BaFin konsultiert VAIT-Novelle
Die BaFin hat einen überarbeiteten Entwurf des Rundschreibens „Versicherungsaufsichtliche Anforderungen an die IT“ (VAIT) zur Konsultation gestellt. Der Entwurf ergänzt die Fassung vom 20.03.2019 um Aspekte der „EIOPA Leitlinien zu Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologie“ (ICT-Guidelines). Durch die Neuerungen sollen die VAIT den europäischen Anforderungen und Rahmenbedingungen gerecht werden. Die Anforderungen an Versicherungsunternehmen und Pensionsfonds werden entsprechend verschärft.
Gänzlich neu sind die beiden Kapitel „Operative Informationssicherheit“ und „IT-Notfallmanagement“. Aber auch in den bestehenden Kapiteln hat es zahlreiche Ergänzungen gegeben, die den Fokus insbesondere auf die Sicherheit von Informationen und IT-Systemen legen.
Operative Informationssicherheit
Damit Integrität, Verfügbarkeit, Authentizität sowie Vertraulichkeit von Daten innerhalb eines Unternehmens gewährleistet sind, bedarf es eines speziellen Informationssicherheitsmanagements. Die Anforderungen dieses Informationssicherheitsmanagements setzt die operative Informationssicherheit um. Unternehmen müssen „operative Informationssicherheitsmaßnahmen und Prozesse (…) implementieren“ und ihre IT-Systeme regelmäßig überprüfen und gegebenenfalls verbessern. Maßgebliche Kriterien sind der Schutzbedarf und potentielle Angriffsflächen.
Potentiell sicherheitsrelevante Informationen, die darauf hinweisen, dass die „Schutzziele“ verletzt werden könnten, sind angemessen zeitnah, regelbasiert und zentral (in der Regel durch automatisierte IT-Systeme) auszuwerten. Um anomale Aktivitäten und Bedrohungen zu erkennen, müssen Regeln definiert werden. Dieses Portfolio an Regeln ist vor Inbetriebnahme zu testen und regelmäßig sowie anlassbezogen zu überprüfen und weiterzuentwickeln. Durch die regelbasierte Auswertung potentiell sicherheitsrelevanter Informationen sollen sicherheitsrelevante Ereignisse identifiziert werden.
IT-Notfallmanagement
Wie erwartet hat die BaFin ein Kapitel zum IT-Notfallmanagement aufgenommen. Das IT-Notfallmanagement soll „in möglichen Notfallsituationen die Fortführung der Geschäftstätigkeit durch im Vorfeld definierte Verfahren“ gewährleisten. Als Beispiel für eine solche Notfallsituation nennt die BaFin u.a. den Ausfall eines Dienstleisters oder einer kritischen Anzahl von Mitarbeitern.
Die Geschäftsleitung trägt die Verantwortung für die Erstellung eines IT-Notfallkonzepts. Im Rahmen des IT-Notfallkonzepts sind IT-Notfallpläne zu erstellen. Zu diesem Zweck werden zeitkritische Aktivitäten und Prozesse identifiziert. Die Identifizierung erfolgt auf Grundlage einer Auswirkungsanalyse (Welche Folgen hätte eine Beeinträchtigung der Aktivitäten und Prozesse für den Geschäftsbetrieb?). In Verbindung mit einer Risikoanalyse (Welche potentiellen Gefährdungen bestehen, die eine Beeinträchtigung der zeitkritischen Geschäftsprozesse verursachen können?) müssen dann geeignete Maßnahmen für die Risikoreduzierung oder Widerherstellung der Prozesse entwickelt werden.
Die Wirksamkeit der Notfallpläne ist durch regelmäßige und anlassbezogene Notfalltests zu überprüfen. Zu diesem Zweck ist ein entsprechendes Testkonzept zu implementieren. Die Ergebnisse sind zu dokumentieren, zu analysieren und der Geschäftsleitung zu berichten.
