BaFin setzt IKT-Leitlinien der EIOPA um – Was Versicherungen beachten sollten
22.07.2021 – Neben den „Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) setzt die BaFin die Aspekte der Leitlinien der EIOPA (European Insurance and Occupational Pensions Authority) um. Ziel ist es, die Anforderungen, Fragen und regulatorische Praktiken europaweit einheitlich, effizient und wirksam zu gestalten. Was Sie hierzu wissen und beachten müssen, lesen Sie hier.
Die BaFin plant aktuell, alle Aspekte der EIOPA-Leitlinien, welche noch nicht hinreichend bzw. vollständig umgesetzt sind, in die anstehende VAIT-Novelle miteinfließen zu lassen. Fokus der EIOPA-Leitlinien sind insbesondere die Aspekte IT, Informationssicherheit, Cyber-Security und das IT-Notfallmanagement. Ein wesentliches To-do für Versicherungsunternehmen stellt somit der Abgleich der Ist-VAIT-Anforderungen gegen die Soll-IKT-Anforderungen dar, wobei die in den EIOPA-Leitlinien definierten Anforderungen als eine Art Mindeststandard anzusehen sind.
Hintergrund
Die EIOPA veröffentlicht als Agentur der Europäischen Union zur Finanzmarktaufsicht aufsichtliche Leitlinien und Empfehlungen mit dem Ziel, innerhalb des Europäischen Finanzaufsichtssystems (ESFS) kohärente, effiziente und wirksame Aufsichtspraktiken zu schaffen und eine gemeinsame einheitliche Anwendung des Unionsrechts sicherzustellen.
Am 12. Oktober 2020 veröffentlichte die EIOPA die finalen Leitlinien zur Sicherheit und Governance von Informations- und Kommunikations-Technologien (ITK). Darin sind u. a. die Regulierungsanforderungen aus der Solvency II-Richtlinie (2009/138/EG) und der Delegierten Verordnung (DVO 2015/35) im Rahmen operationeller Risiken der IKT-Sicherheit und Governance präzisiert und Auslegungskommentare hinterlegt.
Das Ziel der Leitlinien ist die Herstellung von Klarheit und Transparenz über erwartete Mindestinformationen, Cybersicherheitsfunktionen und die Vermeidung von Aufsichtsarbitrage. Es soll insgesamt ein aufsichtlich angemessenes und einheitliches IKT- und Sicherheitsrisikomanagement gefördert werden.
Neue und konkretere Anforderungen
Grundsätzlich orientieren sich die IKT-Leitlinien thematisch an vielen Bereichen, die bereits aus der VAIT der BaFin und dem IT-Sicherheitsgesetz bekannt und bei den Versicherungsunternehmen etabliert sind.
Festzuhalten ist jedoch, dass inhaltlich nur wenige IKT-Anforderungen vollständig durch die Anforderungen der aktuellen VAIT abgedeckt sind. Oftmals gehen die EIOPA-Anforderungen über die bestehenden Regelungen, Strukturen, Prozesse und Kontrollen hinaus.
Im Vergleich zur VAIT gibt es zusätzlich mit der Kategorie bzw. dem Themengebiet Revision weitere IKT-Anforderungen an die Interne Revision, die stärker hinsichtlich Häufigkeit und Schwerpunktsetzung Themen des IT-Bereichs einfordern.
Daneben etablieren weitere IKT-Anforderungen ein gänzlich neues Anforderungsprofil an das Notfallmanagement, welches auch im Rahmen der Überarbeitung der VAIT als „neues“ Modul (analog der Einführung bei der BAIT) erwartet wird.
Comply-or-Explain-Verfahren
Aufsichtsbehörden der Mitgliedstaaten müssen nach Veröffentlichung von EIOPA-Leitlinien oder -Empfehlungen innerhalb von zwei Monaten darüber informieren, ob sie diesen nachkommen oder nachzukommen beabsichtigen. Für den Fall der Nichtberücksichtigung bzw. Nichtumsetzung müssen die Aufsichtsbehörden der Mitgliedsstaaten dies der EIOPA unter Angabe von Gründen mitteilen. Dieser Prozess wird als Comply-or-Explain-Verfahren bezeichnet.
Die BaFin hat sich für die Anwendung und Umsetzung der IKT-Leitlinien ausgesprochen, sodass die Anforderungen an die IT, Informationssicherheit, Cyber Security sowie das IT-Notfallmanagement für deutsche Versicherungsunternehmen verpflichtend sind.
Unsere Empfehlung
Durch einen Abgleich der Anforderungen der Ist-VAIT gegen Soll-IKT identifizieren Sie potenzielle Lücken und können diese zielgerichtet lösen. Hierbei können Sie auf vorhandene Erfahrungswerte aus den bereits stattgefundenen VAIT-Aktivitäten, -Prüfungen und -Umsetzungen zurückgreifen.
Bei Mazars bieten wir Ihnen eine Vielzahl von Prüfungs- und Beratungsleistungen im Bereich VAIT und IKT, u. a.:
- VAIT-Compliance Check: Prüfung der Erfüllung der VAIT-Anforderungen inkl. Gap-Analyse
- Unterstützung bei der Konzeptionierung der Notfallplanung, des Berechtigungsmanagement und des Informationssicherheitsmanagements
- Übernahme der Funktion des Informationssicherheitsbeauftragten bei Versicherungen (“CISO-as-a-Service")
- Implementierung und Optimierung von VAIT-Prozessen, -Kontrollen und Organisationsstrukturen
- Abgleich von Ist-VAIT- und EIOPA Soll-IKT-Anforderungen
Haben Sie Fragen oder weiteren Informationsbedarf?
Kontakt
