT-Dienstleistungen, die über ein Netz bereit gestellt und an den jeweiligen Bedarf des Versicherungsunternehmen angepasst werden. Beispielhaft sind Rechnungsleistungen, Speicherplatz, Plattformen oder Software oder Cloud-Dienstleistungen zu nennen.

Kritische Infrastrukturen

Dieses Modul richtet sich – im Kontext mit den anderen Modulen der VAIT und den sonstigen einschlägigen versicherungsaufsichtlichen Anforderungen in Bezug auf die Sicherstellung angemessener Vorkehrungen zur Gewährleistung von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Informationsverarbeitung – eigens an die Betreiber kritischer Infrastrukturen (KRITIS-Betreiber1).