metaminds-vait

VAIT-Novelle 2021: Neue Wegmarken im Regulierungsdschungel

Dr. Anja Zimmer - metaMind
Expertin für Regulatorik
Mehr erfahren

Die BaFin hat die VAIT (Versicherungsaufsichtliche Anforderungen an die IT) überarbeitet und führt dazu eine Konsultation durch. Bis zum 24. September 2021 können Stellungnahmen abgegeben werden. Auf Versicherer kommen dadurch neue Hausaufgaben zu. Dabei sind die vorigen Anforderungen noch nicht komplett umgesetzt. Wir bringen Licht in den Regulierungsdschungel und zeigen, wo vordringlicher Handlungsbedarf besteht.

Regulatorik boomt! IT-Sicherheit und Betriebsstabilität liegen im Fokus, die Politik treibt das Thema seit Jahren. So sieht die EU-Initiative zu Digital Finance unter anderem vor, die Rahmenbedingungen der digitalen betrieblichen Widerstandsfähigkeit von Unternehmen im Finanzsektor bis zum kommenden Jahr zu harmonisieren – Schlagwort: Digital Operational Resilience Act (DORA). Und mit den EIOPA-Leitlinien über Sicherheit und Governance im Bereich IKT (Informations- und Kommunikationstechnologien) wurde auch die nationale VAIT überarbeitet.

Im Fokus steht die IT-Sicherheit und Betriebsstabilität besonders von Unternehmen im Finanzsektor zu harmonisieren (Quelle: AdobeStock /Sunny studio).

Die Entwicklung vollzieht sich nicht ohne Grund. Einerseits wird IT für Geschäfts- und Organisationsmodelle immer wichtiger, andererseits nehmen Angriffe und damit die Risiken immer weiter zu. Im aktuellen Risikobarometer der Allianz (2021) wurde Cybersecurity von der Pandemie zwar auf Platz 3 verwiesen – das ändert aber nichts an der grundsätzlichen Bedeutung der Informationssicherheit. Sie wirkt sich auch auf das Top-Risiko der Betriebsunterbrechung aus.

VAIT: „Noch Luft nach oben“

Weiterhin besteht Handlungsbedarf! Denn die BaFin-Prüfungen in den Jahren 2019 und 2020 haben gezeigt, dass bei der Umsetzung der VAIT „noch Luft nach oben“ ist.

Im Allgemeinen ist die Norm in 15 Abschnitte mit folgenden Themen unterteilt:

  • Im Informationsrisiko- und Informationssicherheitsmanagement gab es schwerwiegende Feststellungen, darunter unzureichende interne Prozesse für das Erkennen und Bewerten von Informationsrisiken sowie fehlende Automatismen, um IT-Sicherheitsvorfälle schnell zu erfassen.
  • Im Berechtigungsmanagement mangelte es in vielen Unternehmen an Vorgaben zur Vergabe neuer und zur regelmäßigen Überprüfung bestehender Berechtigungen. Benutzer- und Zugriffsrechte konnten daher nicht angemessen überwacht und gesteuert werden.
  • Externe Dienstleister müssen besser überwacht werden. In vielen Fällen wurde keine Risikoanalyse durchgeführt, sodass die Unternehmen keine Transparenz über die eingegangenen Risiken extern bezogener IT-Dienstleistungen besaßen.

Neben der Definition von Schutzmaßnahmen und Sicherheitsstrategien soll die IT-Sicherheit gestärkt werden, um zukünftig Risiken entgegenzuwirken (Quelle: AdobeStock /alfa27).

Die geplanten Neuerungen der VAIT greifen diese Erkenntnisse der BaFin auf. So legt die Behörde künftig noch mehr Wert auf einen gesamtheitlichen Ansatz bei der IT-Sicherheit. Das neue Regelwerk wird dahingehend ergänzt, dass Versicherer neben der Formulierung von Sicherheitsstrategien und -leitlinien sowie der Definition von Schutzmaßnahmen auch entsprechende Prozesse etablieren müssen, um sowohl Maßnahmen als auch deren Anpassung regelmäßig zu überprüfen.

