Nachdem die BaFin am 6. November 2017 die Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht hatte, wird seit Mitte November 2017 im Rahmen von BaFin-Workshops der erste BaFin-RS-Entwurf für Versicherungsaufsichtliche Anforderungen an die IT (VAIT-RS-E) diskutiert. Die EbAV sind – wie politisch gewollt und bereits vor Monaten angekündigt - explizit in den Anwendungsbereich einbezogen (Ziff. 2). Im Vorfeld des nächsten Workshops (22. Januar 2018) soll ein überarbeiteter Entwurf vorgelegt werden. Nach einer öffentlichen BaFin-Konsultation wird das VAIT-RS voraussichtlich Mitte 2018 veröffentlicht. 

Die vorgesehenen Anforderungen im ersten Rundschreibenentwurf umfassen: IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Benutzerberechtigungsmanagement, IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen), IT-Betrieb (inkl. Datensicherung), Ausgliederungen von IT-Dienstleistungen und sonstige Dienstleistungsbeziehungen im Bereich IT-Dienstleistungen; isolierter Bezug von Hard- und/oder Software. Bei der Umsetzung der Anforderungen an die Geschäftsorganisation (auch Ausgestaltung von IT-Systemen und -Prozessen) soll das Proportionalitätsprinzip eine erhebliche Rolle spielen (Ziff. 6), ein „one-size-fits-all“-Ansatz soll nicht verfolgt werden. Die EbAV sind explizit in den VAIT-Anwendungsbereich einbezogen (Ziff. 2). Im Hinblick auf EbAV soll das Verständnis von Proportionalität der MaRisk VA (4-1 und 4-2) gelten.

Seitens der BaFin wird aufgrund der „Gemeinsamkeiten von Banken- und Versicherungssektor im Bereich IT“ ein inhaltlicher Gleichlauf mit dem BaFin-RS BAIT angestrebt. Die IT wird als wesentliches Risiko für die VU und EbAV angesehen. Der bisher diskutierte Entwurf der VAIT orientiert sich bislang in seinem Regelungsumfang und seiner Regelungsdichte – trotz Proportionalitätsprinzips – u.E. an großen Versicherungsunternehmen mit weitreichenden Organisationsstrukturen, u.a. eigenständigen IT-Abteilungen. Die Größe und die interne Organisation der EbAV sowie Art, Umfang und Komplexität ihrer Tätigkeiten unterscheiden sich u.E. erheblich von Finanzdienstleistungsunternehmen. So hat z.B. ein Teil der EbAV weder eigene Mitarbeiter noch eine eigenständig verwaltete IT-Infrastruktur. Dieser Unterschied sollte in angemessener Weise in der VAIT berücksichtigt werden. Der bisher geforderte Gesamtaufwand dürfte für sehr viele EbAV erheblich und unverhältnismäßig sein. Es muss gewährleistet werden, dass Unternehmenseinrichtungen die IT des Trägerunternehmens weiterhin ohne unverhältnismäßige und vor allem unnötige Zusatzaufwendungen nutzen können. Die aba hat hierzu eine Reihe konkreter Änderungsvorschläge gemacht.

Den BaFin-Handlungsbedarf sieht die BaFin durch die Erfahrungen aus Prüfungen (Unsicherheiten auf beiden Seiten) und ihre Sonderabfrage zum Thema Cybersicherheit, die die BaFin mit Frist 3. November 2017 durchgeführt hatte (BaFin-Meldung vom 14. August 2017), bestätig