Neue VAIT ist ab dem 03.03.22 in Kraft getreten: Das gilt es zu wissen!

Veröffentlicht 22.03.2022

Detlef Hölzen Market Director Financial Services d.velop

Beitragsbild Blogartikel VAIT Neuerungen Megafon

Die neuen VAIT (Versicherungsaufsichtliche Anforderungen an die IT) treten ab dem 3. März in Kraft. Was muss die Versicherungswirtschaft jetzt beachten? Eine kurze Definition der VAIT, einen Überblick über wichtige Neuerungen und was diese für die Versicherungswirtschaft bedeuten, finden sich in diesem Blogartikel. Viel Spaß!

Ausgangslage und aktuelle Herausforderungen in der Versicherungswirtschaft

Die Digitalisierung schreitet immer weiter voran – das ist nun wirklich kein Geheimnis mehr. Es stellt sich jedoch die Frage, was passiert mit den Unternehmen, welche dem Tempo nicht standhalten bzw. hierauf keine konkrete Antwort haben. Ein Teil der Antwort kann die Implementierung von neuen offenen Content-Service-Plattformen (CSP) sein, welche die Dienste rund um die Erstellung, Verarbeitung und Verwaltung von Content, insbesondere Dokumenten und Metadaten, integriert.

Erfahre was sich hinter den VAIT (Versicherungsaufsichtliche Anforderungen an die IT) verbirgt, welche Neuerungen ab dem 03.03.22 gelten und die Bedeutung dieser für die Versicherungswirtschaft.

Digitalisierung in der Versicherungswirtschaft umfassend denken

Da die Digitalisierung sowohl die Kernprozesse der Versicherungswirtschaft als auch die Schnittstelle zum Kunden betrifft, ist die Digitalisierung entlang der gesamten Customer Journey zu betrachten. Der Umbau erfasst in der Regel nahezu alle Unternehmensbereiche, angefangen von der ersten Kontaktaufnahme über die Bearbeitung von eingehenden Kundendokumenten und -metadaten, der digitalen Bereitstellung von ausgehenden Dokumenten und Informationen mittels Portalen oder besser digitalen Postbox-Systemen bis hin zur Datensicherheit, um so über alle Touch-Points hinweg ein effizientes und reibungsloses Kundenerlebnis zu erzielen.

Neben den Bemühungen, dem Kunden eine einfache, schnelle, aber auch interessante Vorgangsabwicklung zu ermöglichen, gilt es auch den Fokus auf die vollständige Digitalisierung der Backend-Prozesse zu legen. Dabei dürfen datenschutz- sowie datensicherheitsrelevante Aspekte nicht außer Acht gelassen werden. Denn nur so bleiben Insurance-Anbieter oder auch kooperierende Partnerunternehmen erfolgreich und gehen im Zeitalter eines disruptiven Wettbewerbs nicht unter.

Rechtliche Rahmenbedingungen im Zuge der Digitalisierung der Versicherungswirtschaft

Doch mit diesem digitalen Voranschreiten, gibt es auch etliche rechtliche Rahmenbedingungen, die sich diesen Neuerungen und den damit einhergehenden Risiken anpassen. Je nach Sichtweise ist dies Fluch und Segen zugleich.
Die seit dem 25. Mai 2018 wirksam gewordene Europäische Datenschutzgrundverordnung (EU-DSGVO) bildet den datenschutzrechtlichen Rahmen innerhalb der EU. Sie fordert unter anderem geeignete, technische und organisatorische Maßnahmen (TOM) zur Umsetzung der datenschutzrechtlichen Anforderungen.

VAIT (Versicherungsaufsichtliche Anforderungen an die IT): die Neuerungen im Überblick

Die Digitalisierungsthematik ist inzwischen ein so wichtiger Unternehmenspunkt, dass IT-Dienstleistungen und damit verbundene IT-Plattformen inzwischen vermehrt von Dritten bezogen werden. Sofern alle Anforderungen an die Regulatorik und die Daten- und Informationssicherheit gelöst werden, steht auch der künftigen Cloudnutzung und damit verbundener Auslagerungen nichts im Wege.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat auf diesen Wandel reagiert und verschärfte mit ihrer Neuerung der Versicherungsaufsichtlichen Anforderungen an die IT, kurz VAIT, die Anforderungen an Versicherungsunternehmen und Pensionsfonds.

