BaFin veröffentlicht Aktualisierung der VAIT

Die überarbeiteten "Versicherungsaufsichtlichen Anforderungen an die IT (VAIT)" sind am 03. März 2022 in Kraft getreten. Die vorherige Version des Rundschreibens vom 20. März 2019 tritt damit gleichzeitig außer Kraft.

Das "BaFin-Rundschreiben 10/2018 - Versicherungsaufsichtliche Anforderungen an die IT (VAIT) in der Fassung vom 03.03.2022" enthält Hinweise zur Auslegung der Vorschriften über die Geschäftsorganisation im Versicherungsaufsichtsgesetz (VAG), soweit sie sich auf die technisch-organisatorische Ausstattung der Unternehmen beziehen. Es legt diese Vorschriften für die BaFin verbindlich aus und gewährleistet hierdurch eine konsistente Anwendung gegenüber allen Unternehmen und Gruppen.

Gemäß BaFin wurden in der VAIT-Novelle keine grundlegend neuen Anforderungen aufgenommen, sondern bereits zuvor bestehende Anforderung konkretisiert. Übergangsfristen zur Umsetzung sind dementsprechend nicht vorgesehen.

Anpassungen, die mir aufgefallen sind:

• In der IT-Governance wird nun allgemein auf die Ressourcenausstattung Bezug genommen, d.h. personelle, finanzielle und sonstige Ressourcen, nicht mehr nur auf die Personalausstattung

• IT-Governance-Vorgaben sind nun regelmäßig durch die Innenrevision zu überprüfen

• Das Informationsrisikomanagement beziehen sich nun nicht mehr nur auf den IT-Betrieb

• Die Schutzbedarfsfeststellunbg hat durch die Fachbereiche zu erfolgen und wird durch die 2nd-Line Funktion im Informationsrisikomanagement überprüft

• Einführung einer Richtlinie über das Testen und Überprüfen der Maßnahmen zum Schutz der Informationssicherheit

• Neueinführung einer operativen Informationssicherheit (1-st Line) und von Regelungen zum Notfallmanagement

Weiterführende Informationen finden sich auf den Internetseiten der BaFin: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2018/rs_18_10_vait_va.html;jsessionid=E007C6AA1150462EBD9015797358AB1C.2_cid503