Operationelle Widerstandsfähigkeit

Mit den beiden neuen Kapiteln zur „Operativen Informationssicherheit“ und zum „IT-Notfallmanagement“ sollen IT-Sicherheitsmaßnahmen adäquat umgesetzt und die Betriebsstabilität aufrecht erhalten werden. Hierbei verlangt die BaFin auch eine stärkere Einbeziehung der IT-Dienstleister. So müssen bei der Festlegung der Bestandteile des Informationsverbundes auch deren Abhängigkeiten und Schnittstellen zu Dritten berücksichtigt werden. Das hat unmittelbare Auswirkungen auf das IT-Notfallmanagement, aber auch auf andere Anwendungsbereiche der VAIT, beispielsweise beim Schutzbedarf sowie für die Vergabe von Benutzerberechtigungen.

Handlungsbedarf: automatisierte Maßnahmen

Der Handlungsbedarf hängt maßgeblich vom Reifegrad der IT-Risiko- und IT-Sicherheitsmaßnahmen einer Organisation ab. In Beratungsprojekten zu den vorherigen VAIT-Anforderungen hat sich schon gezeigt, dass Versicherer auf eine toolbasierte Unterstützung beziehungsweise Automatisierung der geforderten Maßnahmen setzen sollten. Andernfalls sind die Anforderungen an regelbasierte Auswertungen von großen Datenmengen sowie die Frequenz und Detailtiefe von Kontrollmaßnahmen nur schwer umsetzbar. Dass sich dies künftig wieder ändern wird, ist nicht zu erwarten.

Um nicht ins Schaukeln zu kommen, hat sich gezeigt, dass Versicherer auf eine toolbasierte Unterstützung setzen sollten (Quelle: AdobeStock/alphaspirit).

Auch die zentrale Stellung eines integrierten Managements für Informationsrisiken (IS und IT) in der „First Line of Defense“ ist unserer Erfahrung nach eine konsequente Schlussfolgerung aus den VAIT-Anforderungen. Werden Risiken in der Informationssicherheit getrennt von IT-Aspekten betrachtet, führt dies zu einer verzerrten Sicht auf die ganzheitliche IT-Risikolandschaft. Den Fokus sehen wir auch hier in der Mitigation und Nachverfolgung der gemanagten Risiken in der „First Line of Defense“ mittels eines automatisierten Ansatzes.

VAIT: Auch im eigenen Interesse

Das Risikobarometer der Allianz zeigt, dass Cyber-Bedrohungen und Betriebsunterbrechungen zu den Top-Geschäftsrisiken zählen. Für Versicherer besteht daher auch losgelöst vom regulatorischen Druck ein großes Interesse, geeignete Maßnahmen zu ergreifen, um für die Sicherheit ihrer IT-Systeme und digitale Betriebsstabilität zu sorgen. Die VAIT liefert hierfür nicht nur einen Impuls, sondern den von der BaFin geforderten Rahmen, um notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen.

Benötigen Sie ein Navi für den Regulierungsdschungel? In unserem aktuellen Whitepaper zur VAIT-Novelle 2021 haben wir die wichtigsten Informationen für Sie zusammengestellt.

Quelle Titelbild: AdobeStock/be free

Dr. Anja Zimmer - metaMind
Expertin für Regulatorik
Mehr erfahren

Weitere Beiträge

Risk & Security

Messenger-Security-Check: Wie sicher sind die täglichen Begleiter?

Weiterlesen
Human & Relations

Warum Meinungsvielfalt eine Chance ist

Weiterlesen
Agile & Organisation

Agiles Powerplay

Weiterlesen

Kommentieren

Diesen Beitrag teilen

Alle Beiträge von
Risk & Security