Die BaFin hat 2017 mit den BAIT ihre Erwartungen an eine ordnungsgemäße IT-Organisation in Banken formuliert, mit Blick auf die internen IT-Systeme und mit Blick auf die IT-Dienstleistungen, die das Institut von Dritten bezieht.¹ Die BAIT sollen vor allem das Bewusstsein für IT-Risiken in den Instituten schärfen – auch im Verhältnis zu den IT-Auslagerungsunternehmen.

Die BaFin beabsichtigt, Mitte 2018 die entsprechenden Anforderungen an die IT von Versicherern und Pensionsfonds (VAIT) zu veröffentlichen. Um sich einen ersten Überblick über den Umgang der Versicherer und Pensionsfonds mit ihren Cyberrisiken zu verschaffen, führte die BaFin in der zweiten Jahreshälfte eine Branchenabfrage durch. Ziel war es, die typischen Stärken und Schwächen der Unternehmen zu identifizieren.

Die Abfrage war zugleich ein Signal an die Branche, dass die BaFin IT-Risiken und damit auch Cyberrisiken als wesentlich einstuft und sie daher bei den beaufsichtigten Unternehmen künftig noch genauer untersuchen wird.²

Cloudcomputing bei Versicherern

Ein Kernthema, mit dem sich die Versicherungsaufsicht seit 2017 intensiv befasst, ist die Nutzung von Cloud Computing. Wie bei jeder Ausgliederung bleibt auch in diesem Fall das Versicherungsunternehmen für die Erfüllung aller aufsichtsrechtlichen Vorschriften und Anforderungen verantwortlich. Ferner dürfen durch die Ausgliederung die Steuerungs- und Kontrollmöglichkeiten des Unternehmens sowie die Prüfungs- und Kontrollrechte der BaFin nicht beeinträchtigt werden. Auch die Bankenaufsicht beschäftigt sich intensiv mit dem Thema Cloud Computing. Bei einer Auslagerung gelten hier die gleichen aufsichtsrechtlichen Anforderungen wie für Versicherungsunternehmen.

Fußnoten: