Stellungnahmen
IT-Sicher­heit

VAIT: Unter­neh­men brau­chen Hand­lungs­spiel­raum

Die IT-Sicherheit ist ein wesentlicher Grundpfeiler des Geschäftsmodells von Versicherungsunternehmen in Deutschland. Mit den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) plant die BaFin, neue Vorgaben zu schaffen, die jedoch nicht zwingend die IT-Sicherheit erhöhen und lediglich weitere bürokratische Hemmnisse für die Unternehmen manifestieren.

Dies ist nicht zuletzt darauf zurückzuführen, dass neben den bereits existierenden Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) ohne ersichtlichen Grund weitere aufsichtsbehördliche Vorgaben für einen speziellen Bereich innerhalb der Unternehmen geschaffen werden. Ein solches Vorgehen ist grundsätzlich abzulehnen. Denn es trägt zu einer Unübersichtlichkeit und Inkongruenz der aufsichtsbehördlichen Äußerungen zur Geschäftsorganisation von Versicherungsunternehmen bei.

Jedenfalls muss sowohl unter Wettbewerbs- als auch unter Kostenaspekten der zu erwartende Aufwand für die Umsetzung der VAIT in Unternehmen in einem angemessenen Verhältnis zum Aufsichtsziel stehen. IT-Sicherheitsanforderungen und damit in Zusammenhang stehende Pflichten gegenüber der BaFin dürfen nicht zu einer Überforderung der Unternehmen führen. Aus Sicht der deutschen Versicherungswirtschaft sind daher folgende Nachbesserungen in den VAIT notwendig: 

  • Vermeidung von Doppelregulierung und redundanten Berichtspflichten beispielsweise zum IT-Sicherheitsgesetz. Hierzu ist eine stärkere Verzahnung der Behörden und Vorschriften notwendig.
  • Konsequente Anwendung des Proportionalitätsprinzips mit dem Ziel, den Verwaltungsaufwand für die Unternehmen mit nachweislich einfachem Risikoprofil gering zu halten. Die VAIT müssen flexibel umsetzbar sein und auch ausdrücklich die Nichtanwendung von einzelnen Anforderungen vorsehen.
  • Kritikalität, Wesentlichkeit und Versicherungsbezug als Maßstab für die VAIT heranziehen. Es sollten nur Informationen erfasst werden, die maßgeblich für die Bewertung tatsächlicher IT-Risiken für die Versicherungswirtschaft sind.
  • Ressortteilige Arbeitsweise der Geschäftsleitung beibehalten. Eine Einbindung der gesamten Geschäftsleitung bei allen IT-Fragen sehen wir als zu weitreichend an.
  • Praxisnahe Lösungen für Individuelle Datenverarbeitung (IDV) ermöglichen. Nicht jede IDV-Anwendung stellt ein IT-Sicherheitsrisiko dar und sollte daher auch nicht als solches behandelt werden.
  • Vorschriften für IT-Ausgliederungen im Einklang mit Unternehmenspraxis und bestehenden Rechtsvorschriften gestalten. Anforderungen an Ausgliederungen dürfen im Bereich der IT nicht weitreichender sein als gesetzlich vorgesehen. 

Den Unternehmen sollte der notwendige Handlungsspielraum erhalten bleiben, ihre IT nach risiko- und geschäftsbezogenen Kriterien individuell passgenau zu organisieren. 

 

Zur Startseite