(BaFinJournal) Über 660 Teilnehmerinnen und Teilnehmer, zahlreiche Fragen im Chat: Bei der ersten digitalen Veranstaltung „IT-Aufsicht für Versicherungen und Pensionsfonds“ am 21. Juni 2022 informierte die BaFin über aktuelle Entwicklungen bei der Informationssicherheit im Versicherungssektor und in der Regulierung. Themen waren die geplante VAIT-Novelle, die neue Anzeigepflicht für Ausgliederungen und DORA – sowie die Erkenntnisse aus den IT-Prüfungen der BaFin.
„Die heutige Veranstaltung ist die erste, aber sicher nicht die letzte zum Thema IT-Sicherheit im Versicherungssektor“, betonte Dr. Frank Grund, Exekutivdirektor Versicherungsaufsicht, in seiner Keynote zum Auftakt. Dafür spreche das große Interesse der beaufsichtigten Unternehmen, aber vor allem die hohe Relevanz des Themas. „Die IT muss bei jedem Prozess mitbedacht werden. Sie sollte nicht nur als reiner Kostenfaktor gesehen werden, sondern als (Business-) Enabler. Allerdings birgt sie auch manche Risiken“, sagte Grund. Diese Risiken seien jüngst gestiegen – etwa aufgrund der COVID-19-Pandemie und des Kriegs in der Ukraine. „Es gibt nur eine Lösung für die erhöhte Gefährdungslage“, schlussfolgerte Grund: „Die Unternehmen müssen eine digitale operationelle Resilienz entwickeln.“ Das bedeute: Unternehmen müssten widerstandsfähiger und zugleich anpassungsfähiger werden und sich schnell gegen neue IT-Risiken wappnen können.
VAIT-Novelle als wichtige Grundlage
Andreas Pfeßdorf, Referent in der IT-Aufsicht, erläuterte Neuerungen der im März veröffentlichten Novelle des Rundschreibens „Versicherungsaufsichtliche Anforderungen an die IT“ (VAIT). Damit setzte die Aufsicht EIOPA-Vorgaben um und konkretisiere die Anforderungen an die IT der beaufsichtigen Unternehmen. „An den Grundprinzipien der VAIT hat sich nichts geändert“, erklärte Pfeßdorf, „so können Unternehmen die VAIT unter Beachtung des Prinzips der Proportionalität anwenden. Das ist wichtig für kleinere Unternehmen“. In seinem Vortrag ging Pfeßdorf insbesondere auf zwei neue Kapitel ein: die Vorgaben zur operativen Informationssicherheit und zum IT-Notfallmanagement. Zudem erläuterte er Neuerungen in weiteren Themengebieten, wie dem Informationsrisikomanagement oder dem Ausgliederungsmanagement.
Verantwortung lässt sich nicht in die Cloud auslagern
Die Ausgliederungen von Versicherungstätigkeiten und Funktionen an Cloud-Anbieter nehmen weiterhin zu – und stehen daher auch im Fokus der Aufsicht. Jochen Zengler, Referent in der Versicherungsaufsicht, unterstrich in seinem Vortrag, die BaFin sei im Dialog mit Cloud-Anbietern und begleite aktiv die nationale und europäische Regulatorik. Zudem kündigte er an: Die Orientierungshilfen zu Auslagerungen an Cloud-Anbieter, die die BaFin bereits 2018 veröffentlicht hatte, werden in diesem Jahr aktualisiert. Mit Blick auf die Prüfung von Cloud-Ausgliederungsverträgen erläuterte Zengler: „Uns ist wichtig, dass der Gang in die Cloud immer Teil einer umfassenden IT-Strategie ist. Unternehmen sollten inhaltlich klar begründen können, warum dieser Schritt für sie sinnvoll ist – und sie sollten darstellen, wie sie die mit der Cloud verbundenen Risiken managen.“
Landkarte bietet Überblick
Finanzunternehmen lagern Prozesse und Funktionen nicht nur an Cloud-Anbieter und zahlreiche weitere (IT-) Dienstleister aus – die dafür ihrerseits wiederum mit Dienstleistern zusammenarbeiten. Dr. Sibel Kocatepe aus der IT-Aufsicht der BaFin verdeutlichte den Teilnehmerinnen und Teilnehmern anhand einer Ausgliederungslandkarte, wie solche Auslagerungsbeziehungen und eventuelle Konzentrationsrisiken sichtbar gemacht werden können. Die Daten, die einer solchen Landkarte zugrunde liegen, müssen die beaufsichtigten Unternehmen gemäß der Pflicht zur Anzeige von wichtigen Ausgliederungen an die BaFin liefern. Künftig wird dies über die Melde- und Veröffentlichungsplattform (MVP) der BaFin geschehen – ein für die Versicherungsbranche neuer Weg. „So können wir branchenübergreifend IT-Mehrmandantendienstleister überwachen und eventuelle Konzentrationsrisiken identifizieren“, führte Kocatepe aus.
