Überarbeitung der „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT): Verschärfungen und Erweiterungen der BaFin-Regulierung

Mit den „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im Jahr 2018 eine Vielzahl komplexer Anforderungen an die Organisation sowie die Prozesse und Systeme der Versicherungs-IT definiert.

Seitdem befinden sich Versicherungsunternehmen bei der Umsetzung der BaFin-Anforderungen in einem schwierigen Spannungsfeld zwischen Angemessenheit (Compliance) und Wirtschaftlichkeit (Kosten).

Zum 03.03.2022 hat die BaFin die VAIT einer Überarbeitung unterzogen. Die VAIT-Novelle beinhaltet Erweiterungen – d.h. gänzlich neu regulierte Bereiche der IT – sowie Verschärfungen zu bereits regulierten Aspekten. Auf beide gehen wir im Folgenden ein.

VAIT im Rückblick

Vor einem Ausblick auf die Neuerungen lohnt sich allerdings ein kurzer Rückblick. Die bisherigen VAIT sind wie folgt charakterisiert.

• Anwendungsbereich: grundsätzlich alle Versicherungsunternehmen, die der Aufsicht der BaFin unterliegen
• Anwendungszeitraum: ab Veröffentlichung (02. Juli 2018)
• Proportionalitätsprinzip: individuelles Risikoprofil maßgeblich für die Umsetzung (risikobasierter Ansatz)
• Referenzierung: Verweis auf gängige Standards und Stand der Technik
• Anforderungen in den Themengebieten: IT-Strategie, IT-Governance, Informationsrisiken und -sicherheit, Benutzerberechtigungsmanagement, Anwendungsentwicklung, IT-Betrieb und Ausgliederung

Die bereits durchgeführten VAIT-bezogenen Prüfungen durch die BaFin und die Vorbereitungen darauf ermöglichten es den Versicherern, erste Erfahrungen zur Interpretation und Auslegung der verschiedenen VAIT-Module zu sammeln. Diese Erkenntnisse sind zusammen mit den nachfolgenden Neuregulierungen zu bewerten und in der IT-Ablauf- und Aufbauorganisation zu berücksichtigen.

VAIT – Novellierungen im Jahr 2022

Nach den ersten erfolgten Prüfungen erfolgt nun die Neuordnung der VAIT durch die BaFin. Durch diese werden einige der Regelungsmodule konkretisiert bzw. die darin ausgeführten Anforderungen verschärft. Nur in den wenigsten Modulen ergeben sich für die Versicherer Erleichterungen. Neben den Anpassungen in bestehenden Regelungsbereichen ist ein besonderes Augenmerk auf die nachfolgend dargestellten, gänzlich neuen Module zu legen.

Neu regulierte Bereiche in der VAIT Novelle

Operative Informationssicherheit

Mit dem neu geschaffenen Modul „Operative Informationssicherheit“ wird das bestehende Modul „Informationssicherheitsmanagement“ um konkrete Umsetzungsanforderungen auf operativer Ebene ergänzt. Damit kommen auf die Versicherungsunternehmen potenziell neue und gewichtige Anforderungen insbesondere in den folgen Themenbereichen zu:

• Schwachstellenmanagement
• Segmentierung und Kontrolle des Netzwerks
• Sichere Konfiguration von IT-Systemen (Härtung)
• Verschlüsselung von Daten
• Perimeterschutz
• Gefährdungserkennung und -behandlung
• Sicherheitsrelevante Ereignisse
• Überprüfung der Sicherheit der IT-Systeme

Die damit einhergehenden Änderungen werden auch Auswirkungen auf bestehende Regelungsdokumente im Unternehmen haben oder gänzlich neue Rahmenwerke bedingen.

In der Folge wird zu klären sein, inwieweit ein von der Informationssicherheitsfunktion auch organisatorisch separiertes „Operatives Sicherheitsmanagement“ zu installieren ist, welches ggf. eine größere Nähe zu den 1st Line Funktionen im IT-Betrieb aufweist.

IT-Notfallmanagement

Ein weiteres gänzlich neues Modul ist für den Bereich des IT-Notfallmanagements vorgesehen. Die Anforderungen hieraus sollten den Versicherungsunternehmen grundsätzlich bekannt sein. Allerdings werden sie jetzt in den VAIT noch einmal detailliert ausdefiniert.

Die Aufsicht erwartet im Rahmen des IT-Notfallmanagements, welches als Teil des allgemeinen Notfallmanagements betrachtet wird, eine an das individuelle Risikoprofil angepasste Ausarbeitung von Notfallplänen. Diese umfassen mindestens die Parameter Wiederanlaufzeit (RTO – Recovery Time Objective), den maximal tolerierbaren Zeitraum, in dem Datenverlust hingenommen werden kann (RPO – Recovery Point Objective) und Konfigurationen für den Notbetrieb.

