IT-Security Regulatory Update | Juli 2022

Fokus: Ausgliederungsprüfung bei Versicherungen

← WIFSta / FinStabDEV - Die erste Meldung der Wohnimmobilienkredite rückt näher! Data Management: Bereichsleitung in Tandem | 01.09.22 →

Highlight aus dem Juli 2022

Versicherungsaufsicht beim Outsourcing auf dem Prüfstand

EIOPA erkennt Optimierungspotential bei der Beaufsichtigung von Ausgliederungen als Ergebnis einer Peer Review mit diversen nationalen Aufsichtsbehörden aus der EU.

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

Versicherungsaufsicht im Kontext Ausgliederung mit Anpassungspotential

Die EIOPA hat sich im Rahmen einer Peer Review mit den Aufsichtspraktiken der Mitgliedstaaten zu Ausgliederungen auseinander gesetzt und dabei unterschiedliche Reifegrade der Regulierung erkannt. Dies führt sie darauf zurück, dass Outsourcing innerhalb der EU unterschiedlich intensiv genutzt wird. Generell beobachtete die EIOPA, dass Geldbußen und Anpassungen in den Verträgen von den zuständigen Behörden selten als aufsichtliches Mittel genutzt werden. Auch ein Exit aus der Ausgliederungsvereinbarung werde demnach selten verlangt. Als effektivstes Mittel sieht sie Vor-Ort-Prüfungen. Diese seien zwar zeit- und kostenintensiv, aber zielführend zur Prüfung der allgemeinen Governance-Struktur im Zusammenhang mit dem Outsourcing und um festzustellen, ob das Unternehmen in der Lage ist, die Anforderungen der Solvabilität II in Bezug auf die ausgegliederten Tätigkeiten zu erfüllen.

In diesem Zusammenhang führen einige Aufsichtsbehörden spezifische Vor-Ort-Prüfungen sowohl beim Institut als auch beim Dienstleister durch, unter ihnen auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Die meisten prüfen das Outsourcing allerdings nicht speziell, sondern nur im Kontext der allgemeinen Prüfung.

Mann sitzt mit verschränkten Armen an einem Schreibtisch. Vor ihm liegt ein papierhafter Bericht und ein Stift, neben ihm steht eine Kaffeetasse. Er wirkt nachdenklich.

Neben den allgemeinen Punkten greift die EIOPA aber auch spezielle Anpassungs- und Optimierungspotentiale der einzelnen Aufsichtsbehörden auf. Zur Aufsichtspraxis der BaFin hatte die EIOPA folgende Anmerkungen:

1. Anzeigepflicht von Ausgliederungen: Die Struktur der Vorgaben für die Anzeigepflicht sollte genauer definiert und kommuniziert werden. Durch Versicherungsunternehmen erfolgte Anzeigen sollten auf Compliance geprüft und bei Bedenken bzw. Änderungsbedarfen ein pro-aktiver Ansatz durch die Aufsicht gewählt werden, um diesen zu begegnen.

2. Ausgliederungsregister: Ähnlich wie Banken sollten auch Versicherungsunternehmen ein Ausgliederungsregister umsetzen. Damit wird es der Aufsicht erleichtert, Konzentrationsrisiken frühzeitig zu erkennen und Gegenmaßnahmen zu ergreifen.

3. Prüfungspaxis: Neben On-Site-Prüfungen sollten auch Off-Site-Prüfungen als Aufsichtsinstrument entwickelt und genutzt werden.

Wie die BaFin die Anregungen der EIOPA umsetzen wird bleibt abzuwarten.

Den Report der EIOPA finden Sie hier auf deren Webseite.

Quelle: European Insurance and Occupational Pensions Authority – EIOPA, eiopa.europa.eu

Dokumentationsanforderungen für Informationssicherheit bei KRITIS

KRITIS müssen dokumentieren, dass sie „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse“ getroffen haben, § 8a Abs. 3 i.V.m. Abs. 1 BSIG. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zu dieser Dokumentationspflicht eine Hilfestellung veröffentlicht, die KRITIS als Unterstützung dienen soll.

In dem Dokument geht das BSI auf die Bedeutung der Pflicht ein und beleuchtet, warum KRITIS diese ernst nehmen sollten. Es beleuchtet die Elemente der gesetzlichen Dokumentationspflicht näher und gibt dem Anwender so wertvolle Tipps an die Hand. Im Anhang der Hilfestellung finden sich außerdem zwei Beispiele, die bei den einzelnen Elementen zitiert werden und so das Zielbild verdeutlichen. Daneben sind im Anhang auch die einzelnen Anforderungen aufgelistet.

Die Hilfestellung des BSI finden Sie hier auf dessen Webseite.

Quelle: Bundesamt für Sicherheit in der Informationstechnik – BSI, www.bsi.bund.de

Wie man Cyberbedrohungen mappen kann

Die European Union Agency for Cybersecurity (ENISA) befasst sich mit der Erstellung einer Cybersecurity Threat Landscape und hat im Zuge dessen eine Vorgehensweise entwickelt und veröffentlicht. Die Methodologie umfasst sechs Schritte und soll den transparenten Austausch von Bedrohungsdaten in der EU fördern.

Zur erarbeiteten Vorgehensweise: Zunächst wird betrachtet, wer Zielgruppe der Landscape ist und was mit ihr erreicht werden soll (Schritt 1). Im nächsten Schritt wird erarbeitet, wie Daten gesammelt (Schritt 2) und aufbereitet werden sollen (Schritt 3). Anschließend geht es um die Frage der Datenanalysierung und in welchen Kontext sie gesetzt werden sollen (Schritt 4). Schließlich wird die Verteilung der Daten an die eingangs definierten Zielgruppen betrachtet (Schritt 5). Über diese fünf Schritte hinweg wird Feedback gesammelt und analysiert (Schritt 6), sodass es laufend zur Prozessoptimierung beitragen kann.

Die Methodologie lässt sich also wie folgt zusammenfassen:

Direction
Collection
Processing
Analysis and production
Dissemination
Feedback

Die Methodologie der ENISA finden Sie hier auf deren Webseite.

Quelle: European Union Agency for Cybersecurity – enisa.europa.eu

Auch wenn noch unklar ist, welche Schritte die BaFin aus den Anmerkungen der EIOPA ableiten wird, ist doch klar, dass bei Vorort-Prüfungen weiter Ausgliederungen im Fokus stehen werden. Sind Sie auf einen Besuch der BaFin vorbereitet?

Wir bei ADWEKO stehen Ihnen vorbereitend und auch prüfungsbegleitend gerne zur Seite.

Die aktuellen regulatorischen Entwicklungen finden Sie hier im Überblick

EBA veröffentlicht Risk Dashboard zum Q1 2022

ESMA erörtert Risikoindikatoren für den Einzelhandel am Wertpapiermarkt auf dem EU-Binnenmarkt

Europäisches Parlament veröffentlicht Briefing zum Data Act

BaFin stellt Unterlagen zur Jahreskonferenz der Versicherungsaufsicht zur Verfügung

BSI gibt Ausblick zum IT-Grundschutz

BSI befasst sich mit Risikomanagementsystemen

BSI betrachtet IT-Grundschutz als Instrument zur Erhöhung der Informationssicherheit

BSI stellt praktische Ansätze zur Umsetzung von IT-Compliance vor

BSI präsentiert Best Practices zum Outsourcing

BSI gibt Praxis-Einblick zu Risikobewertung und Gefährdungsanalyse

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.