Mit der Ergänzung der Aspekte der „EIOPA Leitlinien zu Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologie“ (ICT-Guidelines), soll die neue Version den europäischen Rahmenbedingungen und Anforderungen gerecht werden. Dabei fügt die BaFin gänzliche neue Kapitel „Operative Informationssicherheit“ und „IT-Notfallmanagement“ hinzu und konkretisiert bzw. ergänzt die acht bestehenden Kapitel mit dem Fokus auf die Sicherheit von Informationen und IT-Systemen.

Was bedeutet VAIT genau?

Definition VAIT

Die VAIT – Versicherungsaufsichtlichen Anforderungen an die IT – sind Verwaltungsanweisungen, die erstmals 2018 von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlicht wurden. Die Anforderungen konkretisieren die gesetzlichen Anforderungen des Versicherungsaufsichtsgesetz (VAG), §§ 23–32.

Ziel der VAIT

Ziel der VAIT sind die sichere Ausgestaltung der IT-Systeme, sowie der zugehörigen Prozesse und Anforderungen an die IT-Governance. Sie gibt also einen Rahmen für die technische und organisatorische Ausstattung der Unternehmen, mit dem Hauptaugenmerk auf das IT-Risikomanagement und das Management der IT-Ressourcen.

Unberührt von den Anforderungen bleiben Versicherungszweckgesellschaften im Sinne des § 168 Versicherungsaufsichtsgesetz (VAG) sowie die Sicherungsfonds im Sinne des § 223 VAG.

Wann sind die neuen VAIT in Kraft getreten?

Die neuen VAIT sind am 3. März 2022 in Kraft getreten. Die vorherige Version des Rundschreibens der BaFin vom 20. März 2019 tritt damit gleichzeitig außer Kraft. Weiterhin gilt das Proportionalitätsprinzip, d.h. die Umsetzung der Anforderungen sind auf eine Weise zu erfüllen, wie sie der Art, dem Umfang und der Komplexität der mit ihrer Tätigkeit einhergehenden Risiken gerecht werden. Einrichtungen der betrieblichen Altersversorgung (EbAV) haben die Anforderungen so umzusetzen, dass der Größenordnung, der Art, dem Umfang und der Komplexität ihrer Tätigkeiten Rechnung getragen wird.

Die Vorbemerkungen des Rundschreibens stellen nun deutlicher heraus, dass im Falle von Ausgliederungen an IT-Dienstleister die Einhaltung der VAIT Anforderungen durch angemessene Regelungen in der Ausgliederungsvereinbarung sicherzustellen ist. Neue Kapitel (siehe unten) wurden in den VAIT aufgenommen. Damit werden neue Schwerpunkte gesetzt.

Zwei neue Kapitel in den VAIT vom 03.03.2022

Mit den zwei neuen Kapiteln Operative Informationssicherheit und IT-Notfallmanagement sollen die IT-Sicherheitsmaßnahmen entsprechend umgesetzt und die Betriebsstabilität aufrechterhalten werden. Dabei werden auch IT-Dienstleister stärker mit einbezogen, was eine unmittelbare Auswirkung auf Anwendungsbereiche, wie beispielsweise die Vergabe von Benutzerberechtigungen, hat. Das IT-Notfallmanagement verschärft die Vorsorge sowie die Maßnahmen bei IT-Notfällen.

1. VAIT Kapitel Operative Informationssicherheit

Mit diesem neuen Kapitel möchte die BaFin die operative Widerstandsfähigkeit der IT stärken. „IT-Systeme, die zugehörigen IT-Prozesse und sonstige Bestandteile des Informationsverbundes müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen.“

Alle IT-Systeme müssen demnach regelmäßig überprüft und bei Bedarf angepasst werden. Um sicherheitsrelevante Ereignisse zu identifizieren, müssen des Weiteren Regeln definiert werden, die Bedrohungen und abnormale Aktivitäten erkennen

Fragestellung/Aufgaben:

  • Existieren bereits Verfahren zur zeitnahen und regelbasierten Identifizierung, Bewertung und Monitoring von Bedrohungen, wie SIEM oder SOC?

