BaFin ergänzt das Rundschreiben 10/2018 – Versicherungsaufsichtliche Anforderungen an die IT (VAIT)

In einer Pressemitteilung teilte die BaFin am 20. März 2019 mit, dass das VAIT um ein sogenanntes KRITIS-Modul ergänzt wurde. Die Anpassung betrifft ausschließlich Versicherer, die Betreiber Kritischer Infrastrukturen (KRITIS) nach Maßgabe des § 8a Abs. 3 BSI-Gesetz sind. Im Übrigen erfolgten keine weiteren Änderungen des vorgenannten Rundschreibens. Ein KRITIS-Modul wurde bereits im September 2018 in das Rundschreiben 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT (BAIT) eingefügt.

Hintergrund

Am 2. Juli 2018 veröffentlichte BaFin das VAIT. Eine Konsultation dieses Rundschreibens fand im Frühjahr desselben Jahres statt. Mit dem Rundschreiben verfolgt die BaFin insbesondere das Ziel, einen flexiblen sowie praxisnahen Regelungsrahmen festzulegen. Das Rundschreiben gibt Hinweise vor, wie die Vorschriften über die Geschäftsorganisation im Versicherungsaufsichtsgesetz (VAG) auszulegen sind, sofern sie die technisch-organisatorische Ausstattung des Unternehmens betreffen. Der Anwendungsbereich umfasst alle Versicherungsunternehmen sowie Pensionsfonds, die von der BaFin beaufsichtigt werden, mit Ausnahme von Versicherungs-Zweckgesellschaften im Sinne des § 168 VAG und der Sicherungsfonds im Sinne des § 223 VAG.

Die Regelungstiefe sowie der Regelungsumfang im Rundschreiben sind nicht abschließend. Zudem ist das Rundschreiben modular aufgebaut, sodass die BaFin das Rundschreiben flexibel anpassen kann, um aktuellen Entwicklungen Rechnung zu tragen. Bei der Umsetzung der Anforderungen ist das Proportionalitätsprinzip entscheidend, d.h. es soll auf das individuelle Risikoprofil eines Unternehmens abgestellt werden. Im Übrigen bleiben die Anforderungen aus den „Mindestanforderungen an die Geschäftsorganisation“ (MaGo) für die in den Anwendungsbereich von Solvency II fallenden Unternehmen unberührt.

Das Rundschreiben ist in folgende Abschnitte untergliedert:

  1. IT-Strategie,
  2. IT-Governance,
  3. Informationsrisikomanagement,
  4. Informationssicherheitsmanagement,
  5. Benutzerberechtigungsmanagement,
  6. IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen),
  7. IT-Betrieb (inkl. Datensicherung),
  8. Ausgliederungen von IT-Dienstleistungen und sonstige Dienstleistungsbeziehungen im Bereich IT-Dienstleistungen; isolierter Bezug von Hard-  und/oder Software,
  9. Kritische Infrastrukturen.

Mit dem Rundschreiben soll eine konsistente Anwendung der Vorschriften gegenüber allen Unternehmen gewährleistet werden. Die unter den Anwendungsbereich fallenden Unternehmen bleiben neben den Vorgaben aus dem VAIT dazu verpflichtet, grundsätzlich die aktuellsten IT-Standards und den neuesten Stand der Technik zu beachten. Bereits am 06. November 2017 veröffentlichte die BaFin das BAIT, während die BaFin am 08. April 2019 eine Konsultation zum Entwurf des Rundschreibens „Kapitalverwaltungsaufsichtliche Anforderungen an die IT “ (KAIT) gestartet hat. Inhaltlich sind BAIT, VAIT und KAIT in ihrer Struktur vergleichbar