Basisdaten | |
---|---|
Titel | Rundschreiben 10/2018 (VA) Versicherungsaufsichtliche Anforderungen an die IT |
Kurztitel | Versicherungsaufsichtliche Anforderungen an die IT |
Abkürzung | VAIT |
Geltungsbereich | Bundesrepublik Deutschland |
Ursprüngliche Fassung vom | 2. Juli 2018 |
Letzte Neufassung vom | 03. März 2022 |
Die Versicherungsaufsichtlichen Anforderungen an die IT, abgekürzt VAIT, sind Verwaltungsanweisungen, die mit einem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und diesbezüglicher Anforderungen an die IT-Governance an deutschen Versicherungszweckgesellschaften veröffentlicht wurden. Sie wurden von der BaFin mit dem Rundschreiben 10/2018 (VA) vom 2. Juli 2018 veröffentlicht und im März 2019 aktualisiert. Die letzte Aktualisierung datiert vom 3. März 2022. Für Versicherungszweckgesellschaften im Sinne des § 168 Versicherungsaufsichtsgesetz (VAG) sowie die Sicherungsfonds im Sinne des § 223 VAG findet dies keine Anwendung.
Die VAIT konkretisieren die gesetzlichen Anforderungen des Versicherungsaufsichtsgesetz (VAG), §§ 23–32. Es handelt sich bei ihnen um normeninterpretierende Verwaltungsvorschriften, die eine Selbstbindung der deutschen Aufsicht gegenüber den Versicherungen darstellen.
Für Unternehmen, die dem Anwendungsbereich des Aufsichtssystems Solvabilität II, auch Solvency II genannt, unterliegen, bleiben die in den Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (kurz MaGo) enthaltenen Anforderungen unberührt.
In den Versicherungsaufsichtlichen Anforderungen an die IT formuliert die Aufsicht einen Rahmen für die technisch-organisatorische Ausstattung der Unternehmen – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement. Da die Versicherungszweckgesellschaften zunehmend IT-Dienstleistungen von Dritten beziehen, fordert die VAIT nun – unabhängig davon, ob es sich hierbei um die Hauptdienstleistung oder um eine ergänzende Nebendienstleistung zu einer anderen Hauptdienstleistung handelt – beispielsweise vorab zwingend eine Risikoanalyse.
Ebenso fordert nun die VAIT § 27 in der Informationssicherheit mindestens Stand der Technik umzusetzen.
Siehe auch
- Bankaufsichtliche Anforderungen an die IT (BAIT)
- Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT)
- ZAIT (Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten abgekürzt ZAIT)
- DORA (Digital Operational Resilience Act) der europäischen Finanzaufsichtsbehörden: Bankenaufsichtsbehörde (EBA), Wertpapier- und Marktaufsichtsbehörde (ESMA) und die Versicherungsaufsichtsbehörde (EIOPA)
Weblinks
- Rundschreiben 10/2018 (VA) – Versicherungsaufsichtliche Anforderungen an die IT (VAIT) in der Fassung vom 2. Juli 2018
- Rundschreiben 10/2018 (VA) – Versicherungsaufsichtliche Anforderungen an die IT (VAIT) in der Fassung vom 20. März 2019
- Kritische Infrastrukturen: BaFin ergänzt VAIT um KRITIS-Modul in der Fassung vom 20. März 2019
- Rundschreiben 10/2018 – Versicherungsaufsichtliche Anforderungen an die IT (VAIT) in der Fassung vom 3. März 2022
Einzelnachweise
- ↑ VAIT-Novelle: Klare Anforderungen. Abgerufen am 4. Mai 2023.