PrüfV

Prüfungsberichteverordnung

Verordnung über den Inhalt der Prüfungsberichte zu den Jahresabschlüssen und den Solvabilitätsübersichten von Versicherungsunternehmen

Vom 19.7.2017

Zuletzt geändert am 29.4.2026

§ 40b

Berücksichtigung der Informations- und Kommunikationstechnologie des Versicherungsunternehmens bei der Prüfung

(1) ¹Der Prüfer hat im Prüfungsbericht zusammenfassend über die Organisation der Informations- und Kommunikationstechnologie des Unternehmens und diejenigen Systeme der Informations- und Kommunikationstechnologie, die wesentliche Geschäftsprozesse des Unternehmens unterstützen oder aufsichtsrechtlich relevante Daten verarbeiten, zu berichten. ²Wesentliche Änderungen an diesen Systemen sowie die der Änderung dienenden Projekte sind im Prüfungsbericht darzustellen. ³Der Prüfer hat darzustellen und zu beurteilen, ob die organisatorischen, personellen und technischen Vorkehrungen zur Sicherstellung der Integrität, der Vertraulichkeit, der Authentizität und der Verfügbarkeit dieser Systeme angemessen sind und wirksam umgesetzt werden. ⁴Werden externe Ressourcen der Informations- und Kommunikationstechnologie eingesetzt, so erstrecken sich die vorgenannten Berichtspflichten auch auf diese Ressourcen.

(2) ¹Der Prüfer hat im Prüfungsbericht zu beurteilen, ob das Unternehmen die Anforderungen der Artikel 5 bis 14, 16 bis 19, 24, 25, 28 bis 30 und 45 Absatz 3 der Verordnung (EU) 2022/2554, auch in Verbindung mit Rechtsakten, die gemäß den Artikeln 15, 16, 20, 28 oder 30 der Verordnung (EU) 2022/2554 erlassen wurden, unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit gemäß Artikel 4 der Verordnung (EU) 2022/2554, angemessen und wirksam einhält. Dabei ist insbesondere einzugehen auf

1. das auf die Informations- und Kommunikationstechnologie bezogene Risikomanagement gemäß den Artikeln 5 bis 14 und 16 der Verordnung (EU) 2022/2554,

2. die Dokumentation des auf die Informations- und Kommunikationstechnologie bezogenen Risikomanagementrahmens gemäß Artikel 6 Absatz 5 Satz 1 oder Artikel 16 Absatz 2 Satz 1 der Verordnung (EU) 2022/2554,

3. die auf die Informations- und Kommunikationstechnologie bezogene Geschäftsfortführungsleitlinie gemäß Artikel 11 Absatz 1 der Verordnung (EU) 2022/2554,

4. die Behandlung und Klassifizierung von auf die Informations- und Kommunikationstechnologie bezogenen Vorfällen sowie die Meldung darüber gemäß den Artikeln 17 bis 19 der Verordnung (EU) 2022/2554,

5. das Testen der digitalen operationalen Resilienz gemäß den Artikeln 24 und 25 der Verordnung (EU) 2022/2554,

6. das Management des auf die Informations- und Kommunikationstechnologie bezogenen Drittparteienrisikos gemäß den Artikeln 28 bis 30 der Verordnung (EU) 2022/2554 und

7. die Einhaltung der Mitteilungspflicht in Bezug auf Vereinbarungen über den Austausch von Informationen gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2022/2554.

Vorherige Norm Nächste Norm