normal keine LG

IT-Sicherheit: Neues VAIT-Rundschreiben der BaFin seit 3. März 2022 in Kraft

11.03.2022

Neben Änderungen und Ergänzungen bestehender Inhalte enthält das Rundschreiben zwei neue Kapitel. Kapitel 5 widmet sich der „Operativen Informationssicherheit“, Kapitel 9 dem „IT-Notfallmanagement“.

Insbesondere die Inhalte zur operativen Informationssicherheit, aber auch weitere Änderungen und Ergänzungen bestehender Inhalte des Rundschreibens orientieren sich an den „EIOPA-Leitlinien zu Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologie“ (ICT-Guidelines). Diese Leitlinien waren von EIOPA im Oktober 2020 mit einem Anwendungsbereich allein für Solvency-II-Unternehmen veröffentlicht worden.

Im Konsultationsprozess für die Novellierung des VAIT-Rundschreibens wurde deutlich, dass sie aus Sicht der BaFin überwiegend bereits bestehende aufsichtsrechtliche Erwartungen bezüglich der IT-Sicherheit auch für EbAV beschreiben.

Zum neuen VAIT-Rundschreiben hat sich inzwischen eine AG aus Mitgliedern des FA Digitalisierung und zahlreichen EbAV-Vertretern gebildet, die sich in den nächsten Wochen insbesondere mit der Frage befassen wird, wie EbAV (VAIT-Anwender) im Sinne des BaFin-Anschreibens die sich ihnen bietenden „Gestaltungsspielräume“ aktiv nutzen könnten. Herr Paßmann wird die Ergebnisse in seinen Vortrag auf der aba-Jahrestagung am18. Mai 2022 einfließen lassen.

Regulatorischer Ausblick: Die aufsichtsrechtlichen Anforderungen an die IT-Sicherheit werden sich auch in Zukunft weiterentwickeln. Neue Anforderungen dürften mit Inkrafttreten der geplanten DORA-Verordnung über digitale Betriebssicherheit entstehen, zu der das EU-Gesetzgebungsverfahren noch im Laufe des Jahres 2022 abgeschlossen werden könnte.