Cyberrisiken und IT-Sicherheit stehen mit zunehmenden neuen Technologien immer mehr im Fokus der Aufsicht. Folgerichtig hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ihre Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) am 3. März 2022 veröffentlicht und damit in Kraft gesetzt.

NOVELLIERUNG DER VAIT SETZT SCHWERPUNKT AUF IT-SICHREHEIT UND IT-SICHERHEITSRISIKEN

IT-Sicherheit ist nicht erst seit der Pandemie auf dem Radar der Aufsichtsbehörden und Gesetzgeber, unbestritten nimmt ihre Relevanz seit Anfang 2020 aber deutlich stärker zu als antizipiert. In den diversen Arbeitsprogrammen der Aufsichtsbehörden auf nationalem wie internationalem Level sind IT-Risiken einer der Hauptaugenmerke für die kommenden Jahre.

Folgerichtig werden die Anforderungen, die seitens der Aufsicht an IT-Systeme und IT-Betrieb adressiert werden, immer granularer und ausdifferenzierter. Gepaart mit den Erkenntnissen aus der Prüfungspraxis und der Veröffentlichung neuer Vorgaben auf europäischem Level war dies ein wesentlicher Treiber für die Novellierung des Rundschreibens zur VAIT. In der finalen Fassung wird nun deutlich, dass die BaFin die Informationssicherheit und den angemessenen Umgang mit aus ihr resultierenden Risiken weiter in den Fokus rückt.

Teilweise ergaben sich notwendige Veränderungen aus den EIOPA Leitlinien zu Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologie, die in die deutsche Regulierungslandschaft aufgenommen werden mussten. Die Tatsache, dass Institute in der Umsetzung der bestehenden Vorgaben bei Prüfungen gerade in diesem Kontext, aber auch im Bereich Berechtigungsmanagement und Ausgliederung, immer wieder negativ auffallen, ist hierbei aber sicherlich ebenfalls ein bestärkender Faktor zur VAIT-Novelle gewesen.

Neben steigendem regulatorischem Druck liegt es aber auch im eigenen Interesse der Institute, verstärkt auf eine angemessene IT-Sicherheit abzustellen. Cyberrisiken steigen mit dem Zuwachs an neuen Technologien und sollten entsprechend berücksichtigt werden, wie jüngste Störungen bei verschiedenen Bankhäusern sowie übergreifende Problematiken wie Log4Shell zeigen.

DIE ÄNDERUNGEN IM ÜBERBLICK

Alles neu macht die Novelle

Statt wie bisher neun Themengebiete, deckt die Novelle jetzt zusätzlich explizit die operative Informationssicherheit sowie das IT-Notfallmanagement ab und rückt damit näher an die große Schwester Bankaufsichtliche Anforderungen an die IT (BAIT) heran. Daneben wurden die bestehenden Kapitel der VAIT angepasst und überarbeitet.

Im Themenkomplex Operative Informationssicherheit (Kapitel 5) verlangt die BaFin von Versicherungen unter der neuen VAIT u.a. folgendes:

Implementierung von operativen Informationssicherheitsmaßnahmen und Prozessen, z.B. Schwachstellenmanagement, Segmentierung und Kontrolle, Datenverschlüsselung und mehrstufiger Schutz der IT-Systeme gemäß Schutzbedarf
Frühzeitige Identifikation von Gefährdungen des Informationsverbunds
Definition von Regeln zur Identifikation von sicherheitsrelevanten Ereignissen
Zeitnahe Analyse sicherheitsrelevanter Ereignisse und angemessene Reaktion auf Informationssicherheitsvorfälle
Regelmäßige Überprüfung der Sicherheit von IT-Systemen, bei kritischen Systemen mindestens jährlich
Angemessene Steuerung erkannter Risiken

Das Kapitel zum IT-Notfallmanagement (Kapitel 10) befasst sich vor allem mit folgenden Themen:

Erstellung eines IT-Notfallkonzepts
Identifikation zeitkritischer Prozesse und Aktivitäten sowie unterstützender IT-Prozesse über eine Business Impact Analyse (BIA)
Durchführung einer Risikoanalyse für in der BIA identifizierte Prozesse und technische Einrichtungen (sog. Risk Impact Analysis)
Erstellung und regelmäßige Aktualisierung von IT-Notfallplänen für zeitkritische Prozesse auf Basis des individuellen Risikoprofils und unter Berücksichtigung der Schutzziele
Regelmäßige, schriftlich dokumentierte Prüfung der IT-Notfallpläne durch Notfalltests auf Basis eines Testkonzepts
Enge Abstimmung der Notfallpläne mit dem Dienstleister bei Ausgliederungen
Nachweis der Verfügbarkeit eines ausreichend entfernten Rechenzentrums für zeitkritische Aktivitäten und Prozesse im Fall des Ausfalls eines Rechenzentrums

Neben redaktionellen Anpassungen detailliert die VAIT-Novelle die folgenden Kapitel weiter aus:

Vorgaben zur IT-Strategie (Kapitel 1), z.B. Prozess zur Überwachung und Messung der Umsetzung der Ziele der IT-Strategie
Vorgaben zur IT-Governance (Artikel 2), z.B. regelmäßige Prüfung der Vorgaben zur IT-Governance
Vorgaben zum Informationsrisikomanagement (Kapitel 3), z.B. Ergänzung der Erläuterung zu Risikokriterien, regelmäßige Identifikation des Schutzbedarfs für die Bestandteile des Informationsverbunds sowie laufende Information über Bedrohung und Schwachstellen
Vorgaben zum Informationssicherheitsmanagement (Kapitel 4), z.B. beispielhafte Aufzählung von Inhalten für die Informationssicherheitsleitlinie sowie Einführung einer Richtlinie zur regelmäßigen Überprüfung der Schutzmaßnahmen und Festlegung eines kontinuierlichen und angemessenen Sensibilisierungs- und Schulungsprogramms
Vorgaben zum Identitäts- und Rechtemanagement (Kapitel 6), z.B. Definition technoscher Benutzer sowie Erläuterung zur Zuordenbarkeit von Zugriffen und Zugängen zu einer handelnden / verantwortlichen Person
Vorgaben zu IT-Projekten und Anwendungsentwicklung (Kapitel 7), z.B. Aufzählung organisatorischer Grundlagen für IT-Projekte
Vorgaben zum IT-Betrieb (Kapitel 8), z.B. Erweiterung der erforderlichen Bestandsangaben um Eigentümer der IT-Systeme und des Schutzbedarfs sowie die Erhebung des Leistungs- und Kapazitätsbedarfs der IT-Systeme
Vorgaben zu Ausgliederungen und sonstigen Dienstleistungsbeziehungen im Bereich IT (Kapitel 9), z.B. Erhebung und Bewertung der Anforderungen an die Dienstleistung

VERÄNDERUNGEN ZWISCHEN KONSULTATIONSFASSUNG UND FINALER FASSUNG

Im Vergleich zum bisher bekannten Entwurf hat die BaFin noch einige Veränderungen an der VAIT vorgenommen. Diese umfassen u.a.

Integration der Ausgliederung in die Vorbemerkung und entsprechender Wegfall im Kapitel 1 zur IT-Strategie
Die angedachte Beteiligung von Projekten am Informationssicherheitsmanagement wurde auf eine Überwachung und Hinwirkung auf die Einhaltung der Vorgaben reduziert (Kapitel 4.5)
Reduktion der „Auswirkungsanalyse“ im Kontext wesentlicher Veränderungen in den IT-Systemen auf eine allgemeine „Analyse“ (Kapitel 7.1)
Reduktion der erforderlichen Erhebung und Bewertung der „funktionalen und nichtfunktionalen Anforderungen“ an die Dienstleistung auf die allgemeinen „Anforderungen“ (Kapitel 9.2)
Redaktionelle Anpassungen

Quellen

https://www.bafin.de/dok/11102952

https://www.bafin.de

Pia Streicher
Senior Consultant

Registrieren Sie sich für die ADWEKO News:

Schlagwörter:

Der ADWEKO PaPM regression tester

Kategorien:

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.