BaFin ergänzt die VAIT um ein KRITIS-Modul

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 20. März 2019 die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) um ein KRITIS-Modul ergänzt.

Die Neuerung ist relevant für alle Versicherungsunternehmen, welche Betreiber kritischer Infrastrukturen (KRITIS) im Sinne des § 8a BSI-Gesetz sind.

Hintergrund

Mit der BSI-Kritisverordnung vom 22. April 2016 (BSI-Gesetz) beabsichtigt der Gesetzgeber die IT-Infrastrukturen deutscher Unternehmen sicherer zu gestalten und somit das Vertrauen in die Betreiber dergleichen zu stärken. Das BSI veröffentlichte bereits am 21. Juni 2017 die erste Verordnung zur Änderung der BSI-Kritisverordnung. In der Änderungsverordnung wurden die kritischen Dienstleistungen für die Versicherungsbranche (Leben, Komposit, Kranken) und die entsprechenden Schwellenwerte definiert. Die Versicherungsunternehmen mussten in der Folge eigenständig ermitteln, ob die relevanten branchenspezifischen Schwellenwerte überschritten werden und damit die Anforderungen des BSI-Gesetzes umgesetzt werden müssen. Eine Betroffenheit hat zur Folge, dass die Versicherungsunternehmen dem BSI gegenüber alle zwei Jahre die Umsetzung der IT-Sicherheit nach dem „Stand der Technik“ nachweisen müssen. Der erste Nachweis ist dem BSI bereits bis zum 30. Juni 2019 vorzulegen.

KRITIS-Modul

Das KRITIS-Modul hat ein eigenes Kapitel (Kapitel 9) innerhalb der VAIT erhalten. Die Widmung eines eigenen Kapitels untermauert den Stellenwert und die Relevanz des KRITIS Themas für die BaFin. Für die Betreiber kritischer Infrastrukturen werden in dem Kapitel Anforderungen beschrieben, um den Nachweis gemäß § 8a Absatz 3 BSI-Gesetz auf Basis der VAIT zu erbringen. So definiert die BaFin beispielsweise, dass die Anforderungen der VAIT für alle informationstechnischen Systeme, Komponenten oder Prozesse der kritischen Infrastrukturen umgesetzt und in einer Prüfung komplett abgedeckt werden müssen.

Bedeutung für Versicherungsunternehmen

Als Betreiber kritischer Infrastrukturen sind die betroffenen Versicherungsunternehmen in der Folge nicht nur dem BSI gegenüber verpflichtet die Umsetzung der IT-Sicherheit nach dem „Stand der Technik“ gemäß § 8a BSI-Gesetz nachzuweisen, sondern fortan auch der BaFin gegenüber. Mit der Aufnahme des KRITIS-Moduls in die VAIT müssen die Betreiber kritischer Infrastrukturen nun ebenfalls bei BaFin-Prüfungen damit rechnen, dass sich die Prüfer den Nachweis gemäß § 8a Absatz 3 BSI-Gesetz anschauen und bewerten werden. Im KRITIS-Modul heißt es weiterhin, dass der Nachweis unter Hinzuziehung einer geeigneten prüfenden Stelle zu erbringen ist und durch Prüfungen (beispielsweise durch ergänzende Prüfungen im Rahmen der Jahresabschlussprüfung) erfolgen kann. Für Versicherungsunternehmen bedeutet dies, dass ein besonderes Augenmerk auf die Nachweiserbringung und Erfüllung des § 8a Absatz 3 BSI-Gesetz gelegt werden muss, um den Ansprüchen der BaFin und des BSI gerecht zu werden.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */