Feedback

Gepostet am 01. Oktober 2021 von  Axel Becker, Senior Manager bei Severn Consultancy

VAIT-Novelle – neue Anforderungen sorgen für hohen Handlungsdruck in der Versicherungbranche

Die Konsultation des neuen Rundschreibens „Versicherungsaufsichtliche Anforderungen an die IT“ (VAIT) ist seit dem 24. September 2021 beendet. Da vergleichbar mit den BAIT und ZAIT keine Umsetzungsfristen erwartet werden, besteht aktueller und akuter Handlungsbedarf im Rahmen der projektseitigen Umsetzung. Inhaltlich sind brandaktuelle prüfungsrelevante Themen zeitnah umzusetzen.

Unser VAIT Compliance Paket – alles was Ihr Institut jetzt braucht

Die neuen VAIT enthalten einige wichtige, wesentliche und hoch prüfungsrelevante Highlights, die wir Ihnen gerne in unserem Webinar näherbringen wollen.


Zur Webinar-Anmeldung


EIOPA Leitlinien zu Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologie

In die neu überarbeitete Fassung der VAIT sind die im Oktober 2020 veröffentlichten „EIOPA Leitlinien zu Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologie“ (ICT-Guidelines) der Europäische Versicherungsaufsichtsbehörde (EIOPA) mit eingeflossen. Sie beinhalten für den Binnenmarkt vereinheitliche Anforderungen an das Management von Informationstechnik und Informationssicherheit für Versicherungs- und Rückversicherungsunternehmen (zusammen im Folgenden „Unternehmen“), welche in den Solvabilität-II Geltungsbereich fallen.

Best Practise Erkenntnisse der Aufsicht

Weiterhin wurden die aus der Prüfungspraxis hoch relevanten Anpassungen und Erkenntnisse (vorwiegend aus den BAIT) übernommen. Aus den ICT-Guidelines sind wichtige und prüfungsrelevante Erkenntnisse eingeflossen, um aktuellen Risiken der Unternehmen im Zusammenhang mit Informationsverarbeitung gerecht zu werden. Diskutiert wurde der erkannte Ergänzungs- und Aktualisierungsbedarf anschließend mit dem Expertengremium IT. Neben der Aufsicht sind auch kleine und große Unternehmen sowie Verbände aus dem Versicherungssektor im Expertengremium IT vertreten.

Hoch prüfungsrelevante Highlights

Die neuen VAIT enthalten einige wichtige wesentliche und hoch prüfungsrelevante Highlights wie:

  • Erweiterung der Elemente des Schutzbedarfs sowie ganzheitliche Betrachtung des Informationsverbunds im Sinne der gegenseitigen Abhängigkeiten (neuronales Netz), erweiterter Maßnahmenkatalog zur IT-Risikoreduzierung
  • Neue Erfordernis der neutralen Kontrolle der Schutzbedarfserhebung durch das InfoRisk (Second-Line)
  • Intensive Analyse der Bedrohungslage inkl. Bedrohungskatalog (zusätzliche Reportingpflicht), mehr Penetrationstests zur Sicherheit
  • Völlig neue Richtlinie über das Testen/ Überprüfen der Maßnahmen zur Informationssicherheit
  • Viel stärkere Sensibilisierung und Schulung zur Informationssicherheit (ganzheitliche Awareness)
  • Neue Prozesse für den Bereich operative IT-Sicherheit (Arbeitsanweisungen/ Handbuch/ Kontrollen/ technische SIEM-Lösungen)
  • Administratoren sind “High-Risk-Personen”, daher stärkere Admin-Trennung, Kontrollen und  Protokollierung
  • Weitere Verschärfung der Anforderungen Anwendungsentwicklung (Pentests, Dokumentation (Anwender/ Technik/ Betrieb)
  • Lebenszyklus- und Kapazitätssteuerung der IT-Systeme
  • Eigenes IT-Notfallmanagement mit regelmäßigen Tests der zeitkritischen Systeme und Verfahren (abgeleitet von BCM).

Neue Kapitel der VAIT

Mit den neuen Kapiteln zur operativen Informationssicherheit sowie zu dem Thema Notfallmanagement werden zudem neue inhaltliche Schwerpunkte gesetzt. Mit diesen ermittelten Ergänzungen, die in die VAIT Einzug finden sollen, sollen die neuen VAIT auch künftig den europäischen Anforderungen und Rahmenbedingungen gerecht.

VAIT-Umsetzungsprojekte

Der Umsetzungsdruck ist insgesamt sehr hoch, zumal das Umsetzungspaket für die Versicherungsunternehmen umfassend und anspruchsvoll ist und die IT eines der Schwerpunktthemen aktueller bankaufsichtlicher Sonderprüfungen darstellt. Weiterhin wird der Jahresabschlussprüfer bereits in der anstehenden Jahresabschluss-Prüfung die VAIT-Umsetzungsstände prüfen. 

Die VAIT beinhalten signifikante Anforderungen an die IT-Organisation der Versicherungen.

Regupedia unterstützt Sie beim regulatory Monitoring

Regupedia.de scannt jeden Tag rund 150 Websites, RSS-Feeds, Newsletter und sonstige Veröffentlichungen von rund 80 aufsichtsrechtlich relevanten Quellen. Soweit verfügbar, sind alle künftigen Rechtsakte bereits im Konsultationsstadium in Regupedia enthalten - im Sinne des Horizon Screening die entscheidende Voraussetzung, um sich auf künftige Regulierungen vorzubereiten Haben Sie Fragen hierzu? Dann kontaktieren Sie uns!

Regupedia-Kunden finden den Steckbrief zur VAIT hier. Alle Regularien im Blick mit unserer Timeline auch für Nicht-Kunden.


Zum Kontaktformular


Login 



Passwort vergessen?

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.