Die aba hat am 24. September 2021 eine Stellungnahme anlässlich der BaFin-Konsultation für eine Novellierung des Rundschreibens Versicherungsaufsichtliche Anforderungen an die IT (VAIT) abgegeben.

Der Anwendungsbereich des VAIT-Rundschreibens 10/2018 bezieht sich gleichermaßen auf Versicherungsunternehmen und EbAV. Es enthält konkretisierende Verwaltungsvorschriften zu den einschlägigen Regelungen des VAG und behandelt dabei u.a. Fragen der IT-Strategie, der IT-Governance und des Informationsrisiko- bzw. des Informationssicherheitsmanagements.

Die inhaltliche Vorlage für die Änderungen des VAIT-Rundschreibens sind die EIOPA-Leitlinien „zu Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologie“ (BoS-20/600). Sie sollen, so EIOPA im Einleitungstext der Leitlinien, eine „Orientierungshilfe“ für die Anwendung der in der Solvency-II-Richtlinie „vorgesehenen Governance-Anforderungen im Zusammenhang mit Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologie“ bieten. Die BaFin sieht die Leitlinien aber offenbar als Maßstab für den gesamten Anwendungsbereich des VAIT-Rundschreibens an.

Die aba fordert in ihrer Stellungahme, dass mehr EbAV-spezifische Ausführungen und Beispiele in das Rundschreiben aufgenommen und dass andere, für EbAV nicht erfüllbare Anforderungen in der Formulierung entsprechend angepasst werden. Hierzu hat die aba in einer Tabelle konkrete Vorschläge gemacht. EbAV ohne eigene IT-Infrastruktur sollten sich darauf beschränken können, angemessene Ausgliederungsvereinbarungen zu schließen und im Weiteren das Outsourcing-Risiko gemäß den Bestimmungen des Kapitels 12 der MaGo für EbAV angemessen zu steuern. Dabei sollten insbesondere vorhandene IT-Sicherheitsstandards der Trägerunternehmen angemessen anerkannt werden, um unverhältnismäßige und v.a. unnötige Zusatzaufwendungen zu vermeiden.