Die Veröffentlichung des novellierten Rundschreibens über „Versicherungsaufsichtliche Anforderungen an die IT (VAIT)“ wird voraussichtlich noch im ersten Quartal 2022 erfolgen. Die aba hatte sich im September 2021 mit einer Stellungnahme an der Konsultation zu dem im August 2021 veröffentlichten Konsultationsentwurf beteiligt. Die aba ist auch im Expertengremium IT der BaFin vertreten, wo die überarbeite Fassung Anfang Dezember 2021 diskutiert wurde.

Nach aktuellem Kenntnisstand wird das aktualisierte Rundschreiben zwei neue Kapitel enthalten. Kapitel 5 wird sich der „Operativen Informationssicherheit“ widmen. Die dort neu aufgenommenen Anforderungen orientieren sich an den „EIOPA-Leitlinien zu Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologie“ (ICT-Guidelines). Gleiches gilt für weitere Textänderungen in anderen Kapiteln, durch die aufsichtsrechtliche Anforderungen konkretisiert und teilweise auch erweitert werden sollen. Die Leitlinien waren von EIOPA im Oktober 2020 mit einem Anwendungsbereich allein für Solvency-II-Unternehmen veröffentlicht worden. Im Konsultationsprozess wurde jedoch deutlich, dass sie aus Sicht der BaFin überwiegend bereits bestehende aufsichtsrechtliche Erwartungen bezüglich der IT-Sicherheit beschreiben. Das zweite neue Kapitel (Kapitel 9) widmet sich dem IT-Notfallmanagement.

Nach aktuellem Kenntnisstand wird die BaFin keine Übergangsfrist für das Inkrafttreten nach der Veröffentlichung vorsehen, da das künftige Rundschreiben keine grundlegend neuen Anforderungen an Versicherungen und EbAV enthalte.

Ausblick: Das überarbeitete Rundschreiben wird für EbAV voraussichtlich keine langfristige Planungssicherheit in Bezug auf die aufsichtsrechtlichen Anforderungen an die IT-Sicherheit schaffen. Neue Anforderungen dürften mit Inkrafttreten der DORA-Verordnung über digitale Betriebssicherheit entstehen, zu dem das EU-Gesetzgebungsverfahren 2022 seinen Abschluss finden dürfte (vgl. Artikel zu diesem Thema).