IKT: Die erfolgreiche Umsetzung der neuen EIOPA-Anforderungen

Mit der Bezeichnung EIOPA-BoS-20-600 hat die EIOPA am 12. Oktober 2020 die finalen Leitlinien zur „Sicherheit und Governance von Informations- und Kommunikationstechnologie (IKT)“ veröffentlicht.

Diese Leitlinien sollen erwartungsgemäß ab 1. Juli 2021 für alle Versicherungsunternehmen national angewendet werden und gehen für deutsche Versicherungsunternehmen über die aktuell bestehenden Regelungen der VAIT und des IT-Sicherheitsgesetzes hinaus.

Bei der Umsetzung dieser neuen Anforderungen befinden sich Versicherungsunternehmen weiterhin in einem schwierigen Spannungsfeld zwischen Angemessenheit (Compliance) und Wirtschaftlichkeit (Kosten). Wie gelingt die angemessene und effiziente Umsetzung in der Versicherungspraxis? Durch ein etabliertes, risikobasiertes und fokussiertes Vorgehen, das auf der VAIT aufbaut!

IKT im Überblick

• Anwendungsbereich: grundsätzlich alle Versicherungsunternehmen, die der Aufsicht der BaFin unterliegen; EIOPA adressiert hier zunächst die BaFin zur Anwendung in Deutschland
• Anwendungszeitraum: ab Veröffentlichung; erwartet wird die nationale Anwendung durch die Aufsichtsbehörden ab dem 01.07.2021
• Ziel der Guideline: den Marktteilnehmer*innen Klarheit und Transparenz über die von ihnen erwarteten Mindestinformationen und Cybersicherheitsfunktionen, d.h. die Sicherheitsbasis, zu bieten; mögliche Regulierungsarbitrage zu vermeiden und eine einheitliche Vorgabe in Bezug auf die Erwartungen der Aufsicht an die vorhandenen Prozesse in „IKT Sicherheit und Governance“ als Schlüssel für ein ordnungsgemäßes IKT- und Sicherheitsrisikomanagement zu schaffen
• Referenzierung: Verweis auf gängige Standards und Stand der Technik
• Anforderungen in den Themengebieten: IKT Governance, IKT Strategie, IKT Sicherheitsrisiken und Risikomanagementsystem, Audit, Informationssicherheitspolitik und -maßnahmen, Informationssicherheitsfunktion, Logische Sicherheit, Physische Sicherheit, IKT Sicherheitsbetrieb, Sicherheitsmonitoring, Informationssicherheitsüberprüfung, -bewertung und -tests, Informationssicherheitstraining und -bewusstsein, IKT Betrieb, IKT Incident und Problem Management, IKT Projektmanagement, IKT Anwendungsentwicklung, IKT Change Management, IKT Business Continuity Management inkl. Auswirkungsanalyse, Fortführungs-, Reaktions- und Wiederherstellungsplänen, Testen der Pläne und Krisenkommunikation, Outsourcing von IKT Systemen und Services

Aktuelle Situation

Schon seit einiger Zeit ist die Sicherheit der Informations- und Kommunikationstechnologie für Versicherungsunternehmen in Deutschland ein grundlegender Bestandteil ihrer täglichen Arbeit. Denn Risikominimierung liegt im ureigensten Interesse der Versicherungsunternehmen!

Dies wurde in der VAIT und dem IT-Sicherheitsgesetz bereits in der Vergangenheit mit Vorgaben für nationale Versicherungsunternehmen geregelt. Nun wurde also die europäische und damit übergreifende Regelung durch die EIOPA geschaffen, welche in der Verantwortung der BaFin als nationale Regulierungsbehörde ausgestaltet und umgesetzt werden soll.

Spannungsfeld

Der Aufwand für die Umsetzung dieser neuen Regulierung, vor allem im Hinblick auf die bereits bestehenden Regelungen, müssen im Verhältnis zum Ziel der Aufsicht stehen. Es gilt den Wettbewerb zu schützen und die Aufwände und Kosten für die Unternehmen im Blick zu behalten.

Redundanzen und Doppelregulierungen müssen vermieden und die heterogene Struktur der Versicherungslandschaft mit multinationalen Versicherungsgruppen, aber auch kleinen und mittleren Versicherungsunternehmen, in der Umsetzung berücksichtigt werden.

Ebenso ist es für den Versicherungsmarkt in Deutschland essenziell, dass die bisherigen nationalen Regelungen, insbesondere VAIT und IT-Sicherheitsgesetz, weiterhin Bestand haben und den neuen Regelungen nicht entgegenstehen.

Neue und konkretisierende Anforderungen

Grundsätzlich orientieren sich die IKT Anforderungen (Guidelines) thematisch an vielen Bereichen, die bereits aus der VAIT und dem IT-Sicherheitsgesetz bekannt und in den Unternehmen etabliert sind. Dies lässt sich auch an den Modulen ablesen.

Inhaltlich sind jedoch nur wenige IKT Anforderungen vollständig durch die Anforderungen der VAIT abgedeckt. Oftmals geht die EIOPA über die bestehenden Regelungen hinaus und schafft neue Anforderungen.

Zusätzlich gibt es mit Audit eine neue IKT Anforderung, welche vor dem Hintergrund der in Deutschland etablierten internen Revision und externen Revision bei Jahresabschluss- und IT-Prüfungen aktuell nicht zielführend scheint.

Daneben etablieren weitere IKT Anforderungen ein ganz neues Notfallmanagement, welches auch im Rahmen der Überarbeitung der VAIT als „neues“ Modul (analog der Einführung bei der BAIT) erwartet wird.

Unsere Empfehlung

Ein bereits im Rahmen der VAIT Umsetzung etabliertes Vorgehen kann nun als Grundlage für die vollständige Compliance mit den IKT Anforderungen und der VAIT, auch unter Einbeziehung der neuen Handlungsfelder, genutzt werden.

Wir empfehlen, einen risikobasierten Ansatz – in Verbindung mit der Ermittlung des individuellen Risikoprofils auf Basis der Situation des Versicherungsunternehmens – zu verfolgen. Die Grundlage bildet die Analyse der Ist-Situation bezugnehmend auf die Vollständigkeit der Compliance.

Darauf aufbauend und proportional zu den ermittelten Risiken werden konkrete Handlungsfelder benannt, deren Umsetzung in Organisation, Prozessen und IT-Systemen unterschiedlich ausgestaltet sein können – jedoch immer das Ziel der angemessenen Erfüllung der Compliance im Blick habend.

Vorhandenes und Erfahrungswerte nutzen

Da sich die IKT Anforderungen an den VAIT orientieren, sollten die bereits bestehenden und dokumentierten Prozesse, Maßnahmen und Kontrollen – soweit möglich – wiederverwendet und angepasst werden. Darüberhinausgehende Anforderungen oder somit entstehende Lücken zur Compliance können aus dem Abgleich der Anforderungen zwischen Ist-VAIT und Soll-IKT identifiziert und zielgerichtet bearbeitet oder geschlossen werden. Erfahrungen aus den VAIT Aktivitäten, Prüfungen und den daraus resultierenden Umsetzungen können dabei nutzbringend eingesetzt werden.

Abhängigkeiten beachten

Die IKT Anforderungen stehen nicht losgelöst von bereits vorhandenen regulatorischen Vorgaben. Dies betrifft sowohl die Ebene der EIOPA selbst (bspw. Solvency II Direktive) als auch nationale Vorgaben (z.B. VAIT und IT-Sicherheitsgesetz). Abhängigkeiten und Redundanzen sind somit gegeben und können in der Umsetzung entsprechend berücksichtigt werden, um Doppelaufwände zu vermeiden.

Gleichermaßen werden bestehende Organisations- und Managementsysteme in den neuen Anforderungen eingebunden. Dadurch können bereits implementierte und dokumentierte Systeme (z.B. Internes Kontrollsystem) bei entsprechender Eignung wiederverwendet werden.

Fokussiertes Vorgehen

Eine unstrukturierte Umsetzung über alle Organisationen, Prozesse und IT-Systeme hinweg ist nicht effizient und führt auch nicht zum angestrebten Ziel. Vielmehr empfiehlt sich ein geplantes und fokussiertes Vorgehen unter Berücksichtigung eines risikobasierten Ansatzes (abgeleitet vom VAIT-Vorgehen) in drei Schritten:

• Schritt 1: Analyse der Ist-Situation
• Schritt 2: Abgleich Soll und Ist
• Schritt 3: Umsetzung der Handlungsempfehlungen

Die Vorgehensweise entscheidet!

Aufwände und Wirtschaftlichkeit sind bei der Umsetzung der IKT Anforderungen entscheidende Kriterien für die Wahl der Vorgehensweise. Unser Vorgehen ist erprobt, effizient, risikobasiert und fokussiert auf die notwendigen Aktivitäten – und geräuschlos für die Unternehmen.

So können Unternehmen Zeit und Kosten im Projekt- und Linienbetrieb sparen und gleichzeitig die Qualität der Projekt- und Arbeitsergebnisse erhöhen.

Vielen Dank an die Autorin Sabrina Koll. Als Ansprechpartnerin für Rückfragen steht sie Ihnen gerne zur Verfügung.