STRATEGIE25. Juli 2018

Finale Fassung der VAIT veröffentlicht: Welche Zugeständnisse die BaFin der Versicherungs-IT einräumt

VAIT-Experte Dr. Jan Hendrik Sohl
Dr. Jan Hendrik Sohl, zebzeb

Am 02. Juli 2018 hat die BaFin mit dem Rundschreiben 10/2018 die finale Fassung der versicherungs­auf­sichtlichen Anforderungen an die IT (VAIT) veröffentlicht. Neben redaktionellen Anpassungen geht die BaFin mit der finalen Fassung auch auf die im Rahmen der Konsultation eingereichten Stellungnahmen ein und gewährt den Versicherern für ausgewählte Anforderungen Zugeständnisse. Trotz den Erleichterungen kann sich die Versicherungswirtschaft jedoch nicht zurücklehnen, sondern muss aufgrund der direkten Anwendung der VAIT kurzfristig sicherstellen, dass die wesentlichen Anforderungen angemessen erfüllt werden.

von Dr. Jan Hendrik Sohl, Michael Kötting & Christopher Kühnel

VAIT-Experte Michael Kötting
Michael Kötting, zebzeb
Mit der VAIT definiert die BaFin umfassende Anforderungen an die IT von Versicherern. Nachdem ein erster Entwurf der Anforderungen bereits im November 2017 durch die BaFin vorgelegt wurde, startete im März 2018 die öffentliche Konsultation. Neben einigen Einzelpersonen hat dabei insbesondere der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) mit einer umfangreichen Stellungnahme auf sich aufmerksam gemacht.

Bei der detaillierten Betrachtung der finalen Fassung zeigt sich, dass zwar einige VAIT-Anforderungen inhaltlich angepasst wurden, jedoch auch zahlreiche Anmerkungen des GDV (leider) keine weitere Berücksichtigung gefunden haben.

Michael KöttingMichael KöttingVAIT-Experte Christopher Kühnel
Christopher Kühnel, Consultant zebZEB

Inhaltliche Anpassungen der VAIT

Die Anpassungen in der finalen VAIT-Fassung sind in hohem Umfang redaktioneller Natur.

Dennoch finden sich auch einige Überarbeitungen, welche inhaltliche Auswirkungen auf die formulierten Anforderungen haben.”

Dabei fällt auf, dass sich die inhaltlichen Anpassungen eng an der Stellungnahme des GDV orientieren. Der Vollständigkeit halber muss jedoch auch angeführt werden, dass zahlreiche weitere Anmerkungen des GDV in der finalen Fassung unbeachtet blieben. Die wesentlichen Änderungen sollen nachfolgend dargestellt werden:

1. Angemessene Unabhängigkeit des Informationssicherheitsbeauftragten

Bei der organisatorischen Verankerung des Informationssicherheitsbeauftragen wurden durch die BaFin sehr weitreichende Anpassungen vorgenommen. Während das Konsultationspapier der Funktion des Informationssicherheitsbeauftragten eine „organisatorische und prozessuale Unabhängigkeit“ vorschrieb (II. Rn. 29, Konsultation 04–2018), wurde die Anforderung im Zuge der Überarbeitung zu einer „aufbau- und ablauforganisatorisch angemessenen Unabhängigkeit“ umformuliert (II. Rn. 29, Rundschreiben 10/2018). Diese Umformulierung hat zur Folge, dass der Informationssicherheitsbeauftragte nicht mehr grundsätzlich aus der IT-Organisation herausgelöst werden muss. Stattdessen können unter Berücksichtigung des Proportionalitätsprinzips und des unternehmensspezifischen Risikoprofils auch sonstige Maßnahmen (u. a. direkter Berichtsweg an die Geschäftsleitung) ausreichend sein, um eine angemessene Unabhängigkeit des Informationssicherheitsbeauftragten zu gewährleisten.

Ein Verbleib des Informationssicherheitsbeauftragten innerhalb der IT-Organisation ist somit für kleinere Häuser und solche mit schwach ausgeprägtem Risikoprofil denkbar.”

2. Umfang der zu inventarisierenden IDV-Anwendungen

Eine weitere Anpassung stellt die Konkretisierung des Umfangs der zu inventarisierenden IDV-Anwendungen dar. So schreibt die VAIT ein zentrales Register zur Übersicht aller eingesetzten IDV-Anwendungen vor. Im Konsultationspapier richtete sich der Fokus dabei insbesondere auf Anwendungen, welche neben dem Risikomanagement für die „Durchführung versicherungstypischer Tätigkeiten von Bedeutung“ sind (Bemerkung II. Rn. 57, Konsultation 04–2018). In der finalen Fassung der VAIT wurde diese Anforderung nun konkretisiert, wonach IDV-Anwendungen zu erfassen sind, sofern sie zum Risikomanagement, „für die Erfüllung gesetzlicher Vorgaben oder für den Betrieb notwendiger Tätigkeiten von Bedeutung“ sind (Bemerkung II. Rn. 57, Rundschreiben 10/2018). Zur konkreten Annäherung sollte daher im ersten Schritt auf IDV-Anwendungen aus dem Risikomanagement, dem Rechnungswesen sowie auf für den Betrieb notwendige Kernfunktionen (Bestand, Schaden/Leistung, Kapitalanlage) fokussiert werden.

