An der rechtlichen Grundlage der IT-Sicherheit bei Versicherungen hat sich durch die VAIT zunächst einmal nichts Grundlegendes geändert. Basis sind nach wie vor die IT-bezogenen Anforderungen des Versicherungsaufsichtsgesetzes (VAG) sowie die aufsichtsrechtlichen Mindestanforderungen an die Geschäftsorganisation von Versicherungen (MaGo). Die VAIT legen diese Vorschriften aber erstmals verbindlich aus.
Damit will die BaFin einerseits eine verbindliche Grundlage für das Management von IKT-Risiken schaffen und andererseits das Risikobewusstsein innerhalb der Unternehmen, aber auch nach außen gegenüber Dienstleistern schärfen. Dabei sind die Anforderungen der VAIT nicht abschließend zu betrachten – maßgeblich ist immer der aktuelle Stand der Technik und etablierte Industriestandards.
Der aktuelle Stand der eigenen IT ist mit den Anforderungen aus den VAIT abzugleichen. Unsere Experten für Versicherungs-IT haben einen VAIT-Check entwickelt, der dem IT-Management von Assekuranzen in kurzer Zeit einen Überblick über den Erfüllungsgrad und zu priorisierende Maßnahmen gibt. Dabei werden folgende Themenfelder betrachtet:
- IT-Strategie
- IT-Governance
- IT-Risikomanagement
- Informationssicherheitsmanagement
- Operative Informationssicherheit
- Identitäts- und Rechtemanagement
- IT-Projekte und Anwendungsentwicklung
- IT-Betrieb
- Ausgliederungen
- IT-Notfallmanagement
- KRITIS
Langfristig müssen die Unternehmen ein schlüssiges, ständig anhand aktueller Anforderungen zu aktualisierendes IT-Sicherheitskonzept entwickeln. Dabei ist auch dem Thema Dienstleistermanagement angemessen Rechnung zu tragen. Denn künftig ist vor der Ausgliederung von IT-Dienstleistungen eine Risikoanalyse durchzuführen. Aber auch bereits bestehende Verträge gilt es, hinsichtlich der Risikosituation zu überprüfen und eventuell anzupassen. Um diesen Anforderungen gerecht zu werden, begleiten wir Sie gerne mit unserer langjährigen Expertise an Umsetzungsprojekten im Complianceumfeld.
