Das IT-Management wird in die Pflicht genommen

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat mit den Mitte 2018 erlassenen Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) ihre Maßgaben an die Informations- und Kommunikationstechnik (IKT) von Versicherungsunternehmen und Pensionskassen konkretisiert. Das Papier schafft eine verbindliche Grundlage für das Management der IT und fordert eine angemessene Berücksichtigung gängiger Standards und des jeweiligen Standes der Technik. In der Konsequenz müssen Versicherer ihre IKT-Risiken aktiv steuern – ein entscheidender Entwicklungsschritt, weg von einer reinen Erfüllung aufsichtsrechtlicher Pflichtenkataloge. Unsere Experten unterstützen die Assekuranzen bei der effizienten und risikoorientierten Umsetzung neuer regulatorischer Anforderungen.

VAIT sollen die Cyberresilienz steigern

An der rechtlichen Grundlage der IT-Sicherheit bei Versicherungen hat sich durch die VAIT zunächst einmal nichts Grundlegendes geändert. Basis sind nach wie vor die IT-bezogenen Anforderungen des Versicherungsaufsichtsgesetzes (VAG) sowie die aufsichtsrechtlichen Mindestanforderungen an die Geschäftsorganisation von Versicherungen (MaGo). Die VAIT legen diese Vorschriften aber erstmals verbindlich aus.

Damit will die BaFin einerseits eine verbindliche Grundlage für das Management von IKT-Risiken schaffen und andererseits das Risikobewusstsein innerhalb der Unternehmen, aber auch nach außen gegenüber Dienstleistern schärfen. Dabei sind die Anforderungen der VAIT nicht abschließend zu betrachten – maßgeblich ist immer der aktuelle Stand der Technik und etablierte Industriestandards.

Der aktuelle Stand der eigenen IT ist mit den Anforderungen aus den VAIT abzugleichen. Unsere Experten für Versicherungs-IT haben einen VAIT-Check entwickelt, der dem IT-Management von Assekuranzen in kurzer Zeit einen Überblick über den Erfüllungsgrad und zu priorisierende Maßnahmen gibt. Dabei werden folgende Themenfelder betrachtet:

  • IT-Strategie
  • IT-Governance
  • IT-Risikomanagement
  • Informationssicherheitsmanagement
  • Operative Informationssicherheit
  • Identitäts- und Rechtemanagement
  • IT-Projekte und Anwendungsentwicklung
  • IT-Betrieb
  • Ausgliederungen
  • IT-Notfallmanagement
  • KRITIS

Langfristig müssen die Unternehmen ein schlüssiges, ständig anhand aktueller Anforderungen zu aktualisierendes IT-Sicherheitskonzept entwickeln. Dabei ist auch dem Thema Dienstleistermanagement angemessen Rechnung zu tragen. Denn künftig ist vor der Ausgliederung von IT-Dienstleistungen eine Risikoanalyse durchzuführen. Aber auch bereits bestehende Verträge gilt es, hinsichtlich der Risikosituation zu überprüfen und eventuell anzupassen. Um diesen Anforderungen gerecht zu werden, begleiten wir Sie gerne mit unserer langjährigen Expertise an Umsetzungsprojekten im Complianceumfeld.

Unser Leistungsangebot:

  • Beratungsleistungen vor Ort oder remote
  • Analyse der offenen Themengebiete
  • Risikoorientierte Priorisierung der Themenfelder
  • Unterstützung bei der Umsetzung

Bei jedem unserer Projekte verfolgen wir einen pragmatischen und praxistauglichen Ansatz.

Können wir Sie unterstützen?

 Tim Glenewinkel

Tim Glenewinkel

Manager

Kontakt
 Sebastian Scholz

Sebastian Scholz

Partner

Kontakt

Das könnte Sie auch interessieren

cysmo | Cyberrisikobewertung

Mit dem Analysetool cysmo® lässt sich das Cyberrisiko eines Unternehmens fundiert und in Echtzeit einschätzen. Die von dem Outside-in-Scanner gelieferten Daten sind leicht in den Underwriting-, Vertriebs- und Portfoliomanagementprozess integrierbar. cysmo® ist Branchenstandard und Marktführer in der deutschen Versicherungslandschaft.

Mehr erfahren

Changemanagement

Eine IT-Transformation ist mehr als nur der Austausch von Soft- und Hardware. Prozesse, Strukturen und vor allem die Mitarbeiter durchlaufen einen Transformationsprozess – hier ist ein dezidiertes Changemanagement gefragt. Unsere Experten können auf ihre Erfahrungen aus zahlreichen Transformationsprojekten zurückgreifen.

Mehr erfahren