normal keine LG

IT-Sicherheit im Fokus von BaFin, EIOPA und EU-Kommission

01.07.2021

Die aufsichtsrechtlichen Anforderungen an die IT von Versicherungsunternehmen und Einrichtungen der betrieblichen Altersversorgung (EbAV) befinden sich in anhaltendem Wandel, auf nationaler und europäischer Ebene.

Der maßgebliche Bezugspunkt für die Auslegung der einschlägigen VAG-Vorschriften ist in Deutschland das „VAIT-Rundschreiben“ 10/2018 der BaFin.

Eine für die Sommermonate 2021 erwartete Konsultation über den Entwurf eines überarbeiteten Rundschreibens ist bis Ende Juni 2021 ausgeblieben. Allerdings veröffentlichte die BaFin am 28.6.2021 eine Meldung, derzufolge sie die von EIOPA im Oktober 2020 veröffentlichten „Leitlinien zu Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologie“ sowohl für den Solvency-II-Bereich als auch für Einrichtungen der betrieblichen Altersversorgung „in ihrer Aufsichtspraxis anwende“. Die EIOPA-Leitlinie will – basierend auf Art. 16 der EIOPA-Verordnung – den nationalen Aufsichtsbehörden eine Orientierungshilfe zur den in der Solvency-II-RL 2009/138/EG vorgesehenen Governance-Anforderungen im Zusammenhang mit Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologie für Versicherungs- und Rückversicherungsunternehmen geben. Inhalt und Struktur der Leitlinie ähneln in einer vereinfachten Betrachtung den Abschnitten bzw. Kapiteln des VAIT-Rundschreibens.

In Bezug auf die Rechtswirksamkeit von Leitlinien sieht Art. 16 der EIOPA-VO 1094/2010 für die nationalen Aufsichtsbehörden den „Comply-or-Explain“-Mechanismus vor, auf den die BaFin jetzt mit einer „Compliance-Erklärung“ reagiert hat.

Mit Blick auf den im VAIT-Rundschreiben zum Ausdruck kommenden Ansatz der BaFin, Versicherungsunternehmen und EbAV in Bezug auf den Umgang mit IT-Risiken identisch zu behandeln, ist also auch ein breit angelegter Blick auf die vielfältigen europäischen Initiativen von EIOPA und EU-Kommission erforderlich. Letztere hat mit ihrem im September 2020 vorgelegten VO-Vorschlag über die Betriebsstabilität digitaler Systeme des Finanzsektors (auch bekannt als „DORA-regulation“) einen Entwurf für ein sektorübergreifendes Regelwerk vorgelegt, das für nahezu den gesamten Finanzsektor Anwendung finden soll. Die Beratungen zu diesem VO-Vorschlag im Rat dauern noch an, ein Berichtsentwurf des federführenden ECON-Ausschusses im Europäischen Parlament liegt seit März 2021 vor.