BaFin ergänzt das Rundschreiben 10/2018 – Versicherungsaufsichtliche Anforderungen an die IT (VAIT)

In einer Pressemitteilung teilte die BaFin am 20. März 2019 mit, dass das VAIT um ein sogenanntes KRITIS-Modul ergänzt wurde. Die Anpassung betrifft ausschließlich Versicherer, die Betreiber Kritischer Infrastrukturen (KRITIS) nach Maßgabe des § 8a Abs. 3 BSI-Gesetz sind. Im Übrigen erfolgten keine weiteren Änderungen des vorgenannten Rundschreibens. Ein KRITIS-Modul wurde bereits im September 2018 in das Rundschreiben 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT (BAIT) eingefügt.

Hintergrund

Am 2. Juli 2018 veröffentlichte BaFin das VAIT. Eine Konsultation dieses Rundschreibens fand im Frühjahr desselben Jahres statt. Mit dem Rundschreiben verfolgt die BaFin insbesondere das Ziel, einen flexiblen sowie praxisnahen Regelungsrahmen festzulegen. Das Rundschreiben gibt Hinweise vor, wie die Vorschriften über die Geschäftsorganisation im Versicherungsaufsichtsgesetz (VAG) auszulegen sind, sofern sie die technisch-organisatorische Ausstattung des Unternehmens betreffen. Der Anwendungsbereich umfasst alle Versicherungsunternehmen sowie Pensionsfonds, die von der BaFin beaufsichtigt werden, mit Ausnahme von Versicherungs-Zweckgesellschaften im Sinne des § 168 VAG und der Sicherungsfonds im Sinne des § 223 VAG.

Die Regelungstiefe sowie der Regelungsumfang im Rundschreiben sind nicht abschließend. Zudem ist das Rundschreiben modular aufgebaut, sodass die BaFin das Rundschreiben flexibel anpassen kann, um aktuellen Entwicklungen Rechnung zu tragen. Bei der Umsetzung der Anforderungen ist das Proportionalitätsprinzip entscheidend, d.h. es soll auf das individuelle Risikoprofil eines Unternehmens abgestellt werden. Im Übrigen bleiben die Anforderungen aus den „Mindestanforderungen an die Geschäftsorganisation“ (MaGo) für die in den Anwendungsbereich von Solvency II fallenden Unternehmen unberührt.

Das Rundschreiben ist in folgende Abschnitte untergliedert:

  1. IT-Strategie,
  2. IT-Governance,
  3. Informationsrisikomanagement,
  4. Informationssicherheitsmanagement,
  5. Benutzerberechtigungsmanagement,
  6. IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen),
  7. IT-Betrieb (inkl. Datensicherung),
  8. Ausgliederungen von IT-Dienstleistungen und sonstige Dienstleistungsbeziehungen im Bereich IT-Dienstleistungen; isolierter Bezug von Hard-  und/oder Software,
  9. Kritische Infrastrukturen.

Mit dem Rundschreiben soll eine konsistente Anwendung der Vorschriften gegenüber allen Unternehmen gewährleistet werden. Die unter den Anwendungsbereich fallenden Unternehmen bleiben neben den Vorgaben aus dem VAIT dazu verpflichtet, grundsätzlich die aktuellsten IT-Standards und den neuesten Stand der Technik zu beachten. Bereits am 06. November 2017 veröffentlichte die BaFin das BAIT, während die BaFin am 08. April 2019 eine Konsultation zum Entwurf des Rundschreibens „Kapitalverwaltungsaufsichtliche Anforderungen an die IT “ (KAIT) gestartet hat. Inhaltlich sind BAIT, VAIT und KAIT in ihrer Struktur vergleichbar

KAIT: Anforderungen an die IT von Kapitalverwaltungsgesellschaften

Einer der Aufsichtsschwerpunkte der BaFin für 2019 ist die IT-Infrastruktur der regulierten Unternehmen. Denn aufgrund der zunehmenden Digitalisierung der Finanzindustrie werden IT-Systeme und IT-Infrastruktur für Finanzinstitute immer wichtiger. Daher ist es für Institute von entscheidender Bedeutung, dass ihre IT-Systeme eine robuste Struktur aufweisen und sie sich der Risiken bewusst sind, die sich aus der Nutzung der IT ergeben können sowie dass sie für eventuelle Störfälle entsprechend vorbereitet sind. Denn nur so kann sichergestellt werden, dass das Unternehmen die Finanzdienstleistung dauerhaft und zuverlässig erbringen kann.

Zu diesem Zweck hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 08. April 2019 eine Konsultation zum Entwurf des Rundschreibens Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT) veröffentlicht. Das Rundschreiben enthält Hinweise zur Auslegung der nationalen und europarechtlichen Vorschriften über die Geschäftsorganisation, soweit sie sich auf die technisch-organisatorische Ausstattung (und damit auch auf die IT-Systeme) der Kapitalverwaltungsgesellschaften (KVGen) beziehen. Die BaFin verfolgt das Ziel, die IT-Sicherheit im Markt zu erhöhen und das IT-Risikobewusstsein in den KVGen zu schärfen und gibt dem Management mit dem Rundschreiben einen Rahmen für die technisch-organisatorische Ausstattung der IT, insbesondere auch für das Management der IT-Ressourcen und für das IT-Risikomanagement. Da immer mehr Unternehmen IT-Dienstleistungen von Dritten in Anspruch nehmen, regelt das Rundschreiben auch den Umgang mit Auslagerungen von IT-Aktivitäten und IT-Prozessen und holt so auch nicht-regulierte IT-Anbieter in ihr Aufsichtsspektrum. Der Entwurf steht bis zum 15. Mai 2019 zur Konsultation.

Im Einzelnen regelt das Rundschreiben:

  1. Die Verpflichtung der KVG, eine IT-Strategie vorzuhalten sowie u.a. Mindestinhalte dieser Strategie. Aufzunehmen ist z.B. die strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation der KVG, die Auslagerung von IT-Dienstleistungen, Aussagen zum Notfallmanagement und Aussagen zu in den Fachbereichen selbst betriebenen oder entwickelten IT-Systemen.
  2. Die Implementierung einer IT-Governance, also einer Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse auf Basis der IT-Strategie. Die KVG muss insbesondere Bereiche wie das Informationsrisikomanagement, den IT-Betrieb und die Anwendungsentwicklung mit quantitativ und qualitativ angemessenem Personal ausstatten, für IT-Risiken angemessene Überwachungs- und Steuerungsprozesse einrichten, sicherstellen, dass IT-bezogenen Geschäftsaktivitäten auf der Grundlage von Organisationsrichtlinien betrieben werden und im Störungsfall geeignete Notfallmaßnahmen ergriffen werden.
  3. Die internen Prozesse zum Informationsrisikomanagement. Die KVG hat die mit dem Management verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikationswege klar zu definieren und aufeinander abzustimmen. Sie hat angemessene Überwachungs- und Steuerungsprozesse einzurichten. Dabei ist besonders auf IT-Risikokriterien, die Identifikation von IT-Risiken und die Festlegung des Schutzbedarfs für den IT-Betrieb einzugehen.
  4. Vorgaben zum Informationssicherheitsmanagement. Dies macht Vorgaben zur Informationssicherheit, definiert Prozesse, steuert deren Umsetzung und folgt einem fortlaufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung umfasst. Die KVG muss zudem z.B. eine Informationssicherheitsleitlinie beschließen und die Funktion eines Informationssicherheitsbeauftragten einrichten.
  5. Die Implementierung eines Benutzerberechtigungsmanagement, das sicherstellt, dass den Benutzern eingeräumte Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben der KVG entspricht. Das Rundschreiben enthält detaillierte Vorgaben, z.B. dass die Vergabe von Berechtigungen an Benutzer nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) zu erfolgen hat.
  6. Die Regelungen für IT-Projekte und die Anwendungsentwicklung. So sind IT-Projekte und Veränderungen der IT-Systeme vor ihrer Übernahme in den produktiven Betrieb zu testen und von den fachlich sowie auch von den technisch zuständigen Mitarbeitern abzunehmen. Produktions-und Testumgebung sind dabei grundsätzlich von einander zu trennen. Für die Entwicklung neuer IT-Funktionen sind angemessene Prozesse festzulegen, die Vorgaben zur Anforderungsentwicklung, zum Entwicklungsziel, zur technischen Umsetzung, zur Qualitätssicherung, sowie zu Test, Abnahme und Freigabe enthalten.
  7. Vorgaben zum konkreten IT-Betrieb. So sind beim Betrieb der IT-Systeme etwa Risiken aus veralteten Systemen zu berücksichtigen. Zudem sind alle Komponenten der IT-Systeme sowie deren Beziehung zueinander in geeigneter Weise zu verwalten und die hierzu erfassten Bestandsangaben regelmäßig sowie anlassbezogen zu aktualisieren.
  8. Konkretisierungen der Anforderungen an die Auslagerung und den sonstigen Fremdbezug von IT-Dienstleistungen. So werden z.B. Sachverhalte aufgezählt, die die BaFin als Auslagerung von IT-Dienstleistungen ansieht, wie z.B. die Anpassung von Software an die Erfordernisse der KVG (Customising).

Fazit

Der Entwurf des Rundschreibens KAIT konkretisiert die Regelungen der Mindestanforderungen an das Risikomanagement von Kapitalverwaltungsgesellschaften (KAMaRisk), die Vorgaben des KAGB und der Delegierten Verordnung zu der Geschäftsorganisation einer KVG. Die BaFin legt damit ihre Verwaltungspraxis offen. KVGen bekommen dadurch detailliertere Vorgaben zu den aufsichtsrechtlichen Anforderungen, die ihre IT-Systeme und ihre IT-Infrastruktur erfüllen muss, was wiederum zu mehr Rechtssicherheit führt. Die Vorgaben sind prinzipienorientiert und lassen damit Raum für eine Aufsichtspraxis, die die Größe und die individuellen Geschäftsmodelle der KVGen berücksichtigt. Dem Investor kommen die aufsichtsrechtlichen Anforderungen an die IT wiederum deshalb zugute, da diese letztendlich eine kontinuierliche und störungsfreie Erbringung der Dienstleistung sicherstellen sollen.