„IT-Sicherheit bei EbAV“: Geplantes Rundschreiben VAIT, Sonderabfrage
04.12.2017
Nachdem die BaFin am 6. November 2017 die Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht hatte, wird seit Mitte November 2017 im Rahmen von BaFin-Workshops der erste BaFin-RS-Entwurf für Versicherungsaufsichtliche Anforderungen an die IT (VAIT-RS-E) diskutiert. Die EbAV sind – wie politisch gewollt und bereits vor Monaten angekündigt - explizit in den Anwendungsbereich einbezogen (Ziff. 2). Im Vorfeld des nächsten Workshops (22. Januar 2018) soll ein überarbeiteter Entwurf vorgelegt werden. Nach einer öffentlichen BaFin-Konsultation wird das VAIT-RS voraussichtlich Mitte 2018 veröffentlicht.
Die vorgesehenen Anforderungen im ersten Rundschreibenentwurf umfassen: IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Benutzerberechtigungsmanagement, IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen), IT-Betrieb (inkl. Datensicherung), Ausgliederungen von IT-Dienstleistungen und sonstige Dienstleistungsbeziehungen im Bereich IT-Dienstleistungen; isolierter Bezug von Hard- und/oder Software. Bei der Umsetzung der Anforderungen an die Geschäftsorganisation (auch Ausgestaltung von IT-Systemen und -Prozessen) soll das Proportionalitätsprinzip eine erhebliche Rolle spielen (Ziff. 6), ein „one-size-fits-all“-Ansatz soll nicht verfolgt werden. Die EbAV sind explizit in den VAIT-Anwendungsbereich einbezogen (Ziff. 2). Im Hinblick auf EbAV soll das Verständnis von Proportionalität der MaRisk VA (4-1 und 4-2) gelten.
Den BaFin-Handlungsbedarf sieht die BaFin durch die Erfahrungen aus Prüfungen (Unsicherheiten auf beiden Seiten) und ihre Sonderabfrage zum Thema Cybersicherheit, die die BaFin mit Frist 3. November 2017 durchgeführt hatte (BaFin-Meldung vom 14. August 2017), bestätig