Autoren: Dr. Jan Hendrik Sohl, Michael Kötting und Christopher Kühnel, zeb
Nach verschiedenen Tätigkeitsfeldern bei einem IT-Dienstleister eines internationalen Versicherungskonzerns wechselte Dr. Jan Hendrik Sohl in die Beratungsbranche. Als verantwortlicher Partner bei zeb befasst er sich mit IT-Strategien und IT-Transformationen im Versicherungssektor.

Michael Kötting ist Se­ni­or Con­sul­tant bei zeb und be­fasst sich mit IT-Stra­te­gi­en und IT-Trans­for­ma­tio­nen von Ver­si­che­rungs­un­ter­neh­men. Im Rah­men sei­ner For­schungs­tä­tig­keit am Lehr­stuhl für Un­ter­neh­mens­grün­dun­gen und Un­ter­neh­mer­tum an der Uni­ver­si­tät Ho­hen­heim un­ter­sucht er In­no­va­ti­ons­pro­gram­me eta­blier­ter Un­ter­neh­men.

Christopher Kühnel arbeitet als Consultant bei zeb und befasst sich insbesondere mit IT- und IT-regulatorischen Projekten im Banken- und Versicherungssektor.

3. Risikoanalyse für die Auslagerungen von IT-Dienstleistungen

Weiterhin kann eine inhaltliche Überarbeitung zwischen Konsultation und finaler Veröffentlichung bei den Anforderungen an IT-Auslagerungen festgestellt werden. Hat sich an den Anforderungen zur Durchführung einer Risikoanalyse vor dem Eingehen einer IT-Dienstleistungsbeziehung grundsätzlich nichts geändert, wird nun jedoch nicht mehr gefordert, diese Analyse „regelmäßig und anlassbezogen“ (II. Rn. 69, Konsultation 04–2018) durchzuführen. Stattdessen ist gemäß finaler Fassung eine Aktualisierung nur vorzunehmen, sofern sich beim Versicherer eine „wesentliche Veränderung am Risikoprofil“ ergibt (II. Rn. 69, Rundschreiben 10/2018).

Im Rahmen der Steuerung der Dienstleistungsbeziehungen ist die Überarbeitung der VAIT daher mit einer wesentlichen operativen Arbeitserleichterung verbunden.”

Die inhaltlichen Anpassungen der VAIT können insbesondere unter Berücksichtigung der umfassenden Stellungnahme des GDV voreilig als nicht zufriedenstellend abgetan werden. Es muss jedoch auch berücksichtigt werden, dass mit der BAIT bereits das Gegenstück zur VAIT seit Ende 2017 für den Bankensektor final veröffentlicht ist. Die BaFin musste somit bei Anpassungen stets berücksichtigen, inwiefern sie der Versicherungswirtschaft Zugeständnisse gegenüber dem Bankensektor einräumen kann. So handelt es sich bei den zuvor angeführten Anpassungen jeweils um Zugeständnisse, welche sich in diesem Umfang in der finalen Fassung der BAIT nicht wiederfinden. Gleichwohl die Erwartungshaltung höher war, kann der Aufsicht somit ein gewisses Entgegenkommen nicht abgesprochen werden.

Keine Übergangsfristen für VAIT-Umsetzung

Nach Sprechart der BaFin stellen die VAIT eine Konkretisierung der Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) dar.

Die Anforderungen müssen daher ohne Übergangsfrist bereits seit dem 02.07.2018 formell erfüllt sein.”

Versicherer sollten daher schnellstmöglich für sich ermitteln, ob die Konformität zur VAIT bereits gegeben ist oder Umsetzungsmaßnahmen erforderlich sind. Ein unreflektiertes Handeln kann dabei jedoch nicht empfohlen werden. Stattdessen sollten sich die Häuser ihres eigenen (IT‑)Risikoprofils bewusst werden, um die Anforderungen der VAIT angemessen interpretieren und spezifizieren zu können. Gegen die unternehmensspezifische Interpretation der VAIT kann in der Folge der Status quo gelegt werden, um notwendige Handlungsmaßnahmen zu ermitteln.

Fazit

Ein wenig schneller als erwartet wurde die finale Fassung der VAIT bereits Anfang Juli durch die BaFin veröffentlicht. Trotz punktuellem Entgegenkommen der Aufsicht werden jedoch nur die wenigsten Versicherer zu diesem Zeitpunkt bereits die weitreichenden Anforderungen des Rundschreibens vollumfassend erfüllen. Die Häuser tun daher gut daran, den aktuellen Status quo in ihrem Haus transparent aufzuarbeiten, um notwendige Handlungsmaßnahmen gezielt abzuleiten. Als Argumentationsbasis sollten die Versicherer sich dabei ihres eigenen (IT‑)Risikoprofils bewusst sein, um die Anforderungen angemessen für ihre jeweilige Situation operationalisieren und anwendbar machen zu können.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert