In der Oktober 2020 Ausgabe des BaFin Journal fasst die Aufsicht erste Ergebnisse und Erkenntnisse der vergangenen VAIT-Prüfungen zusammen

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 15.10.2020 die aktuelle Fassung des BaFin Journals veröffentlicht. In dieser Ausgabe vermittelt die Aufsicht ihre Eindrücke und Ergebnisse aus den vergangenen VAIT-Prüfungen, und erwähnt bereits Schwerpunkte für die nächsten BaFin-Prüfungen im Versicherungsumfeld.

Im Rahmen der vergangenen VAIT-Prüfungen hat die Aufsicht festgestellt, dass kein Unternehmen im Prüfungsverlauf eine vollumfängliche VAIT-Konformität vorweisen konnte. Insbesondere in den Themenbereichen Informationsrisiko- und Informationssicherheitsmanagement wurden schwerwiegende Mängel festgestellt. Hierbei besteht beispielsweise erhöhter Handlungsbedarf bei der Etablierung und Umsetzung interner Kontrollmaßnahmen zur umfangreichen Identifikation von Informationsrisiken.

Weitere beispielhafte Themenbereiche mit deutlichen Verbesserungsbedarfen:

  • Die Erkennung von IT-Sicherheitsvorfällen dauert aufgrund mangelnder automatisierter Erkennungsmechanismus i.d.R. länger und deckt nicht alle relevanten IT-Komponenten ab. Bei einem Großteil der auditierten Unternehmen wurden wichtige Softwareanwendungen und Hardwarekomponenten nicht in das IT-Sicherheitsvorfallsmanagement integriert, was die Risikoexposition stark erhöht.
  • Bei dem Benutzerberechtigungsmanagement bestehen deutliche Verbesserungsbedarfe hinsichtlich der Rezertifizierung von Berechtigungen, welche erst eine entsprechende Überwachung und Steuerung ermöglicht. Darüber hinaus lagen bei mehr als der Hälfte der geprüften Unternehmen keine Vorgaben zur Berechtigungsvergabe vor.
  • Die Überwachung von IT-Dienstleistern muss umfassender werden. Insbesondere bei Dienstleistungen, die nicht vom aufsichtsrechtlichen Ausgliederungsbegriff erfasst werden, wurde oftmals keine vorhergehende Risikoanalyse durchgeführt.

Bezugnehmend auf die fortwährende Digitalisierung des Versicherungsgeschäfts und die Inanspruchnahme von Cloud-basierten Lösungen erkennt die BaFin eine Diskrepanz. In der Versicherungsindustrie besteht eine klare Tendenz, Speicher- und Rechenleistungen vermehrt in die Cloud zu verlagern, während Geschäftsprozesse weitestgehend in-house verbleiben – dahingehend stellt die Aufsicht intensivere Prüfungen im Umgang mit Ausgliederungen und der Kontrolle externer Dienstleister in Aussicht.

Die BaFin erwartet von allen Unternehmen die VAIT komplett umzusetzen und kündigt weiter Neu- und Nachschauprüfungen für 2021/2022 an.

Mit den Erkenntnissen aus der Unterstützung dieser bisher durchgeführten Bafin-Prüfungen, unterstützen wir Versicherer mit unserem Risk Assurance Team um Rüdiger Giebichenstein in Ihren VAIT-Projekten.

 

Sie wollen sich mit uns zur Umsetzung der VAIT und Erkenntnissen aus aufsichtlichen Prüfungen austauschen?

Gerne stehen Ihnen unsere Experten von PwC für alle VAIT-Themen jederzeit zur Verfügung, um alle relevanten Anforderungen für die angekündigten BaFin-Prüfungen 2021/2022 proaktiv zu beleuchten und Handlungsmaßnahmen frühzeitig zu anzugehen.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.