Cyberrisiken und IT-Sicherheit stehen mit zunehmenden neuen Technologien immer mehr im Fokus der Aufsicht. Folgerichtig hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ihre Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) am 3. März 2022 veröffentlicht und damit in Kraft gesetzt.
NOVELLIERUNG DER VAIT SETZT SCHWERPUNKT AUF IT-SICHREHEIT UND IT-SICHERHEITSRISIKEN
IT-Sicherheit ist nicht erst seit der Pandemie auf dem Radar der Aufsichtsbehörden und Gesetzgeber, unbestritten nimmt ihre Relevanz seit Anfang 2020 aber deutlich stärker zu als antizipiert. In den diversen Arbeitsprogrammen der Aufsichtsbehörden auf nationalem wie internationalem Level sind IT-Risiken einer der Hauptaugenmerke für die kommenden Jahre.
Folgerichtig werden die Anforderungen, die seitens der Aufsicht an IT-Systeme und IT-Betrieb adressiert werden, immer granularer und ausdifferenzierter. Gepaart mit den Erkenntnissen aus der Prüfungspraxis und der Veröffentlichung neuer Vorgaben auf europäischem Level war dies ein wesentlicher Treiber für die Novellierung des Rundschreibens zur VAIT. In der finalen Fassung wird nun deutlich, dass die BaFin die Informationssicherheit und den angemessenen Umgang mit aus ihr resultierenden Risiken weiter in den Fokus rückt.
Teilweise ergaben sich notwendige Veränderungen aus den EIOPA Leitlinien zu Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologie, die in die deutsche Regulierungslandschaft aufgenommen werden mussten. Die Tatsache, dass Institute in der Umsetzung der bestehenden Vorgaben bei Prüfungen gerade in diesem Kontext, aber auch im Bereich Berechtigungsmanagement und Ausgliederung, immer wieder negativ auffallen, ist hierbei aber sicherlich ebenfalls ein bestärkender Faktor zur VAIT-Novelle gewesen.
Neben steigendem regulatorischem Druck liegt es aber auch im eigenen Interesse der Institute, verstärkt auf eine angemessene IT-Sicherheit abzustellen. Cyberrisiken steigen mit dem Zuwachs an neuen Technologien und sollten entsprechend berücksichtigt werden, wie jüngste Störungen bei verschiedenen Bankhäusern sowie übergreifende Problematiken wie Log4Shell zeigen.
DIE ÄNDERUNGEN IM ÜBERBLICK
Alles neu macht die Novelle
Statt wie bisher neun Themengebiete, deckt die Novelle jetzt zusätzlich explizit die operative Informationssicherheit sowie das IT-Notfallmanagement ab und rückt damit näher an die große Schwester Bankaufsichtliche Anforderungen an die IT (BAIT) heran. Daneben wurden die bestehenden Kapitel der VAIT angepasst und überarbeitet.
Im Themenkomplex Operative Informationssicherheit (Kapitel 5) verlangt die BaFin von Versicherungen unter der neuen VAIT u.a. folgendes:
- Implementierung von operativen Informationssicherheitsmaßnahmen und Prozessen, z.B. Schwachstellenmanagement, Segmentierung und Kontrolle, Datenverschlüsselung und mehrstufiger Schutz der IT-Systeme gemäß Schutzbedarf
- Frühzeitige Identifikation von Gefährdungen des Informationsverbunds
- Definition von Regeln zur Identifikation von sicherheitsrelevanten Ereignissen
- Zeitnahe Analyse sicherheitsrelevanter Ereignisse und angemessene Reaktion auf Informationssicherheitsvorfälle
- Regelmäßige Überprüfung der Sicherheit von IT-Systemen, bei kritischen Systemen mindestens jährlich
- Angemessene Steuerung erkannter Risiken
Das Kapitel zum IT-Notfallmanagement (Kapitel 10) befasst sich vor allem mit folgenden Themen:
- Erstellung eines IT-Notfallkonzepts
- Identifikation zeitkritischer Prozesse und Aktivitäten sowie unterstützender IT-Prozesse über eine Business Impact Analyse (BIA)
- Durchführung einer Risikoanalyse für in der BIA identifizierte Prozesse und technische Einrichtungen (sog. Risk Impact Analysis)
- Erstellung und regelmäßige Aktualisierung von IT-Notfallplänen für zeitkritische Prozesse auf Basis des individuellen Risikoprofils und unter Berücksichtigung der Schutzziele
- Regelmäßige, schriftlich dokumentierte Prüfung der IT-Notfallpläne durch Notfalltests auf Basis eines Testkonzepts
- Enge Abstimmung der Notfallpläne mit dem Dienstleister bei Ausgliederungen
- Nachweis der Verfügbarkeit eines ausreichend entfernten Rechenzentrums für zeitkritische Aktivitäten und Prozesse im Fall des Ausfalls eines Rechenzentrums
Neben redaktionellen Anpassungen detailliert die VAIT-Novelle die folgenden Kapitel weiter aus:
- Vorgaben zur IT-Strategie (Kapitel 1), z.B. Prozess zur Überwachung und Messung der Umsetzung der Ziele der IT-Strategie
- Vorgaben zur IT-Governance (Artikel 2), z.B. regelmäßige Prüfung der Vorgaben zur IT-Governance
- Vorgaben zum Informationsrisikomanagement (Kapitel 3), z.B. Ergänzung der Erläuterung zu Risikokriterien, regelmäßige Identifikation des Schutzbedarfs für die Bestandteile des Informationsverbunds sowie laufende Information über Bedrohung und Schwachstellen
- Vorgaben zum Informationssicherheitsmanagement (Kapitel 4), z.B. beispielhafte Aufzählung von Inhalten für die Informationssicherheitsleitlinie sowie Einführung einer Richtlinie zur regelmäßigen Überprüfung der Schutzmaßnahmen und Festlegung eines kontinuierlichen und angemessenen Sensibilisierungs- und Schulungsprogramms
- Vorgaben zum Identitäts- und Rechtemanagement (Kapitel 6), z.B. Definition technoscher Benutzer sowie Erläuterung zur Zuordenbarkeit von Zugriffen und Zugängen zu einer handelnden / verantwortlichen Person
- Vorgaben zu IT-Projekten und Anwendungsentwicklung (Kapitel 7), z.B. Aufzählung organisatorischer Grundlagen für IT-Projekte
- Vorgaben zum IT-Betrieb (Kapitel 8), z.B. Erweiterung der erforderlichen Bestandsangaben um Eigentümer der IT-Systeme und des Schutzbedarfs sowie die Erhebung des Leistungs- und Kapazitätsbedarfs der IT-Systeme
- Vorgaben zu Ausgliederungen und sonstigen Dienstleistungsbeziehungen im Bereich IT (Kapitel 9), z.B. Erhebung und Bewertung der Anforderungen an die Dienstleistung
VERÄNDERUNGEN ZWISCHEN KONSULTATIONSFASSUNG UND FINALER FASSUNG
Im Vergleich zum bisher bekannten Entwurf hat die BaFin noch einige Veränderungen an der VAIT vorgenommen. Diese umfassen u.a.
- Integration der Ausgliederung in die Vorbemerkung und entsprechender Wegfall im Kapitel 1 zur IT-Strategie
- Die angedachte Beteiligung von Projekten am Informationssicherheitsmanagement wurde auf eine Überwachung und Hinwirkung auf die Einhaltung der Vorgaben reduziert (Kapitel 4.5)
- Reduktion der „Auswirkungsanalyse“ im Kontext wesentlicher Veränderungen in den IT-Systemen auf eine allgemeine „Analyse“ (Kapitel 7.1)
- Reduktion der erforderlichen Erhebung und Bewertung der „funktionalen und nichtfunktionalen Anforderungen“ an die Dienstleistung auf die allgemeinen „Anforderungen“ (Kapitel 9.2)
- Redaktionelle Anpassungen
Quellen
Pia Streicher
Senior Consultant
0 Kommentare