VAIT – Versicherungsaufsichtliche Anforderungen an die IT
Mit der VAIT – versicherungsaufsichtliche Anforderungen an die IT – hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Rahmenbedingungen für die IT-Organisation für Versicherungsunternehmen nach §23 ff VAG neu ausgelegt.
Aus Sicht der Aufsicht stellen die VAIT eine Konkretisierung der bestehenden Vorschriften aus dem Versicherungsaufsichtsgesetz (VAG) und der Mindestanforderungen an die Geschäftsorganisation (MaGo) von Versicherungsunternehmen an die IT-Geschäftsorganisation dar.
Wirksame IT-Geschäftsorganisation nach VAIT
In diesem Kontext werden die „Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen“ (MaGo) durch die VAIT in den Themenfeldern durch folgende Module konkretisiert:
- IT Strategie
- IT-Governance
- Informationsrisikomanagement
- Informationssicherheitsmanagement
- operatives Informationssicherheitsmanagement
- Identitäts- und Rechtemanagement
- IT-Projekte und Anwendungsentwicklung
- IT-Betrieb
- Ausgliederung
- IT-Notfallmanagement
- Kritische Infrastrukturen
Unsere Lösung
Um den komplexen Anforderungen gerecht zu werden, bieten wir Ihnen eine Überprüfung der IT-Geschäftsorganisation mit Handlungsempfehlungen an. Kennen Sie bereits Ihren Reifegrad der IT-Geschäftsorganisation?
Die Rahmenbedingungen im Detail
Folgende Rahmenbedingungen wurden dem BaFin Rundschreiben 10/2018 in der Fassung vom 03.03.2018 in Ausschnitten teilweise wortgleich entnommen.
IT Strategie
Die Geschäftsleitung hat eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen, in der die Ziele sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden.
Die IT-Strategie ist durch die Geschäftsleitung regelmäßig und anlassbezogen zu überprüfen und erforderlichenfalls anzupassen. Die Geschäftsleitung muss für die Umsetzung der IT-Strategie Sorge tragen.
IT-Governance
Das Versicherungsunternehmen hat eine IT-Governance im Sinne der VAIT einzurichten. Unter IT-Governance ist die Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme zu verstehen. Hierzu gehören auch die dazugehörigen IT-Prozesse auf Basis der IT-Strategie. Insbesondere sind folgende Vorgaben maßgeblich, die an die Veränderungen der Aktivitäten und Prozesse anzupassen sind:
- IT-Aufbau und IT-Ablauforganisation
- Informationsrisikomanagement
- Informationssicherheitsmanagement
- quantitative und qualitative angemessene Personalausstattung
- Umfang und Qualität der technisch-organisatorischen Ausstattung
Informationsrisikomanagement
Nach den VAIT hat ein Versicherungsunternehmen der ordnungsgemäßen IT-Geschäftsorganisation ein Risikomanagement vorzuhalten. In diesem Kontext sind folgende Themenbereiche zu definieren und aufeinander abzustimmen:
- Management der Informationsrisiken
- Kompetenzen
- Verantwortlichkeiten
- Kontrollen und Kommunikationswege
Im Sinne eines wirksamen IT-Risikomanagement hat die Versicherung folgende Vorgaben vorzuhalten:
- Identifikationsprozesse
- Bewertungsprozesse
- Überwachungs- und Steuerungsprozess
- Berichtspflichten
Informationssicherheitsmanagement
Im Rahmen des Informationssicherheitsmanagements hat die Versicherung Vorgaben zur Informationssicherheit festzulegen und entsprechende Prozesse für die Steuerung und Umsetzung zu definieren.
operatives Informationssicherheitsmanagement
Die operative Informationssicherheit setzt die Anforderungen des Informations-sicherheitsmanagements um.
- IT-Systeme, die zugehörigen IT-Prozesse und sonstige Bestandteile des Informationsverbundes müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen.
- Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen.
