VAIT: Die BaFin hat geprüft und schwerwiegende Feststellungen gemacht

VAIT, ISO 27001, ISO 27002, BaFin, Bundesanstalt für Finanzdienstleistungsaufsicht, Versicherungsaufsichtliche Anforderungen an die IT, Audit, Prüfung, Feststellung, Feststellungen
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat die Umsetzung der versicherungsaufsichtlichen Anforderungen an die IT (VAIT) bei 16 Versicherungsunternehmen geprüft. Leider hat kein einziges Unternehmen die Anforderungen vollständig erfüllt. Im Gegenteil, die meisten wiesen schwerwiegende Mängel in der Umsetzung der Anforderungen auf:

„Schwerwiegende Feststellungen hat die BaFin bei den meisten geprüften Versicherungsunternehmen im Informationsrisiko- und Informationssicherheitsmanagement getroffen. Die Stufe „schwerwiegend“ ist die höchste des BaFin-Bewertungsschemas – nach „geringfügig“, „mittelschwer“ und „gewichtig“. Die BaFin fand in den Unternehmen zum Teil keine internen Prozesse vor, die ausreichten, um Informationsrisiken zu erkennen und zu bewerten. Hinzu kam: Wie schutzbedürftig bestimmte Informationen waren, legten die Unternehmen oft nicht genau genug fest. Es war ihnen daher nur eingeschränkt möglich, die Informationsrisiken risikoorientiert zu steuern.“  Quelle: https://www.bafin.de/SharedDocs/Downloads/DE/BaFinJournal/2020/bj_2010.pdf

 

 

Ferner wird im Journal der BaFin vom Oktober 2020 auf weitere Verfehlungen eingegangen. Diese betreffen unteranderem:
  • Automatismen zur schnellen Erkennung und Reaktion auf IT-Sicherheitsvorfälle 
  • Benutzerberechtigungsmanagement
  • Überwachung externer IT-Dienstleister

 

Die veröffentlichte Übersicht der Prüfergebnisse zeigt meiner Ansicht nach eindrucksvoll, dass die Umsetzung der VAIT noch immer ein Thema für die Versicherungsunternehmen ist und mehr Unterstützung sowie eine höhere Priorität durch den Vorstand bzw. die Geschäftsführung benötigt. Denn beim zugrundeliegenden Informationsrisikomanagement sowie Informationssicherheitsmanagement handelt es sich um Management- und nicht um IT-Themen.
Beratung: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG
Audit: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG
Audit: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG
KRITIS-Prüfung: B3S KRITIS, Ernährung, Ernährungsindustrie, Ernährungswirtschaft, Anlagen zur Steuerung und Bündelung (Aggregatoren), Gesundheitsversorgung im Krankenhaus, Pharma, Datacenter & Hosting
Termin prüfen: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG

TISAX® und ENX® sind eingetragene Marken der ENX Association.