Themenfelder der VAIT: Weil viele Anforderungen heute Standard sind, will die Bafin keine Übergangsfristen zulassen.
Themenfelder der VAIT: Weil viele Anforderungen heute Standard sind, will die Bafin keine Übergangsfristen zulassen.Quelle: zeb
Erschienen in Ausgabe 3-2018Märkte & Vertrieb

Server im dunklen Regulierungswald

Nach dem Bankensenktor setzt die Bafin nun auch für die IT der Versicherer strengere Auflagen auf

Von Dr. Jan Hendrik Sohl und Michael KöttingVersicherungswirtschaft

Lesen Sie den vollständigen Artikel

Erhalten Sie Zugang zu allen Artikeln unserer Fachzeitschriften und Publikationen.

Die IT nimmt in der Versicherungswirtschaft seit jeher einen hohen Stellenwert ein. Mit dem im November 2017 veröffentlichten Entwurf zu den versicherungsaufsichtlichen Anforderungen an die IT (VAIT) unterstreicht nun auch die Bafin die hohe Bedeutung der IT. So sollen die VAIT eine Ergänzung zu bestehenden Regelungen darstellen, indem sie das Versicherungsaufsichtsgesetz (VAG) und die Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) um konkrete Umsetzungshinweise im Hinblick auf die Versicherungs-IT erweitern. Auf diesem Wege werden durch die VAIT die Anforderungen an die IT-Organisation eines Versicherers verbindlich ausgelegt, und eine konsistente Anwendung innerhalb der Versicherungswirtschaft wird gewährleistet. Bei der Formulierung der VAIT bedient sich die Bafin eines flexiblen und praxisnahen Rahmens. So basieren viele der Anforderungen auf gängigen Standards, wie beispielsweise den IT-Grundschutzkatalogen des BSI oder dem internationalen Sicherheitsstandard ISO/IEC 2700X. Welche Bedeutung die Bafin gängigen Standards zukommen lässt, wird auch daran deutlich, dass die Anforderungen der VAIT nicht grundsätzlich abschließender Natur sind, sondern dass Unternehmen im Rahmen der Ausgestaltung ihrer IT-Systeme und der dazugehörigen IT-Prozesse stets auf den Einsatz aktueller Standards zu achten haben.

Anpassungsbedarf nur vereinzelt notwendig

Die VAIT gliedern sich in acht Themenfelder mit 68 Einzelanforderungen (siehe Abbildung). Sind einzelne Anforderungen bereits heute gängiger Standard in Versicherungsunternehmen, so werden andere Aspekte derzeit nur in den wenigsten Unternehmen gelebt. Die Versicherer sollten daher sorgfältig prüfen, in welchen Bereichen sie bereits konform zu den Anforderungen der VAIT agieren und in welchen Feldern noch Anpassungsbedarf besteht. Eine Übersicht der Inhalte der VAIT findet sich nachfolgend aufgeführt:
1) IT-Strategie: Versicherer müssen unter den VAIT nachweisen, dass sie über eine aktuelle und zur Geschäftsstrategie konsistente IT-Strategie verfügen. Dabei müssen klare Ziele und Maßnahmen zur Erreichung dieser Ziele in der IT-Strategie formuliert sein. Die regelmäßige Überprüfung dieser IT-Strategie muss durch die Geschäftsführung gewährleistet sein. Während das Vorhandensein einer IT-Strategie bei den meisten Versicherern bereits heute erfüllt ist, sollten die Unternehmen jedoch kritisch prüfen, ob diese die vorgeschriebenen Inhalte der VAIT abdeckt und aktuell stets gehalten…