Als SIEM (Security Information and Event Management) bezeichnet man ein einzelnes Security-Management-System, das volle Sichtbarkeit und Transparenz zu Aktivitäten innerhalb Ihres Netzwerks bietet.

Ein Security Operations Center (SOC) ist eine Kommandozentrale für Cyber Security Experten. Diese dient der Überwachung, Analyse und dem Schutz einer Organisation vor Cyberangriffen.

  • Werden die operative IT-Sicherheit und die Informationssicherheitsmaßnahmen (ISM) voneinander klar abgrenzt und sind Verantwortlichkeiten definiert?
  • Sind regelmäßige bzw. anlassbezogene Prüfungen der IT-Sicherheit implementiert?

2. VAIT Kapitel IT-Notfallmanagement

Mit dem Kapitel IT-Notfallmanagement werden die Vorsorge sowie die Maßnahmen bei IT-Notfällen verschärft. „Das IT-Notfallmanagement erhöht die Widerstandsfähigkeit von Bereichen und Prozessen im Unternehmen, um in möglichen Notfallsituationen die Fortführung der Geschäftstätigkeit durch im Vorfeld definierte Verfahren zu gewährleisten.“ Das Unternehmen ist demnach verpflichtet, ein IT-Notfallkonzept zu erstellen, in dem IT-Notfallpläne verfasst sind.

Fragestellung/Aufgaben:

  • Ist ein ausreichendes Notfallkonzept mit den wichtigsten Cases vorhanden und wurden diese im Rahmen IRM/ISM berücksichtigt?
  • Sind IT-Notfallpläne für alle (relevanten) IT-Systeme, welche zeitkritische Prozesse unterstützen, vorhanden und werden diese regelmäßig auf ihre Wirksamkeit hin überprüft?
  • Wie sieht es mit einem Totalausfall des Rechenzentrums aus, sind dann wichtige und zeitkritische Prozesse noch weiterhin ablauffähig und sichergestellt?

Ergänzungen bestehender Kapitel in den VAIT

Auch bereits bestehende Kapitel der VAIT wurden im Sinne der Informationssicherheit und der Sicherheit von IT-Systemen angepasst und teilweise ergänzt. Dies bedeutet für Versicherungsunternehmen genau hinzuschauen und den Handlungsbedarf festzulegen. Einige Beispiele haben wir in der folgenden Infografik nach Aufwand bewertet und nachstehend genauer beschrieben:

Infografik VAIT Umsetzungsausfwand
  • IT-Strategie: Die Geschäftsleitung hat die Pflicht, einen Prozess zu etablieren, der die Umsetzung der Strategieziele misst, überwacht, beurteilt und gegebenenfalls anpasst, einzurichten. Ebenso ist eine Einordnung sonstiger, wichtiger Abhängigkeiten von Dritten/Informations- oder Telekommunikationsdienstleistern vorzunehmen.
  • IT-Governance: Die Anforderungen der IT-Governance sollen regelmäßig von Personen/Revisoren mit hinreichender Qualifikation in der IT überprüft werden. Die IT-Governance bildet einen regulatorischen Rahmen, der die Informationstechnik (IT) mit der Unternehmensstrategie verzahnt.
  • Informationsrisikomanagement: Gefordert ist eine Erweiterung des Informationsverbundes/Netzwerkes, eine regelmäßige bzw. anlassbezogene Schutzbedarfs-Ermittlung, eine Überprüfung der Schutzbedarfsfeststellung sowie eine Analyse möglicher Bedrohungen und Schwachstellen.
  • Informationssicherheitsmanagement: Notwendige Aspekte und Inhalte einer Informationssicherheitsleitlinie sind festzustellen sowie die Erstellung von Leitlinien zur Überprüfung der physischen Sicherheit (Penetrationstests) sind zu erstellen. Die Befugnisse und Aufgaben des ISB sind zu konkretisieren.
  • Identitäts- und Rechtemanagement: Die BaFin hat das ehemals benannte Kapitel „Benutzerberechtigungsmanagement“ in „Identitäts- und Rechtemanagement“ umbenannt. Hierbei geht es nach wie vor um das klassische Berechtigungsmanagement, bei dem Zugriffs-, Zugangs- und Zutrittsrechte im Kontext des Informationsverbundes gemeint sind. Neu in diesem Kontext ist der Bezug zu nicht personalisierten System-Aktivitäten, welche ebenfalls überwacht werden sollen. Zusätzlich wird der Umgang mit privilegierten Benutzern in den Fokus gesetzt. Privilegierte Benutzer sind physische Personen, welche Zugang zu Rechenzentren oder sonstigen kritischen Technikräume besitzen.
  • IT-Projekte und Anwendungsentwicklung: Die wesentlichen Veränderungen in den bestehenden IT-Systemen im Rahmen von IT-Projekten und deren Auswirkung auf die IT-Organisation (Aufbau-/Ablauf) sowie die diesbezüglichen IT-Prozesse sind vorab per Auswirkungsanalyse zu bewerten. Dabei sind insbesondere die Auswirkungen der geplanten Veränderungen auf die Kontrollverfahren und die Kontrollintensität festzustellen.
  • IT-Betrieb: Der IT-Betrieb hat die Aufgabe, jene Anforderungen umzusetzen, welche sich aus der Umsetzung der Geschäftsstrategie und den IT-unterstützenden Prozessen ergeben.
  • Ausgliederung: Gliedert ein Versicherungsunternehmen IT-Dienstleistungen aus – unabhängig davon, ob es sich hierbei um die Hauptdienstleistung oder um eine ergänzende Nebendienstleistung zu einer anderen Hauptdienstleistung handelt – sind die hierfür jeweils geltenden Anforderungen zu erfüllen. Bei jeder Ausgliederung von IT-Dienstleistungen oder sonstigen Fremdbezug ist vorab eine Risikoanalyse durchzuführen.
  • Kritische Infrastrukturen: Dieses Modul richtet sich – im Kontext mit den anderen Modulen der VAIT und den sonstigen einschlägigen versicherungsaufsichtlichen Anforderungen in Bezug auf die Sicherstellung angemessener Vorkehrungen zur Gewährleistung von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Informationsverarbeitung – eigens an die Betreiber kritischer Infrastrukturen (KRITIS).

Fazit

Eine Auseinandersetzung mit den VAIT ist unerlässlich

Eine intensive Auseinandersetzung mit den VAIT ist für Versicherungsunternehmen unerlässlich. Die diesbezügliche Umsetzung der neuen und am 3. März 2022 in Kraft getretenen VAIT in entsprechende Maßnahmen, zur sicheren Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und Anforderungen an die IT-Governance, sollten nicht auf die lange Bank geschoben werden. Insbesondere sind die neuen Kapitel zur Operativen Informationssicherheit und zum IT-Notfallmanagement zu betrachten.

Wichtig ist es dabei, die Risiken aus vielfach veralteten IT-Systemen und deren Verträgen genau zu prüfen und dabei eine Neuausrichtung in Erwägung zu ziehen. Ziel sollte es sein, eine geeignete und zukunftssichere IT-Strategie sowie IT-Plattform zu implementieren und diesbezüglich die notwendigen Ausgliederungsvereinbarungen an die neuen VAIT anzugleichen.

Cloudlösungen als Chance für moderne Systeme

Cloudlösungen bieten hier eine Chance, eine Transformation von älteren, vielleicht monolithisch aufgebauten IT-Systemen hin zu modernen, auf Microservices basierenden Softwarelösungen zu vollziehen. Die Versicherung wird so IT-seitig entlastet und kann sich damit sich verstärkt um ihre Kernprozesse und –aufgaben kümmern – gerade im Kontext steigender aufsichtlicher Anforderungen und sinkender Margen.

Dokumente in der Versicherungsbranche digital und rechtssicher unterschreiben

Dies gilt umso mehr, wenn es sich bei dem auszulagernden System um eine Standardlösung handelt, wie zum Beispiel ein Dokumentenmanagement-System. Wichtig ist hierbei, dass der Cloudanbieter die Anforderungen der Versicherungswirtschaft kennt und Antworten auf alle Fragen rund um aufsichtsrechtliche Anforderungen hat.

Wir haben in Rekordzeit ein DMS ausgetauscht. Mein Chef hätte das für unmöglich gehalten, weil das eigentlich eine Sache von Jahren ist

Sascha Körver, Head of IT, andsafe AG