Zum Inhalt springen
Resilience Platform Resilience Platform

EIOPA

IKT-Aufsicht für Versicherungsunternehmen

IKT-Anforderungen für EIOPA-regulierte Versicherungsunternehmen.

Management-Zusammenfassung

  • 10 Kontrollbereiche decken die vollständige IKT-Aufsicht für Versicherungen ab — Governance, Risikomanagement, BCM, Auslagerung, Sicherheit, Vorfallmanagement und KI.
  • Jeder Control ist mit VAIT-Referenzen (Versicherungsaufsichtliche Anforderungen an die IT), Solvency II-Artikeln und EIOPA-Leitlinien verknüpft.
  • DORA- und MaRisk-Alignment für integrierte Compliance über Sektorengrenzen hinweg (Banken & Versicherungen).
  • Konkrete Umsetzungsschritte und Nachweisbeispiele erleichtern die Prüfungsvorbereitung und ORSA-Integration.

10

Kontrollbereiche (VAIT)

8

Handlungsfelder

0

Auf definiertem Niveau

10

In Prüfung (needs_review)

Governance & Risikomanagement (2) Operative Resilienz (1) Third-Party-Risk & Auslagerung (1) Informationssicherheit (1) Erkennung & Reaktion (2) Personal & Organisation (1) Reporting & Kommunikation (1) Innovation & Regulierung (1)
EIOPA-001 initial needs_review
Governance & Risikomanagement

IKT-Governance nach Solvency II (Art. 41–50)

Das Leitungsorgan definiert eine IKT-Strategie und stellt sicher, dass IKT-Risiken im Risikomanagementsystem nach Solvency II verankert sind.

Sollzustand
IKT-Risikomanagement ist Teil des ORSA-Prozesses. IKT-Strategie wird vom Vorstand genehmigt und regelmaessig ueberprueft.

Umsetzungsschritte

  • IKT-Risikostrategie durch das Leitungsorgan verabschieden lassen.
  • IKT-Risiken im ORSA-Prozess als eigenstaendige Risikokategorie fuehren.
  • IKT-Notfall- und Geschaeftsfortfuehrungsstrategie dokumentieren.

Nachweise

  • IKT-Strategiepapier mit Vorstandsbeschluss
  • ORSA-Bericht mit IKT-Risikoabschnitt
  • Protokolle der IKT-Risikositzungen des Leitungsorgans
VAIT: VAIT 1.1, VAIT 2.1 Solvency: Solvency II Art. 41–50, 264–267
DORA: DORA Art. 4–8 (IKT-Risikomanagementrahmen) MaRisk: MaRisk AT 4.3.1, AT 7.2
EIOPA-002 initial needs_review
Governance & Risikomanagement

IKT-Risikoinventar und Schutzbedarfsfeststellung

Alle IKT-Ressourcen werden inventarisiert und hinsichtlich ihrer Kritikalitaet fuer Versicherungsprozesse bewertet.

Sollzustand
Vollstaendiges IKT-Inventar mit Klassifizierung nach Vertraulichkeit, Integritaet und Verfuegbarkeit liegt vor.

Umsetzungsschritte

  • IKT-Inventar mit allen Anwendungen, Infrastruktur und Daten erstellen.
  • Schutzbedarfsfeststellung nach VAIT-Vorgaben durchfuehren.
  • Kritikalitaet der IKT-Systeme fuer Haupt- und Hilfsprozesse bewerten.

Nachweise

  • Aktuelles IKT-Inventar
  • Schutzbedarfsfeststellung fuer alle kritischen Systeme
VAIT: VAIT 1.2, VAIT 1.3 Solvency: Solvency II Art. 44 (ORSA)
DORA: DORA Art. 5–6 (IKT-Risikomanagement, Inventar) MaRisk: MaRisk AT 7.2, BT 2.1
EIOPA-003 initial needs_review
Operative Resilienz

IKT-Notfallmanagement und Geschaeftsfortfuehrung (BCM)

IKT-Notfall- und Geschaeftsfortfuehrungsplanung stellt die Fortsetzung kritischer Versicherungsprozesse bei IKT-Stoerungen sicher.

Sollzustand
BCM-Prozess ist implementiert, regelmaessig getestet und im ORSA verankert.

Umsetzungsschritte

  • Business-Impact-Analyse (BIA) fuer IKT-Ausfaelle durchfuehren.
  • IKT-Notfallplan fuer kritische Systeme erstellen und regelmaessig testen.
  • Wiederanlaufzeiten (RTO/RPO) fuer alle kritischen IKT-Systeme definieren.

Nachweise

  • Business-Impact-Analyse (BIA)
  • IKT-Notfallplan mit Testnachweisen
  • BCM-Testbericht (mindestens jaehrlich)
VAIT: VAIT 3.1, VAIT 3.2 Solvency: Solvency II Art. 44, 46 (Kontinuitaetsplanung)
DORA: DORA Art. 11 (IKT-Notfallmanagement), Art. 23–24 (Resilienztest) MaRisk: MaRisk AT 8.1 (Notfallmanagement)
EIOPA-004 initial needs_review
Third-Party-Risk & Auslagerung

IKT-Auslagerung und Drittparteienrisiko (EIOPA-Leitlinien)

IKT-Auslagerungen und Dienstleisterbeziehungen werden nach den EIOPA-Auslagerungsleitlinien gesteuert und ueberwacht.

