Auch wenn die Anforderungen nach Auffassung der BaFin nicht neu sind, stellen sie doch manche Versicherungsunternehmen vor eine Herausforderung. Es gilt nicht nur, sichere IT-Prozesse zu betreiben, sondern die Anforderungen betreffen mit den Themengebieten IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Operative Informationssicherheit, Identitäts- und Rechtemanagement, IT-Projekte und Anwendungsentwicklung, IT-Betrieb, Ausgliederungen von IT-Dienstleistungen und IT-Notfallmanagement auch die Aufbau- und Ablauforganisation vieler weiterer Fachabteilungen und damit letztendlich das ganze Unternehmen. Ein weiteres Kapitel wendet sich an Betreiber Kritischer Infrastrukturen.
Die neue Fassung berücksichtigt die IKT-Leitlinien der EIOPA und enthält insbesondere neue Kapitel zur Operativen Informationssicherheit sowie zum IT-Notfallmanagement, aber auch Änderungen in den bereits in der bisherigen Fassung enthaltenen Themenbereichen. Wie bisher basieren die Inhalte auf einem risikoorientierten Ansatz, welcher die individuellen Risiken des jeweiligen Unternehmens berücksichtigt – in der Umsetzung bedeutet dies, dass Versicherungsunternehmen abhängig von ihrem Risikoprofil ggf. unterschiedliche Maßnahmen zur Adressierung der Risiken treffen können. Dieses Proportionalitätsprinzip wurde nun explizit auch insbesondere für Einrichtungen der betrieblichen Altersversorgung (EbAV) herausgestellt. Somit besteht bei der Umsetzung der Anforderungen ein Gestaltungsspielraum, den die betroffenen Unternehmen aktiv nutzen können – auch wenn die konkrete Auslegung mitunter nicht immer leicht zu adaptieren ist.
Das Rundschreiben ersetzt die bisherige Fassung - die neuen Regelungen gelten ab sofort ohne Übergangsfrist – und ist in der aktuellen Fassung hier abrufbar.
Der BDO-Fachbereich IT & Controls Assurance verfügt über umfangreiche Erfahrungen in der Analyse und Bewertung der Erfüllung der VAIT – auch in Zusammenarbeit mit der BaFin – und steht Ihnen als verlässlicher und kompetenter Ansprechpartner zu den Themen VAG, MaGo und VAIT gerne zur Verfügung.
Bei Fragen wenden Sie sich gerne an die Kolleginnen und Kollegen des Fachbereichs IT & Controls Assurance der BDO unter ITAudit.info@bdo.de.