- Für IT-Risiken sind angemessene Überwachungs- und Steuerungsprozesse einzurichten, die insbesondere die Festlegung von IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleitete Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung entsprechender Maßnahmen zur Risikobehandlung und -minderung umfassen.
Identitäts- und Rechtemanagement
Das Unternehmen hat ein Identitäts- und Rechtemanagement einzurichten, welches sicherstellt, dass den Benutzern eingeräumte Berechtigungen
so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben des Unternehmens entspricht.
Bei der Ausgestaltung des Identitäts- und Rechtemanagements sind die Anforderungen an die Ausgestaltung der Prozesse entsprechend zu berücksichtigen.
Jegliche Zugriffs-, Zugangs- und Zutrittsrechte auf Bestandteile bzw. zu Bestandteilen des Informationsverbundes müssen standardisierten Prozessen und Kontrollen unterliegen.
IT-Projekte und Anwendungsentwicklung
Kommt es in den IT-Systemen von IT Projekten zu wesentlichen Veränderungen, sind deren Auswirkungen auf die IT-Aufbau- und IT-Ablauforganisation sowie die dazugehörigen IT-Prozesse vorab im Rahmen einer Auswirkungsanalyse zu bewerten. Dabei hat das Unternehmen insbesondere die Auswirkungen der geplanten Veränderungen auf die Kontrollverfahren und die Kontrollintensität zu analysieren. In diese Analysen sind die später in die Arbeitsabläufe eingebundenen Organisationseinheiten zu beteiligen.
Im Rahmen ihrer Aufgaben sind auch die unabhängige Risikocontrolling-, die Compliance- und die versicherungsmathematische Funktion zu beteiligen, sofern das Unternehmen die jeweiligen Funktionen von Gesetzes wegen einzurichten hat. Die Funktion der Internen Revision kann beratend beteiligt werden.
IT-Betrieb
Der IT-Betrieb hat die Erfüllung der Anforderungen, die sich aus der Umsetzung der Geschäftsstrategie sowie aus den IT-unterstützten Geschäftsprozessen ergeben, umzusetzen.
Ausgliederung von IT Dienstleistungen
Gliedert ein Versicherungsunternehmen IT-Dienstleistungen aus – unabhängig davon, ob es sich hierbei um die Hauptdienstleistung oder um eine ergänzende Nebendienstleistung zu einer anderen Hauptdienstleistung handelt – sind die hierfür jeweils geltenden Anforderungen zu erfüllen.
Bei jeder Ausgliederung von IT-Dienstleistungen oder sonstigen Fremdbezug ist vorab eine Risikoanalyse durchzuführen. Hierzu versteht man aufsichtsrechtlich auch Ausgliederungen von IT-Dienstleistungen, die über ein Netz bereit gestellt und an den jeweiligen Bedarf des Versicherungsunternehmen angepasst werden. Beispielhaft sind Rechnungsleistungen, Speicherplatz, Plattformen oder Software oder Cloud-Dienstleistungen zu nennen.
IT-Notfallmanagement
Das IT-Notfallmanagement erhöht die Widerstandsfähigkeit von Bereichen und Prozessen im Unternehmen, um in möglichen Notfallsituationen die
Fortführung der Geschäftstätigkeit durch im Vorfeld definierte Verfahren zu gewährleisten.
Dabei werden über die Auswirkungsanalyse (Business Impact Analysis) die zeitkritischen Aktivitäten und Prozesse identifiziert. Zeitkritisch sind grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für definierte Zeiträume ein nicht mehr akzeptabler Schaden für das Unternehmen zu erwarten ist
Kritische Infrastrukturen
Dieses Modul richtet sich – im Kontext mit den anderen Modulen der VAIT und den sonstigen einschlägigen versicherungsaufsichtlichen Anforderungen in Bezug auf die Sicherstellung angemessener Vorkehrungen zur Gewährleistung von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Informationsverarbeitung – eigens an die Betreiber kritischer Infrastrukturen (KRITIS-Betreiber1)