Weiterhin sind Abhängigkeiten zu vor- und nachgelagerten Prozessen, sowie zu den eingesetzten IT-Systemen des Unternehmens und der IT-Dienstleister in den Notfallplänen zu beachten. Hier wird aus Sicht der Aufsicht auch eine tiefergehende Betrachtung der Informationsverbünde gefordert werden. In Verbindung dazu kann es notwendig werden, die Aktualität der Geschäftsprozessmodelle zu prüfen.

Verschärfungen in existierenden VAIT Regulierungsbereichen

Neben den kompletten Neuerungen in den VAIT gibt es auch zahlreiche Änderungen in den bestehenden Anforderungen. In den seltensten Fällen handelt es sich hierbei um eine Erleichterung für die Unternehmen.

Erweiterung der Ressourcenausstattung

In der Erstfassung der VAIT war zur Steuerung sowie zur Überwachung des Betriebs und der Weiterentwicklung der IT‑Systeme eine ausreichende Personalausstattung gefordert. Hier geht die Aufsicht in ihrer Novelle nun einen Schritt weiter und führt diese Thematik in einer detaillierteren Form weiter. Zukünftig wird hier der Fokus sowohl auf der Ausstattung mit personellen als auch finanziellen und sonstigen Ressourcen liegen.

Mit der Erweiterung im Bereich der Ressourcenausstattung um den Punkt der „Finanziellen Ressourcen“ kann in Zukunft auch die Einsichtnahme in die Budgetplanungen des Unternehmens und deren Bewertung Bestandteil der Prüfung sein.

Zuordnung automatisierter Tätigkeiten an verantwortliche Personen

Neue Anforderungen richtet die Aufsicht an die zahlreichen verwendeten automatisierten Tätigkeiten, die innerhalb der IT-Verarbeitungsprozesse typischerweise durch technische User durchgeführt werden.

Jegliche Zugänge und Zugriffe innerhalb einer solchen automatisierten Aktivität auf IT-Systeme müssen jederzeit zweifelsfrei einer handelnden bzw. verantwortlichen Person zuzuordnen sein. Abweichungen von dieser Anforderung müssen hinsichtlich der entstehenden Risiken bewertet und von einer fachlich verantwortlichen Stelle genehmigt werden. Der verschärfende Charakter bezieht sich hier vornehmlich auf die Identifikation von Verbindungen zwischen automatischen Aktivitäten bis hin zur auslösenden oder verantwortlichen (natürlichen) Person. In der ursprünglichen VAIT-Regulierung war lediglich eine Zuordnung zwischen technischen Usern und natürliche Personen gefordert.

Ausweitung der Dokumentationsvorgaben in der Anwendungsentwicklung

Mit der Ausweitung der Dokumentationsvorgaben in der Anwendungsentwicklung erfolgt nun auch hier eine weitere Angleichung an die BAIT. Die Erstellung einer Anwenderdokumentation, einer Betriebsdokumentation und einer technischen Systemdokumentation sichert dabei die Erfassung aller notwendigen Informationen für die weitere Verwendung der Anwendungen im Unternehmen unter Berücksichtigung der geltenden Vorgaben.

Ausblick

Ein kurzer Blick in die Vergangenheit zeigt, wie die Versicherer nun am besten vorgehen sollten. Kurz nach der initialen Veröffentlichung der VAIT im Jahr 2018 folgten bereits im Jahr 2019 die ersten Prüfungen durch die BaFin. Im Fall der nun erfolgten Novellierung ist eine Übergangsfrist nicht zu erwarten, was Prüfungen auf die neuen und geänderten Bereiche der VAIT sofort möglich macht. Hierauf müssen sich die Unternehmen vorbereiten.

Daher sollte unmittelbar mit einer Identifikation und Bewertung der Lücken zwischen dem in der jeweiligen Organisation vorgefundenen Ist-Zustand und den Soll-Vorgaben der VAIT-Novelle begonnen werden. Im Anschluss an ein solches internes „Friendly Audit“ sind die identifizierten Lücken einer strukturierten Bearbeitung zuzuführen.

Als langjähriger Partner der Versicherungsbranche haben wir zahlreiche VAIT-Umsetzungsprojekte durchgeführt und diesbezügliche BaFin-Prüfungen inhaltlich und organisatorisch begleitet. Basierend auf diesen Erfahrungen stehen wir bereit, ihr Unternehmen gemeinsam mit Ihnen auf die Anforderungen der VAIT-Novelle vorzubereiten und für eine Prüfung zu wappnen.