IT-Prüfungen zeigen „Luft nach oben“
Einen Einblick in die Arbeit der IT-Prüferinnen und -Prüfer ermöglichte dem Publikum Renate Essler, Leiterin des IT-Prüfungsreferats. Die BaFin führt schon seit 2018 IT-Prüfungen bei Versicherungsunternehmen durch, um IT-Mängel und Schwachstellen aufzudecken und zu sehen, ob die Unternehmen mit Blick auf ihre IT und ihre IT-Prozesse über eine ordnungsgemäße und wirksame Geschäftsorganisation verfügen. Häufig seien die Ergebnisse ernüchternd, schildert Essler: „Die schwerwiegendsten Feststellungen treffen wir derzeit in den Bereichen Informationsrisikomanagement, Berechtigungsmanagement und IT-Ausgliederungsmanagement.“ Beim Informationssicherheitsmanagement sei die positivste Entwicklung erkennbar. Bisher erfülle die Mehrzahl der geprüften Unternehmen die VAIT „teilweise“ bei der Erstprüfung. Esslers Botschaft ans Publikum: „Hier gibt es noch viel Luft nach oben.“
IT-Sicherheit kennt keine Grenzen
In der Veranstaltung wurde auch deutlich: Ein nationales Überwachungsrahmenwerk für IT Mehrmandantendienstleister, so gut es auch ist, stößt buchstäblich schnell an seine Grenzen. Der europäische Gesetzgeber erarbeitet daher ein Überwachungsrahmenwerk für kritische Drittdienstleister der Informations- und Kommunikationstechnologie (IKT) als ein wesentliches Element des Digital Operational Resilience Acts – kurz DORA. „Mit DORA entsteht ein europaweit harmonisierter Rahmen für den Umgang mit IKT-Risiken“, erläuterte Silke Brüggemann, Referentin in der IT-Aufsicht. DORA enthalte darüber hinaus Anforderungen an das IKT-Risikomanagement, an das Testen der digitalen operationalen Resilienz und an das IKT-Drittparteirisikomanagement. Außerdem beinhalte DORA ein für den gesamten Finanzsektor verbindliches Meldewesen für wesentliche IKT-Vorfälle. „DORA ermöglicht es, kritische IKT-Drittdienstleister europaweit einheitlich und effizient zu überwachen“, erklärte Brüggemann. Allerdings: Das Überwachungsrahmenwerk ersetze nicht das IKT Drittparteirisikomanagement der Finanzunternehmen.
Auf einen Blick:Das könnte Sie auch interessieren
In den nächsten Wochen wird das BaFin-Journal Fachbeiträge zu den Themen der Veranstaltung veröffentlichen.
Die Präsentationen zur Veranstaltung finden Sie auf der Website der BaFin unter „Veranstaltungen“. Lesen Sie auch das Interview mit Dr. Frank Grund im BaFinJournal und die Rede, die der Exekutivdirektor bei der Veranstaltung gehalten hat.
Hinweis
Der Beitrag gibt den Sachstand zum Zeitpunkt der Veröffentlichung im BaFinJournal wieder und wird nicht nachträglich aktualisiert. Bitte beachten Sie die Allgemeinen Nutzungsbedingungen.
Kommentar hinterlassen