ITSM Regulatory Update | Juli 2022

Fokus: Ausgliederungsprüfung bei Versicherungen

Highlight aus dem Juli 2022

Versicherungsaufsicht beim Outsourcing auf dem Prüfstand

EIOPA erkennt Optimierungspotential bei der Beaufsichtigung von Ausgliederungen als Ergebnis einer Peer Review mit diversen nationalen Aufsichtsbehörden aus der EU.

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

Versicherungsaufsicht im Kontext Ausgliederung mit Anpassungspotential

Die EIOPA hat sich im Rahmen einer Peer Review mit den Aufsichtspraktiken der Mitgliedstaaten zu Ausgliederungen auseinander gesetzt und dabei unterschiedliche Reifegrade der Regulierung erkannt. Dies führt sie darauf zurück, dass Outsourcing innerhalb der EU unterschiedlich intensiv genutzt wird. Generell beobachtete die EIOPA, dass Geldbußen und Anpassungen in den Verträgen von den zuständigen Behörden selten als aufsichtliches Mittel genutzt werden. Auch ein Exit aus der Ausgliederungsvereinbarung werde demnach selten verlangt. Als effektivstes Mittel sieht sie Vor-Ort-Prüfungen. Diese seien zwar zeit- und kostenintensiv, aber zielführend zur Prüfung der allgemeinen Governance-Struktur im Zusammenhang mit dem Outsourcing und um festzustellen, ob das Unternehmen in der Lage ist, die Anforderungen der Solvabilität II in Bezug auf die ausgegliederten Tätigkeiten zu erfüllen.

In diesem Zusammenhang führen einige Aufsichtsbehörden spezifische Vor-Ort-Prüfungen sowohl beim Institut als auch beim Dienstleister durch, unter ihnen auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Die meisten prüfen das Outsourcing allerdings nicht speziell, sondern nur im Kontext der allgemeinen Prüfung.

Mann sitzt mit verschränkten Armen an einem Schreibtisch. Vor ihm liegt ein papierhafter Bericht und ein Stift, neben ihm steht eine Kaffeetasse. Er wirkt nachdenklich.

Neben den allgemeinen Punkten greift die EIOPA aber auch spezielle Anpassungs- und Optimierungspotentiale der einzelnen Aufsichtsbehörden auf. Zur Aufsichtspraxis der BaFin hatte die EIOPA folgende Anmerkungen:

1. Anzeigepflicht von Ausgliederungen: Die Struktur der Vorgaben für die Anzeigepflicht sollte genauer definiert und kommuniziert werden. Durch Versicherungsunternehmen erfolgte Anzeigen sollten auf Compliance geprüft und bei Bedenken bzw. Änderungsbedarfen ein pro-aktiver Ansatz durch die Aufsicht gewählt werden, um diesen zu begegnen.

2. Ausgliederungsregister: Ähnlich wie Banken sollten auch Versicherungsunternehmen ein Ausgliederungsregister umsetzen. Damit wird es der Aufsicht erleichtert, Konzentrationsrisiken frühzeitig zu erkennen und Gegenmaßnahmen zu ergreifen.

3. Prüfungspaxis: Neben On-Site-Prüfungen sollten auch Off-Site-Prüfungen als Aufsichtsinstrument entwickelt und genutzt werden.

Wie die BaFin die Anregungen der EIOPA umsetzen wird bleibt abzuwarten.

Den Report der EIOPA finden Sie hier auf deren Webseite.

Quelle: European Insurance and Occupational Pensions Authority – EIOPA, eiopa.europa.eu

    Dokumentationsanforderungen für Informationssicherheit bei KRITIS

    KRITIS müssen dokumentieren, dass sie „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse“ getroffen haben, § 8a Abs. 3 i.V.m. Abs. 1 BSIG. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zu dieser Dokumentationspflicht eine Hilfestellung veröffentlicht, die KRITIS als Unterstützung dienen soll.

    In dem Dokument geht das BSI auf die Bedeutung der Pflicht ein und beleuchtet, warum KRITIS diese ernst nehmen sollten. Es beleuchtet die Elemente der gesetzlichen Dokumentationspflicht näher und gibt dem Anwender so wertvolle Tipps an die Hand. Im Anhang der Hilfestellung finden sich außerdem zwei Beispiele, die bei den einzelnen Elementen zitiert werden und so das Zielbild verdeutlichen. Daneben sind im Anhang auch die einzelnen Anforderungen aufgelistet. 

    Die Hilfestellung des BSI finden Sie hier auf dessen Webseite.

    Quelle: Bundesamt für Sicherheit in der Informationstechnik – BSI, www.bsi.bund.de

    Wie man Cyberbedrohungen mappen kann

    Die European Union Agency for Cybersecurity (ENISA) befasst sich mit der Erstellung einer Cybersecurity Threat Landscape und hat im Zuge dessen eine Vorgehensweise entwickelt und veröffentlicht. Die Methodologie umfasst sechs Schritte und soll den transparenten Austausch von Bedrohungsdaten in der EU fördern.

    Zur erarbeiteten Vorgehensweise: Zunächst wird betrachtet, wer Zielgruppe der Landscape ist und was mit ihr erreicht werden soll (Schritt 1). Im nächsten Schritt wird erarbeitet, wie Daten gesammelt (Schritt 2) und aufbereitet werden sollen (Schritt 3). Anschließend geht es um die Frage der Datenanalysierung und in welchen Kontext sie gesetzt werden sollen (Schritt 4). Schließlich wird die Verteilung der Daten an die eingangs definierten Zielgruppen betrachtet (Schritt 5). Über diese fünf Schritte hinweg wird Feedback gesammelt und analysiert (Schritt 6), sodass es laufend zur Prozessoptimierung beitragen kann.

    Die Methodologie lässt sich also wie folgt zusammenfassen:

    1. Direction
    2. Collection
    3. Processing
    4. Analysis and production
    5. Dissemination
    6. Feedback

    Die Methodologie der ENISA finden Sie hier auf deren Webseite.

    Quelle: European Union Agency for Cybersecurity – enisa.europa.eu

    Auch wenn noch unklar ist, welche Schritte die BaFin aus den Anmerkungen der EIOPA ableiten wird, ist doch klar, dass bei Vorort-Prüfungen weiter Ausgliederungen im Fokus stehen werden. Sind Sie auf einen Besuch der BaFin vorbereitet?

    Wir bei ADWEKO stehen Ihnen vorbereitend und auch prüfungsbegleitend gerne zur Seite.

    sprechen sie mit

    Pia Streicher!