13 marca 2020 r. przekazaliśmy europejskiemu nadzorcy – EIOPA – nasze stanowisko w ramach publicznych konsultacji projektu wytycznych, które dotyczą zarządzania informacjami oraz technologiami komunikacyjnymi (ICT) oraz ich bezpieczeństwem. Wytyczne są skierowane zarówno do organów nadzoru, jak również do zakładów ubezpieczeń i zakładów reasekuracji. Konsultacje publiczne ICT – na co zwróciliśmy uwagę?
Ile nowości w wytycznych ICT? Zakres wytycznych
Wytyczne doprecyzują wymogi, które są już określone w dyrektywie Solvency II i jej aktach wykonawczych. Zbierają kluczowe wymagania dotyczące przetwarzania informacji czy zarządzania środowiskami teleinformatycznymi. Ponadto regulują kwestie zarządzania bezpieczeństwem informacji i środowisk, w których te informacje są przetwarzane. Ich zakres to w szczególności:
- ICT w ramach systemu zarządzania, strategii i zasad bezpieczeństwa
- Audyt, polityka, środki i funkcje bezpieczeństwa
- Bezpieczeństwo logiczne, fizyczne, operacji i ich monitoring
- Szkolenie i budowanie świadomości
- Zarządzanie operacyjne, zmianami, incydentami, projektami, ciągłością działania
- Nabywanie i rozwój systemów, testowanie i outsourcing systemów i usług
- Analiza wpływu na działalność gospodarczą.
Konsultacje publiczne ICT: pozytywnie
Ubezpieczyciele pozytywnie ocenili inicjatywę EIOPA. Wytyczne mają obowiązywać od 1 lipca 2020 roku. Uspójnienie oczekiwań nadzorców ubezpieczeniowych w całej Unii jest szczególnie istotne dla grup kapitałowych obecnych na wielu rynkach europejskich. Jednolite wymagania w praktyce oznaczają, że zakłady ubezpieczeń mogą bazować na rozwiązaniach dla całej grupy. A to z kolei ogranicza ryzyko zgodności z przepisami prawa oraz zmniejsza koszty prowadzenia działalności.
Wprowadzenie wytycznych wpłynie na ograniczenie ryzyk związanych z funkcjonowaniem zakładów w zakresie zarządzania informacją. Należy też spodziewać się, iż ułatwi zakładom współpracę z kooperantami oraz dostawcami rozwiązań teleinformatycznych.
Ale trzeba doprecyzować raportowanie
Wątpliwości PIU budziły jednak wytyczne dotyczące raportowania do organu nadzoru. Według nas należy je doprecyzować i określić, jak w praktyce powinno wyglądać wypełnienie obowiązku dotyczącego zgłaszania incydentów bezpieczeństwa do nadzorcy. W wytycznych zabrakło informacji na temat kryteriów, warunków, procedury i zakresu informacji, jakie należy przekazać.
Podobnie należy doprecyzować metody i zakres przekazywania przez zakłady ubezpieczeń informacji na temat wprowadzonych środków komunikacji w sytuacjach kryzysowych.
Niezbędny KNF
Do zastosowania wytycznych rynek potrzebuje jeszcze opinii KNF, która określi, jak zastosować wybrane wytyczne w Polsce. Wytyczne posługują się np. terminem AMSB, który oznacza organ administracyjny, zarządzający i nadzorczy. Należy zatem doprecyzować, które wymogi będą miały zastosowanie do zarządów, a które do rad nadzorczych w Polsce.
Ostatnio zakończyły się też konsultacje w sprawie PRIIPs i PEPP: