GDV warnt vor Überregulierung: Die VAIT bestehen aus acht Themenblöcken mit insgesamt 70 Einzelanforderungen.
GDV warnt vor Überregulierung: Die VAIT bestehen aus acht Themenblöcken mit insgesamt 70 Einzelanforderungen.Quelle: © Deloitte
Erschienen in Ausgabe 7-2018Schlaglicht

Nächste Liste abarbeiten

Zu den bestehenden Anforderungen an die IT-Sicherheit der Versicherer ist die VAIT-Liste hinzugekommen. Steht nun der zu erwartende Aufwand bei der Umsetzung in einem  angemessenen Verhältnis zum Aufsichtsziel der Bafin?

Von Alexander Thoma und Philipp WidemannVersicherungswirtschaft

Lesen Sie den vollständigen Artikel

Erhalten Sie Zugang zu allen Artikeln unserer Fachzeitschriften und Publikationen.

Mit dem am 13.03.2018 durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlichten Rundschreiben zu den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) erfolgt die Auslegung der Vorschriften über die Geschäftsorganisation im Gesetz über die Beaufsichtigung der Versicherungsunternehmen (§ 23 ff. VAG) durch die BaFin. Die VAIT stellen eine Konkretisierung bzw. Auslegung bereits bestehender Vorschriften aus dem VAG bzw. aus den ebenfalls von der BaFin Anfang 2017 veröffentlichen Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) hinsichtlich der IT dar. Erfahrungen aus den bereits Ende 2017 veröffentlichten Bankaufsichtlichen Anforderungen an die IT (BAIT) zeigen, dass die konkretisierten Anforderungen der BaFin die Unternehmen durchaus vor „neue“ Herausforderungen stellen.
Da die BaFin nach Verabschiedung der VAIT (Mitte 2018) keine Übergangsfristen erlauben wird, müssen die Versicherungsunternehmen ihre IT-Organisation hinsichtlich der Anforderungen aus den VAIT auf den Prüfstand stellen und wenn nötig Maßnahmen ergreifen, um die gesetzten Erwartungen der Aufsicht zu erfüllen.Die Versicherungsaufsichtlichen Anforderungen an die IT enthalten Vorgaben zu den acht in der Grafik dargestellten Bereichen.
Wie bereits in den MaGo auf Basis des § 296 Abs. 1 VAG gefordert, haben sich die in den VAIT geforderten Anforderungen an dem unternehmensindividuellen Risikoprofil zu orientieren. Dieses Proportionalitätsprinzip zieht sich durch alle acht Module und trägt dem sehr heterogenen Versicherungsmarkt in Deutschland Rechnung. Insbesondere die umfangreichen Dokumentationsanforderungen in den VAIT können durch das Proportionalitätsprinzip entsprechend gemildert werden.
Die VAIT fordern die Formulierung, Umsetzung und regelmäßige Überprüfung einer IT-Strategie in Abhängigkeit des Risikoprofils des Unternehmens. Gegenüber anderen einschlägigen Regelungen – wie beispielsweise der Stellungnahme zur Rechnungslegung des Fachausschusses für IT des IDW (IDW RS FAIT) oder den BSI-Standards schreiben die VAIT hier konkrete Mindestinhalte der IT-Strategie vor (siehe Rz. 2). Die bereits in der MaGo geforderte Abstimmung der Unternehmensstrategie mit dem Aufsichtsorgan wird in den VAIT auch auf die IT-Strategie bezogen und Änderungen der IT-Strategie sind im Unternehmen angemessen zu kommunizieren. Als Bestandteil der Geschäftsstrategie würde die IT-Strategie gemäß MaGo diese Anforderung nach Kommunikation mit dem…