Bereits in unserem letzten Newsletter hatten wir auf die Brisanz der Aufsichtsrechtlichen Anforderungen an die IT von Finanzdienstleistern aufmerksam gemacht. Was für die Banken durch die BAIT (Bankaufsichtliche Anforderungen an die IT) bereits seit Ende 2017 Realität ist, kommt in riesigen Schritten auch auf die Versicherungswirtschaft zu.
Wie Oberaufseher und BaFin-Präsident Felix Hufeld jüngst in einem Interview verlautbarte, ist mit der Verabschiedung eines entsprechenden Anforderungskatalogs für die Versicherer bis Ende 2018 zu rechnen. Das bedeutet, dass ein entsprechendes Dokument in wenigen Wochen in die Konsultationsphase gehen wird. Dr. Frank Grund, Exekutivdirektor der Versicherungsaufsicht, sprach auf dem Münsterischen Versicherungstag gar vom zweiten Quartal 2018.
Egal wie die interne Zeitschiene der Versicherungsaufseher aussieht, die Versicherer sollten schon jetzt anhand der bestehenden Anforderungen an die Banken prüfen, wie man derzeit aufgestellt ist und wo die Lücken klaffen. Und es wird Lücken geben!
Dabei rechnen wir als FINCON nicht so sehr mit Umsetzungslücken in den operativen Bereichen der IT-Entwicklung und des IT-Betriebs. Unserer Erfahrung nach haben die Häuser in den letzten Jahren durch diverse eigene IT-Projekte Erfahrungen gesammelt und sind in modernen agilen Methoden der IT-Entwicklung (z. B. SCRUM), im Testing und im Betrieb sowie der Sicherheit von Anwendungen und Netzauftritten größtenteils recht gut aufgestellt.
Anders sehen wir derzeit die Situation bezüglich der Anforderungen rund um das Thema IT-Governance. Hier rechnen wir mit Feststellungen seitens der BaFin hinsichtlich bestehender Regelungslücken von der Erstellung und Umsetzung der IT-Strategien bis zur genauen Beschreibung, Umsetzung und Einhaltung von Anweisungen zum Informationsrisiko- und zum Informationssicherheitsmanagement.
Hier wird es auch nicht mit einer schnellen Benennung von den in den IT-Anforderungen der Aufsicht geforderten Beauftragten getan sein. Sondern eine detaillierte Beschreibung und Realisierung der zugehörigen Aufbau- und Ablauforganisation sind hier vonnöten.
Also auch im konkreten Umfeld der IT werden die Versicherer durch die VAIT explizit auf die generellen Anforderungen der MaGo zurückgeworfen, nicht nur exakt zu wissen WAS sie tun, sondern in entsprechenden Leitlinien zu dokumentieren, WER genau WAS tut und WIE.
Was die BaFin einfach verlangt, ist die Abkehr vom organisatorischen Stückwerk hin zu einer Betriebsorganisation aus einem Guss. Hier ist für alle Häuser noch sehr viel zu tun.
Sprechen Sie uns gerne an.