Regulatorische Anforderungen an die IT von Versicherungsunternehmen ergeben sich vor allem aus der VAIT-Richtlinie. Die in der Richtlinie enthaltenen Vorgaben bedeuten eine Steigerung der Dokumentations- und Kontrollanforderungen an die IT dieser Unternehmen. Wer IT-Systeme und -Anwendungen betreibt, muss diese laut der aktuellen VAIT-Richtlinie auch ordnungsgemäß dokumentieren.
Eine Studie der Bundesanstalt für Finanzen (kurz BaFin) ergab bereits 2022/23, dass es erheblichen Nachholbedarf auf Seiten der geprüften Unternehmen gibt. Keiner der zum Studienzeitpunkt geprüften Versicherer konnte die VAIT vollständig erfüllen. Lediglich 10 % haben die Anforderungen „nicht vollständig erfüllt“, weitere 50 % „nur teilweise“. Bei 40 % aller IT-Prüfungen sah die BaFin sogar die VAIT als „nicht erfüllt“.
Nicht verwunderlich also, dass sich immer mehr Unternehmen der Versicherungsbranche für den Einsatz eines Dokutools entscheiden – denn IT-Dokumentation und versicherungsaufsichtliche Anforderungen an die IT stehen in einem engen Zusammenhang.
Versicherungsaufsichtliche Anforderungen an die IT – kurz VAIT – sind Verwaltungsanweisungen, die erstmals 2018 von der Bundesanstalt für Finanzdienstleistungen (BaFin) veröffentlicht wurden. Die BaFin fungiert als Aufsichtsorgan und behielt auch 2022 mit der VAIT-Novelle den klaren Fokus auf die Sicherheit von IT-Systemen bei und verschärfte die Verwaltungsanweisungen deutlich. Vor allem Erst- und Rückversicherungsunternehmen (sowie Pensionsfonds) sind von der VAIT-Richtlinie betroffen.
Komplexe Anforderungen meistern
Die VAIT legt acht Anforderungsbereiche fest und formuliert für diese konkrete Handlungsaufforderungen. Pathfinder unterstützt zahlreiche Anwender aus der Versicherungsbranche bei der Erfüllung der geforderten Vorgaben, ganz konkret beispielsweise in folgenden Bereichen:
- IT-Betrieb: Die VAIT-Richtlinie formuliert umfangreiche Forderungen für die alltägliche IT-Arbeit. Eine der wichtigsten stellt hier die Speicherung und Aktualisierung von Bestandsdaten der IT-Infrastruktur in einem zentralen System dar.
- Außerdem besteht die Verpflichtung zur proaktiven Überwachung der Entwicklung von IT-Systemen: die Anpassungsfähigkeit an neue Anforderungen ist eine zentrale Komponente im Bereich IT-Governance. Pathfinder liefert dabei die Basis für die Analyse des IST-Zustands und bietet damit die Grundlage für strategische Planungen im Bereich IT-Infrastruktur.
- Auch in Bezug auf die Informationssicherheit verlangt die VAIT angemessene Richtlinien für den Informationszugang. Pathfinder stellt im Bereich IT-Dokumentation ein vollumfängliches Nutzerberechtigungsmanagement und regelt den Zugriff auf Daten bis auf Objektebene.
IT-Dokumentation mit Mehrwert
Auch Versicherer sind auf Grund von Personalmangel und Kapazitätsengpässen oft nicht dazu im Stande, die oben genannten Anforderungen bzgl. ihrer Systemlandschaft zu erfüllen. Dies wird noch durch den Umstand verstärkt, dass häufig keine zentrale Verantwortlichkeit für das Erreichen der VAIT-Konformität vorhanden ist.
Eine lückenhafte oder nicht vorhandene Einhaltung der Vorschriften kann jedoch hohe Strafen nach sich ziehen. Ein Tool für Netzwerkdokumentation ermöglicht den Aufbau einer IT-Dokumentation mit Mehrwert und unterstützt bei der Einhaltung der oben beschriebenen Verwaltungsanweisungen.
Wir als Hersteller freuen uns, dass Pathfinder bei der Baloise Holding AG in der Schweiz und bei der Deutschen Gesetzlichen Unfallversicherung und bereits erfolgreich eingesetzt wird. Wir wünschen allen Anwendern weiterhin gutes Gelingen bei der Bewältigung dieser komplexen Anforderungen.
