BaFin: IT-Sicherheit – Rundschreiben der Versicherungsaufsicht veröffentlicht
Die BaFin hat das Rundschreiben zu den „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) veröffentlicht, das sie im Frühjahr konsultiert hatte.. Damit trägt sie der besonderen Bedeutung der Informationstechnik (IT) bei den Versicherungsunternehmen Rechnung.
Das Rundschreiben enthält Hinweise zur Auslegung der Vorschriften über die Geschäftsorganisation im Versicherungsaufsichtsgesetz (VAG), soweit sie sich auf die technisch-organisatorische Ausstattung der Unternehmen beziehen. Zentrales Ziel der VAIT ist es, der Geschäftsleitung der Unternehmen einen flexiblen und praxisnahen Rahmen für die Ausgestaltung der IT vorzugeben, insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement.
Das Rundschreiben findet Anwendung auf alle Versicherungsunternehmen und Pensionsfonds, die der Aufsicht der BaFin unterliegen. Es gilt nicht für Versicherungszweckgesellschaften im Sinne des § 168 VAG sowie die Sicherungsfonds i. S. d. § 223 VAG.
Das Rundschreiben adressiert Themenbereiche, die die BaFin derzeit als besonderes wichtig erachtet. Diese sind nach Regelungstiefe und -umfang nicht abschließender Natur. Jedes Unternehmen bleibt folglich auch jenseits der Konkretisierungen durch die VAIT verpflichtet, grundsätzlich auf gängige IT-Standards abzustellen sowie den Stand der Technik zu berücksichtigen.
Die prinzipienorientierten Anforderungen des Rundschreibens tragen dem Proportionalitätsprinzip Rechnung. Für Unternehmen, die dem Anwendungsbereich des Aufsichtssystems Solvency II unterliegen, bleiben die in den Mindestanforderungen an die Geschäftsorganisation (MaGo) enthaltenen Anforderungen unberührt.
Die VAIT sind modular aufgebaut. Dies ermöglicht es der BaFin, flexibel auf aktuelle Entwicklungen zu reagieren.
(Meldung BaFin vom 2.7.2018)