IT-Sicherheitsmanagement: Gesetzliche Regularien stellen Versicherer vor neue Herausforderungen
In Zeiten allgegenwärtiger Vernetzung sind Cyberrisiken und ihre Auswirkungen ein ernstzunehmendes Risiko. Das hat auch der Gesetzgeber erkannt und bereits im Juli 2015 mit dem neuen IT-Sicherheitsgesetz (IT-SiG) reagiert, das nun umgesetzt werden muss. Unter der fachlichen Leitung von Dr. André Köhler veranstalteten die Versicherungsforen Leipzig am 11. und 12. Mai 2017 daher die erste Fachkonferenz „IT-Sicherheitsmanagement in Versicherungen“. Referenten aus Rück- und Erstversicherungsunternehmen sowie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) diskutierten mit den Teilnehmer die anstehenden Herausforderungen und wie diese am besten bewältigt werden können.
Nachdem bereits am 3. Mai 2016 der erste Teil der KRITIS-Verordnung zur Umsetzung des IT-Sicherheitsgesetztes in Kraft getreten ist, erwarte die Assekuranz gespannt den zweiten Teil, der unter anderem den Sektor Finanzen betrifft, zu dem das Versicherungswesen gehört. Obwohl nur wenige Versicherungsunternehmen die gesetzten Schwellenwerte erreichen und somit zu den kritischen Infrastrukturen gehören werden, zeigte sich auf der Fachkonferenz eine große Verunsicherung bezüglich der anstehenden Herausforderungen. Vor allem die Meldepflicht für IT-Störungen nach § 8b BSIG scheine den Versicherern Sorgen zu bereiten. Auch der mehrfach im Gesetz erwähnte, einzuhaltende „Stand der Technik“ und die damit verbundenen Anpassungen in den IT-Abteilungen sorgten für Bedenken. Rechtsanwalt Karsten Bartels (HK2 Rechtsanwälte) versuchte in seinem Vortrag, die Rechtslage dazu zu erklären und für die teilnehmenden Versicherer die Gesetzesformulierungen zu interpretieren. Seiner Ansicht nach müssen Versicherer ihre IT nicht komplett neu aufsetzen, wenn sie sinnvoll begründen können, warum der aktuellste Stand der Technik nicht eingehalten wird.
Viele Fragen seitens der Teilnehmer gab es vor allem bei den Vorträgen von Dr. Wolfgang Winkler (BSI) und Dr. Jens Gampe (BaFin). Beide baten jedoch, die finale KRITIS-Verordnung abzuwarten, da auf viele Fragen erst dann eine Antwort gegeben werden kann. „Die BaFin geht davon aus, dass die Unternehmen in der Versicherungswirtschaft über die gesetzlichen Anforderungen hinaus ein besonderes Interesse haben, das Vertrauen ihrer Kundschaft – nicht nur in die Solvenz, sondern insbesondere auch in die Integrität und Vertraulichkeit der ihnen anvertrauten Daten in den IT-Systemen – zu gewährleisten bzw. sicherzustellen“, sagt Gampe. „Insoweit erwartet die Aufsicht, dass auch das Niveau der Informationssicherheit in der Versicherungswirtschaft bereits heute erheblich über dem Mindestmaß, welches das BSI-Gesetz vorgibt, liegt.“
Erste Erfahrungsberichte zum IT-Sicherheitsgesetz und seinen Anforderungen gaben Vertreter von Standard Life, AXA sowie der DB Regio, die als Transportanbieter bereits unter die KRITIS-Verordnung I fällt. Weiteres Diskussionsthema der Konferenz war zudem die EU-Datenschutz-Grundverordnung, die die IT-Abteilungen ebenfalls vor neue Herausforderungen stellt.
Quelle: Pressemitteilung Versicherungsforen Leipzig
Die Versicherungsforen Leipzig GmbH mit Sitz in Leipzig arbeiten seit dem Jahr 2000 arbeiten eng mit Wissenschaft und Praxis zusammen und widmen sich sowohl im Rahmen von Forschungs- und Entwicklungsprojekten, Studien und Marktanalysen als auch in verschiedenen Veranstaltungsformaten aktuellen Trends und Entwicklungen der Branche. (mb1)