Ferner müssen Unternehmen nachweisen, dass zeitkritische Aktivitäten und Prozesse bei Ausfall eines Rechenzentrums aus einem anderen ausreichend entfernten Rechenzentrum erbracht werden können.
Ergänzungen der bestehenden Kapitel
Auch in den bestehenden Kapiteln der VAIT hat es zahlreiche Änderungen, insbesondere Ergänzungen gegeben. Diese zielen im Kern ebenfalls auf die Aspekte der Informationssicherheit und die Sicherheit von IT-Systemen ab. Beispielhaft seien hier die folgenden Neuerungen genannt:
- Die Geschäftsleitung treffen weitergehende Pflichten. Neben der Verantwortung für die Umsetzung der IT-Strategie, hat sie nun zusätzlich die Pflicht, einen Prozess einzurichten, welcher dazu dient, die Umsetzung der Ziele der IT-Strategie zu messen, zu überwachen sowie zu beurteilen und gegebenenfalls anzupassen.
- Die Mindestinhalte der IT-Strategie wurden erweitert. Unter anderem müssen Abhängigkeiten von Dritten, wie beispielsweise Informations- oder Telekommunikationsdienstleistern, dargestellt und strategisch eingeordnet werden.
- Die Vorgaben zur IT-Governance sollen Bestandteil regelmäßiger Überprüfungen sein. Die verantwortlichen internen Revisoren müssen bezüglich IT hinreichend qualifiziert sein.
- Der Schutzbedarf für Bestandteile des Informationsverbundes ist regelmäßig und anlassbezogen zu ermitteln. Verantwortlich für die Ermittlung des Schutzbedarfs sind die Eigentümer der Informationen beziehungsweise die für Geschäftsprozesse verantwortlichen Fachbereiche. Die Ermittlung soll dokumentiert und durch das Informationsrisikomanagement überprüft werden.
- Bezüglich potentieller Bedrohungen und Schwachstellen des Informationsverbundes, hat sich das Unternehmen laufend zu informieren. Es muss nicht nur die Relevanz dieser potentiellen Risiken prüfen und die Auswirkungen dieser bewerten, sondern im Zweifelsfall auch entsprechende Maßnahmen zur Bekämpfung der Risiken ergreifen. Neben internen sollten hier auch externe Veränderungen wie z.B. Veränderungen der Bedrohungslage miteinbezogen werden.
- Die Anforderungen an die Informationssicherheitsleitlinie wurden konkretisiert. Zusätzlich verlangt die BaFin die Einführung einer Richtlinie über das Testen und Überprüfen der Maßnahmen zum Schutz der Informationssicherheit. Diese muss regelmäßig überprüft und gegebenenfalls angepasst werden. Personen, die die Maßnahmen zum Schutz der Informationssicherheit testen, haben eine ausreichende Qualifikation nachzuweisen.
- Für Informationssicherheit ist ein Sensibilisierungs- und Schulungsprogramm einzurichten. Dieses muss kontinuierlich und angemessen sein und zudem regelmäßig auf Aktualität und Angemessenheit hin überprüft werden.
Fazit
Der Entwurf der VAIT-Novelle setzt neue Schwerpunkte und ist vor allem auf die Sicherheit von Informationen und IT-Systemen fokussiert. Für die Unternehmen bedeutet dies erhöhte Anforderungen an die Organisation sowie an die Geschäftsleitung und die Qualifikation des Personals. Damit dienen die Neuerungen dem Ziel der ICT-Guidelines, eine tiefergehende Auseinandersetzung der Finanzinstitute mit der Überwachung und dem Management von IKT-Risiken (IKT= Informations- und Telekommunikationstechnologien) und Sicherheitsrisiken zu erreichen.
Bis zum 24.09.2021 haben Unternehmen und Verbände nun Gelegenheit zur Novellierung der VAIT Stellung zu nehmen. Die Stellungnahmen sollen auf der Website der BaFin veröffentlicht werden.