DORA kommt, VAIT wird aufgehoben: Worauf sich Versicherer regulatorisch einstellen müssen
Die im Entwurf vorgelegte „Aufsichtsmitteilung der Bafin zu Umsetzungshinweisen in der DORA-Implementierung“, in der Version vom 24. Mai 2024 betrachtet, birgt für Versicherungsunternehmen in der Praxis vielfältigen Gesprächsstoff. Warum, beleuchtet VVW-Buchautor und Deloitte-Experte Markus Priller im Gastbeitrag.
Fokussierend ausschließlich auf die DORA-Themenbereiche „IKT-Risikomanagement“ (Kapitel II) und das IKT-Drittparteienrisikomanagement (Kapitel V, Abs. 1) möchte das Dokument praktische Umsetzungshinweise geben. Erstmalig wird im Kapitel II „Umsetzungshinweise“ des Dokumentes klar und ausdrücklich formuliert, dass die Bafin die Aufhebung der VAIT- und auch korrespondierender BAIT-Anforderungen für Banken – beabsichtigt. In zirkulierten Interview-Texten der Aufsicht waren diese Schritte bereits angedeutet und deren Umsetzung erwartet worden.
Damit ergeben sich jedoch Folgefragen für regulatorische Aspekte, die in der VAIT berücksichtigt wurden, in der DORA jedoch keine direkte Entsprechung finden. Beispiele hierfür sind beispielsweise eine IT-Strategie als Lieferobjekt als auch im organisatorischen Set-up die Rolle des Informationssicherheitsbeauftragten (ISB). Die vorliegenden Umsetzungshinweise sprechen hier nur allgemein von „sektoralen Anforderungen“, die es zu berücksichtigen gelte. In der Praxis häufig anzutreffen dürfte eine Kombination mit der neu einzurichtenden IKT-Risiko- und Kontrollfunktion sein.
In diesen und weitergehenden Aspekten kann jedenfalls eine weitere Klarstellung der Aufsicht für Orientierung sorgen, etwa im Kontext der Behandlung der übrigen DORA-Themenbereiche (etwa regulatorisches Meldewesen, Testen und Incident Management/TLPT für betroffene Versicherungs- und Finanzunternehmen).
In der Praxis wesentlich dürfte zudem die deutliche Aufwertung der Aufgaben des Leitungsorgans, also Vorstände oder Geschäftsführung sein, die von der Resilienzstrategie über Governance und Risikomanagementrahmen und Betriebs- ebenso wie organisatorische Verankerungen reichen. Neben der quantitativen und qualitativen Ressourcenausstattung der entsprechenden Fachfunktionen sind Genehmigung, Überwachung und Verantwortung zu leisten, was entsprechende Qualifikationen und Fortbildungen erfordert. Auch die Regelungen für Erstbestellung von aufsichtsrechtlich relevanten Rollen sind im Gleichklang bereits entsprechend angepasst worden.
Ein dritter und letzter Aspekt, der überblicksartig genannt werden soll, ist die „Akzentverschiebung von Informationssicherheit zu IKT-Risikomanagement“, während es in der VAIT noch anders priorisiert betrachten werden konnte. Das IKT-Risikomanagement und der entsprechende Risikomanagementprozess wird, sicherlich berechtigterweise, als Grundlage für die Gewährleistung operativer Betriebsstabilität verstanden. Auch wenn in der Risikomanagementfunktion weiterhin auch extern unterstützt werden kann – und in der Praxis weiterhin wird – bleibt das Versicherungsunternehmen umfänglich für die Einhaltung der regulatorischen Anforderungen und des IKT-Risikomanagementrahmens verantwortlich.
Autor: Markus Priller ist Director Deloitte Insurance Group (Deloitte GmbH) und Buchautor im Verlag Versicherungswirtschaft Karlsruhe
Sein aktuelles Werk „DORA in Versicherungsunternehmen – Regulatorik, Vorgehensmodell, praktische Aspekte, Erfolgsfaktoren“ können Sie hier bestellen.