Sicherstellung der IT-Compliance

  • Auch zwei Jahre nach der Veröffentlichung der VAIT können viele Versicherer die regulatorischen Anforderungen nicht oder nicht zur vollen Zufriedenheit der BaFin erfüllen.
  • Versicherungen müssen sich daher selbstkritisch hinterfragen, wie sie in Hinblick auf die Erfüllung der Anforderungen aufgestellt sind.
  • Ein unabhängiges Review unter Einbezug von Erfahrungen des Markts und Benchmarkings gegen Best-Practice-Umsetzungen zeigt die eigene Situation auf.
     

Bild_Impulse_IT-Migrationsprojekte_unter_der_Lupe_1920x1080_1

Konforme Umsetzung der VAIT

Mit der Veröffentlichung der Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) wurde Mitte 2018 ein umfangreiches und komplexes Regelwerk publiziert, welches die Anforderungen des Versicherungsaufsichtsgesetzes (VAG), der aufsichtsrechtlichen Mindestanforderungen an die Geschäftsorganisation von Versicherungen (MaGo), des IT-Sicherheitsgesetzes (ITSG) und der Datenschutz-Grundverordnung (DSGVO) konkretisiert und die immer komplexer werdenden IT-Landschaften reguliert. Das Hauptaugenmerk liegt dabei auf den Bereichen IT-Strategie, IT-Governance, Informationssicherheits- und Informationsrisikomanagement, Berechtigungsmanagement, IT-Projekte und Entwicklung, IT-Betrieb sowie Auslagerung und IT-Fremdbezug.

Herausforderungen

Die Sicherstellung der IT-Compliance ist ein umfangreiches Vorhaben, bei dem verschiedenste Aspekte der IT betrachtet werden müssen. Die angemessene Umsetzung der VAIT (mehr als 70 Anforderungen mit teils hohem Umsetzungsaufwand) wurde von der BaFin ohne Übergangsfrist zu Mitte 2018 gefordert, allerdings können auch zwei Jahre nach der Veröffentlichung der VAIT die meisten Versicherer die regulatorischen Anforderungen nicht oder nicht zur vollen Zufriedenheit der BaFin erfüllen.

Der in 10/2020 veröffentlichte Bericht der BaFin zeigt einen weiterhin großen Handlungsbedarf vor allem in den Bereichen:

Informationsrisiko- und Informationssicherheitsmanagement, u. a. fehlende Mechanismen, um Informationsrisiken risikoorientiert zu steuern, und mangelnde Automatismen, um IT-Sicherheitsvorfälle rechtzeitig zu erkennen und ihnen entgegenzuwirken 

Berechtigungsmanagement, u. a. mangelnde Prozesse in der Berechtigungsvergabe und Durchführung der regelmäßigen Revalidierung eingeräumter Berechtigungen

Auslagerung und IT-Fremdbezug, u. a. Überwachung von externen Dienstleistern inkl. vorhergehender Risikoanalysen.

Versicherungen müssen daher selbstkritisch hinterfragen, wie das eigene Unternehmen in Hinblick auf die Erfüllung der Anforderungen aufgestellt ist. Ein Gesamtüberblick inklusive Konformitätscheck der bisher umgesetzten Maßnahmen liegt bei vielen Versicherern bisher nicht vor.

Fehlende Erfahrungswerte z. B. zu Prüfergebnissen der BaFin oder Best-Practice-Umsetzungen im Markt machen es häufig schwer, den Abgleich zwischen Soll und Ist zu verifizieren, und mögliche Versäumnisse werden erst bei einem Audit festgestellt – inkl. möglicher Konsequenzen. Spätestens für die nächste IT-Prüfung der BaFin (geplant für die Jahre 2021/2022) muss eine VAIT-Konformität sichergestellt werden.
 

Lösungen

Zur Sicherstellung der Compliance müssen alle Anforderungen der VAIT analysiert und in nötiger Detailtiefe von Fachexpertinnen und -experten, Abteilungs- und Bereichsleitungen sowie internen Auditorinnen und Auditoren gemeinsam besprochen werden. Es ist dabei dringend erforderlich, die Anforderungen an die IT genau zu verstehen und eine selbstkritische Analyse durchzuführen, wie das eigene Unternehmen diesbezüglich aufgestellt ist (teils prozessuale Ebene).

In der Praxis hat es sich bewährt, das eigene Review durch den Abgleich mit Erfahrungen des Markts (z. B. Ergebnisse bereits durchgeführter Audits) und durch ein Benchmarking gegen Best-Practice-Umsetzungen abzusichern.

Die identifizierten Handlungsfelder müssen anschließend weiter betrachtet werden, um entsprechende Maßnahmen zur Herstellung der IT-Compliance erarbeiten und zeitnah umsetzen zu können.

Dabei sind die Auswirkungen der Maßnahmen auf den operativen Betrieb während der Implementierung permanent zu hinterfragen. Es gilt, eine angemessene Vereinbarkeit zwischen den Anforderungen an und den aktuellen Entwicklungen in der IT herzustellen und das Proportionalitätsprinzip zu berücksichtigen. Die Installation eines zentralen Managements zur Aufbereitung der identifizierten Gaps und zur koordinierten Überwachung und Nachverfolgung aller Vorgänge ist dabei unumgänglich.
 

Leistungen

Das zeb-Leistungsangebot im Bereich Sicherstellung der IT-Compliance orientiert sich entlang unseres erprobten Vorgehensmodells zur Identifikation des Handlungsbedarfs und der Maßnahmenerarbeitung inkl. risikoorientierter Priorisierung und Umsetzung.

Das Augenmerk kann hierbei sowohl auf alle als auch auf nur einzelne IT-Bereiche gelegt werden. Mithilfe unserer Erfahrungen und langjährigeren Expertise bei Umsetzungsprojekten im Compliance-Umfeld unterstützen wir Sie gern:

- Vorbereitung einer Sonderprüfung mit einem Prüfungsschwerpunkt IT (u. a. VAIT)

- Friendly Audit und Umsetzungsprojekt im Rahmen von VAIT u. a. Erstellung und Einführung eines Informationssicherheitsmanagementsystems, Anpassung der IT-Governance getrieben durch regulatorische Anforderungen Aufbau und Optimierung des Auslagerungsmanagements, Aufbau und Optimierung eines internen Kontrollsystems (IKS)

- Implementierung eines Berechtigungsmanagements (Revalidierungsprozess, SOD, PAM)

- Cloud-Compliance-Assessments und Einführung einer unternehmensweiten Cloud-Governance etc.