Sollzustand
Auslagerungsregister gefuehrt, Vertraege DORA-konform, regelmaessiges Dienstleister-Monitoring etabliert.

Umsetzungsschritte

  • Auslagerungsregister nach den EIOPA-Leitlinien (JC 2023/19) fuehren.
  • Vertragsanforderungen fuer IKT-Dienstleister nach DORA Art. 25, 28 umsetzen.
  • Regelmaessiges Dienstleister-Monitoring und -Reporting implementieren.

Nachweise

  • Auslagerungsregister (aktuell)
  • Dienstleistervertraege mit DORA-Klauseln
  • Dienstleister-Monitoring-Berichte
VAIT: VAIT 4.1, VAIT 4.2 Solvency: Solvency II Art. 49 (Auslagerung), EIOPA Outsourcing Guidelines JC 2023/19
DORA: DORA Art. 25–29 (IKT-Drittparteienrisiko, CTPP) MaRisk: MaRisk AT 9 (Auslagerung), BT 4 (Dienstleister)
EIOPA-005 initial needs_review
Informationssicherheit

IKT-Sicherheit und Zugriffskontrolle (VAIT)

Angemessene technische und organisatorische Massnahmen schuetzen die Vertraulichkeit, Integritaet und Verfuegbarkeit von Versicherungsdaten.

Sollzustand
Informationssicherheitsmanagementsystem (ISMS) nach VAIT-Vorgaben implementiert.

Umsetzungsschritte

  • ISMS-Richtlinie mit Geltungsbereich fuer Versicherungsprozesse erstellen.
  • Zugriffskontrollen nach dem Least-Privilege-Prinzip umsetzen.
  • Kryptografische Massnahmen zum Schutz von Versicherungsdaten implementieren.

Nachweise

  • ISMS-Richtlinie
  • Berechtigungskonzept mit regelmaessigem Review
  • Verschluesselungskonzept
VAIT: VAIT 5.1, VAIT 5.2, VAIT 5.3 Solvency: Solvency II Art. 41 (Allgemeine Governance)
DORA: DORA Art. 9 (IKT-Schutz, Prevention) MaRisk: MaRisk BT 3.1 (Sicherheit), BAIT 2.1
EIOPA-006 initial needs_review
Erkennung & Reaktion

IKT-Vorfallerkennung und -Meldewesen

IKT-Vorfaelle werden fruehzeitig erkannt, klassifiziert und gemaess den aufsichtsrechtlichen Meldeanforderungen gemeldet.

Sollzustand
SIEM/SOC-Funktionalitaet implementiert, Meldeketten definiert und getestet.

Umsetzungsschritte

  • SIEM-Loesung oder vergleichbare Erkennungsmassnahmen implementieren.
  • Klassifizierungsschema fuer IKT-Vorfaelle definieren.
  • Meldeketten an die Aufsicht (BaFin, EIOPA) definieren und testen.

Nachweise

  • SIEM-Verfahrensanweisung
  • Vorfallklassifizierungsmatrix
  • Testnachweise fuer Meldeketten
VAIT: VAIT 6.1, VAIT 6.2 Solvency: Solvency II Art. 47 (Meldepflichten)
DORA: DORA Art. 17–19 (IKT-Vorfallmeldewesen), Art. 15–16 (Erkennung) MaRisk: MaRisk AT 8.2 (Notfalluebung), BT 3.2
EIOPA-007 initial needs_review
Erkennung & Reaktion

Cyber-Resilienz und Penetrationstests

Regelmaessige Sicherheitstests und Schwachstellenanalysen stellen die Cyber-Resilienz der Versicherungs-IT sicher.

Sollzustand
Jaehrliche Schwachstellenscans und regelmaessige Penetrationstests fuer kritische Systeme durchgefuehrt.

Umsetzungsschritte

  • Schwachstellenscans fuer alle IKT-Systeme mindestens quartalsweise durchfuehren.
  • Penetrationstests fuer kritische Anwendungen mindestens jaehrlich durchfuehren.
  • TLPT-Vorbereitung (nach DORA Art. 24–26) fuer Versicherungen ab 2025 planen.

Nachweise

  • Schwachstellenberichte der letzten 12 Monate
  • Penetrationstest-Berichte
  • TLPT-Plan (falls anwendbar)
VAIT: VAIT 7.1, VAIT 7.2 Solvency: Solvency II Art. 45 (Risikobewertung)
DORA: DORA Art. 21–24 (TLPT, Resilienztest) MaRisk: MaRisk BT 3.3 (Penetrationstest)
EIOPA-008 initial needs_review
Personal & Organisation

IKT-Personal und Sensibilisierung

IKT-Kompetenzen und Sicherheitsbewusstsein der Mitarbeiter werden sichergestellt und gefoerdert.

Sollzustand
Regelmaessige Sicherheitsschulungen, dokumentierte IKT-Rollen und Stellvertreterregelungen sind etabliert.

Umsetzungsschritte

  • IKT-Rollen und Verantwortlichkeiten dokumentieren.
  • Jaehrliche Sicherheitssensibilisierung fuer alle Mitarbeiter durchfuehren.
  • Stellvertreterregelungen fuer kritische IKT-Funktionen definieren.

Nachweise

  • Stellenbeschreibungen mit IKT-Verantwortlichkeiten
  • Schulungsnachweise der letzten 12 Monate
  • Vertretungsregelungen
VAIT: VAIT 8.1, VAIT 8.2 Solvency: Solvency II Art. 41 (Personalanforderungen)
DORA: DORA Art. 4 (IKT-Governance, Personal) MaRisk: MaRisk AT 7.3 (Personal)
EIOPA-009 initial needs_review
Reporting & Kommunikation

IKT-Reporting und Dokumentation (ORSA)

IKT-Risiken, -Vorfaelle und -Massnahmen werden regelmaessig an das Leitungsorgan und die Aufsicht berichtet.

Sollzustand
IKT-Reporting ist Bestandteil des ORSA-Berichts und des regelmaessigen Management-Reportings.

Umsetzungsschritte

  • IKT-Risikobericht als Teil des ORSA-Berichts erstellen.
  • IKT-Kennzahlen (KPIs/KRIs) fuer das Management definieren.
  • Reporting-Zyklen und Eskalationswege dokumentieren.

Nachweise

  • ORSA-Bericht mit IKT-Abschnitt
  • IKT-Management-Report (monatlich/quartalsweise)
  • KPI/KRI-Uebersicht
VAIT: VAIT 9.1, VAIT 9.2 Solvency: Solvency II Art. 45, 264–267 (ORSA, SFCR)
DORA: DORA Art. 4 (Governance), Art. 19 (Reporting) MaRisk: MaRisk AT 4.3.2, AT 7.4 (Reporting)
EIOPA-010 initial needs_review
Innovation & Regulierung

KI-Governance in der Versicherungswirtschaft (AI Act)

Der Einsatz von Kuenstlicher Intelligenz in Versicherungsprozessen erfolgt gemaess AI Act und EIOPA-Leitlinien zu KI und Governance.

Sollzustand
KI-Use-Cases inventarisiert, Risikoklassifizierung nach AI Act vorgenommen, Human-Oversight etabliert.

Umsetzungsschritte

  • KI-Use-Case-Inventar mit Risikoklassifizierung erstellen.
  • Human-Oversight-Verfahren fuer KI-Systeme definieren.
  • AI-Act-Compliance-Prüfung fuer Hochrisiko-KI-Systeme durchfuehren.

Nachweise

  • KI-Use-Case-Inventar
  • Human-Oversight-Verfahrensanweisung
  • AI-Act-Compliance-Bericht
VAIT: VAIT 10.1 (Innovation) Solvency: AI Act (EU 2024/1689)
DORA: DORA Art. 4 (Governance), Art. 15 (Erkennung) MaRisk: MaRisk AT 7.2 (Risikomanagement)
VAIT — Versicherungsaufsichtliche Anforderungen an die IT

VAIT als historische Grundlage — heute durch DORA abgelöst

Die VAIT (Versicherungsaufsichtliche Anforderungen an die IT) der BaFin wurden mit Inkrafttreten von DORA zum 17. Januar 2025 aufgehoben. DORA ist als EU-Verordnung lex specialis und verdrängt die nationalen IT-Standards. Die VAIT-Kontrollbereiche bleiben jedoch als historische Referenz und konzeptionelle Grundlage für die DORA-Umsetzung bei Versicherungen relevant — sie dokumentieren den bisherigen deutschen Aufsichtsstandard, der in DORA aufgegangen ist.

DORA löst VAIT ab

Seit 17.01.2025 gilt ausschliesslich DORA für IKT-Risikomanagement bei Versicherungen. VAIT-Referenzen dienen der historischen Einordnung.

Solvency II bleibt

Solvency II (Art. 41–50, ORSA) gilt unverändert. DORA ergänzt die IKT-spezifischen Anforderungen.

VAIT als DORA-Vorlage

VAIT war die Blaupause für die DORA-Umsetzung in Deutschland. Versicherungen mit VAIT-Konformität haben eine starke Ausgangsbasis.

Übergangsfristen beachten

Institute unter FinmadiG-Übergangsfrist nutzen BAIT/VAIT bis 31.12.2026. Danach vollständiger DORA-Übergang.

Hinweis: Diese Inhalte sind Umsetzungshilfen und kuratierte Hinweise. Sie ersetzen keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung. Die Kontrollbereiche befinden sich im Aufbau (needs_review).