Sehr geehrte Damen und Herren,

die Novellierung des Rundschreibens „Versicherungsaufsichtliche Anforderungen an die IT“ (VAIT) ist abgeschlossen. Vielen Dank für Ihr Mitwirken durch Ihre schriftlichen Rückmeldungen im Rahmen der öffentlichen Konsultation sowie durch die konstruktive Mitarbeit im Expertengremium IT. Ich freue mich, Ihnen nun die finale Fassung der VAIT vorlegen zu können.

Vor dem Hintergrund der Überarbeitung möchte ich betonen, dass auch die Anforderungen der VAIT weiterhin unter Berücksichtigung des Proportionalitätsprinzips zu verstehen und somit auf eine Weise zu erfüllen sind, die der Art, dem Umfang und der Komplexität der mit ihrer Tätigkeit einhergehenden Risiken gerecht wird. Einrichtungen der betrieblichen Altersversorgung (EbAV) haben die Anforderungen so umzusetzen, dass der Größenordnung, der Art, dem Umfang und der Komplexität ihrer Tätigkeiten Rechnung getragen wird. Das Prinzip der Proportionalität bestimmt also, wie aufsichtsrechtliche Anforderungen im Einzelfall erfüllt werden müssen, nämlich risikoorientiert. Das bedeutet zum einen, dass Unternehmen, auf die die VAIT Anwendung finden, bei der Umsetzung der Anforderungen einen Gestaltungsspielraum haben, den sie aktiv nutzen können. Zum anderen bedeutet dies, dass in der aufsichtlichen Praxis und damit auch bei aufsichtlichen Prüfungen, das Proportionalitätsprinzip eine angemessene Berücksichtigung findet. Der risikoorientierte Prüfungsansatz bildet die Grundlage von Prüfungen, sodass der flexiblen Grundausrichtung des Rundschreibens damit auch bei Prüfungshandlungen Rechnung getragen wird. Ich gehe davon aus, dass das Proportionalitätsprinzip auch im Rahmen der Jahresabschlussprüfungen entsprechend beachtet wird.

In meinem Anschreiben zur öffentlichen Konsultation vom 17.08.2021 habe ich Sie über die Beweggründe der Überarbeitung informiert. Ein wesentlicher Grund war die Veröffentlichung der „EIOPA Leitlinien zu Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologie“ (IKT-Leitlinien) im Oktober 2020. Auch sind Erfahrungen aus der Aufsichtspraxis in die Überarbeitung eingeflossen.

Die Vorbemerkungen des Rundschreibens stellen nun deutlicher heraus, dass im Falle von Ausgliederungen an IT-Dienstleister die Einhaltung der VAIT-Anforderungen durch angemessene Regelungen in der Ausgliederungsvereinbarung sicherzustellen ist. Darüber hinaus hat die Aufsicht mit den neuen Kapiteln „Operative Informationssicherheit“ und „IT-Notfallmanagement“ neue Schwerpunkte gesetzt. Die beiden Kapitel enthalten Anforderungen, die in der bisherigen Fassung der VAIT nicht explizit genannt wurden. Insbesondere sind dort Anforderungen zur Überwachung der Informationssicherheit und zur Kontrolle der Wirksamkeit von Informationssicherheitsmaßnahmen geregelt. Die Aufsicht hat des Weiteren Verantwortlichkeiten und Kontrollen für das Informationsrisikomanagement und Anforderungen zur physischen Informationssicherheit konkretisiert.

Das überarbeitete Rundschreiben adressiert nunmehr aktuelle Risiken der Unternehmen im Zusammenhang mit Informationsverarbeitung angemessen und wird auch künftig den europäischen Anforderungen und Rahmenbedingungen gerecht.
Die neue Version der VAIT tritt mit ihrer Veröffentlichung in Kraft. Gleichzeitig treten die bisherigen VAIT in der Fassung vom 20.03.2019 außer Kraft. Bei den Neuerungen handelt es sich um Konkretisierungen bereits bestehender Anforderungen und nicht um grundlegend neue Anforderungen, so dass Übergangsfristen nicht notwendig sind.

Mit freundlichen Grüßen

Ludger Hanenberg