BaFin: Erste Veranstaltung "IT-Sicherheit bei Versicherungsunternehmen und Pensionsfonds"
Über 660 Teilnehmer, zahlreiche Fragen im Chat: Bei der ersten digitalen Veranstaltung „IT-Aufsicht für Versicherungen und Pensionsfonds“ am 21. Juni 2022 informierte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) über aktuelle Entwicklungen bei der Informationssicherheit im Versicherungssektor und in der Regulierung. Themen waren die geplante VAIT-Novelle (Versicherungsaufsichtliche Anforderungen an die IT), die neue Anzeigepflicht für Ausgliederungen und DORA (Digital Operational Resilience Acts) – sowie die Erkenntnisse aus den IT-Prüfungen der BaFin.
„Die heutige Veranstaltung ist die erste, aber sicher nicht die letzte zum Thema IT-Sicherheit im Versicherungssektor“, betonte Dr. Frank Grund, Exekutivdirektor Versicherungsaufsicht, in seiner Keynote zum Auftakt. Dafür spreche das große Interesse der beaufsichtigten Unternehmen, aber vor allem die hohe Relevanz des Themas. „Die IT muss bei jedem Prozess mitbedacht werden. Sie sollte nicht nur als reiner Kostenfaktor gesehen werden, sondern als (Business-) Enabler. Allerdings birgt sie auch manche Risiken“, sagte Grund. Diese Risiken seien jüngst gestiegen – etwa aufgrund der Covid-19-Pandemie und des Kriegs in der Ukraine. „Es gibt nur eine Lösung für die erhöhte Gefährdungslage“, schlussfolgerte Grund: „Die Unternehmen müssen eine digitale operationelle Resilienz entwickeln.“ Das bedeute: Unternehmen müssten widerstandsfähiger und zugleich anpassungsfähiger werden und sich schnell gegen neue IT-Risiken wappnen können.
Andreas Pfeßdorf, Referent in der IT-Aufsicht, erläuterte Neuerungen der im März veröffentlichten Novelle des Rundschreibens VAIT. Damit setzte die Aufsicht EIOPA-Vorgaben um und konkretisiere die Anforderungen an die IT der beaufsichtigen Unternehmen. „An den Grundprinzipien der VAIT hat sich nichts geändert“, erklärte Pfeßdorf, „so können Unternehmen die VAIT unter Beachtung des Prinzips der Proportionalität anwenden. Das ist wichtig für kleinere Unternehmen“. Die Ausgliederungen von Versicherungstätigkeiten und Funktionen an Cloud-Anbieter nehmen weiterhin zu – und stehen daher auch im Fokus der Aufsicht. Jochen Zengler, Referent in der Versicherungsaufsicht, unterstrich in seinem Vortrag, die BaFin sei im Dialog mit Cloud-Anbietern und begleite aktiv die nationale und europäische Regulatorik. Zudem kündigte er an: Die Orientierungshilfen zu Auslagerungen an Cloud-Anbieter, die die BaFin bereits 2018 veröffentlicht hatte, werden in diesem Jahr aktualisiert.
In der Veranstaltung wurde auch deutlich: Ein nationales Überwachungsrahmenwerk für IT-Mehrmandantendienstleister, so gut es auch ist, stoße buchstäblich schnell an seine Grenzen. Der europäische Gesetzgeber erarbeitet daher ein Überwachungsrahmenwerk für kritische Drittdienstleister der Informations- und Kommunikationstechnologie (IKT) als ein wesentliches Element des DORA. „Mit DORA entsteht ein europaweit harmonisierter Rahmen für den Umgang mit IKT-Risiken“, erläuterte Silke Brüggemann, Referentin in der IT-Aufsicht. DORA enthalte darüber hinaus Anforderungen an das IKT-Risikomanagement, an das Testen der digitalen operationalen Resilienz und an das IKT Drittparteirisikomanagement. (DFPA/mb1)
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ist eine selbstständige Anstalt des öffentlichen Rechts mit Sitz in Bonn und Frankfurt am Main. Sie vereinigt die Aufsicht über Banken und Finanzdienstleister, Versicherer und den Wertpapierhandel unter einem Dach. Ihr Hauptziel ist es, ein funktionsfähiges, stabiles und integres deutsches Finanzsystem zu gewährleisten.