Liczba regulacji w zakresie cyberbezpieczeństwa będzie stanowić jedno z najważniejszych wyzwań dla organizacji również w sektorze ubezpieczeniowym. Unijny regulator zaczyna podchodzić do tych kwestii coraz bardziej kompleksowo, przede wszystkim poprzez regulacje sektorowe, takie jak Digital Operational Resilience Act (dla sektora finansowego). Jest to rozporządzenie, które co do zasady będzie stosowane przed podstawowym aktem w zakresie cyberbezpieczeństwa (NIS) jako lex specialis.
Również na poziomie krajowym wskazać można na istotne regulacje, które pośrednio lub bezpośrednio odnoszą się do kwestii cyberbezpieczeństwa. Z perspektywy ubezpieczycieli kluczowe będzie zatem dokładne zapoznanie się z obowiązkami wynikającymi z poniżej wskazanych aktów oraz śledzenie procesów legislacyjnych, czy to w UE, czy już na etapie implementacji dyrektyw unijnych w Polsce.
Najważniejsze regulacje
- Komunikat Chmurowy
UKNF w zakresie wykorzystania chmury publicznej lub hybrydowej rekomenduje w Komunikacie Chmurowym UKNF m.in.:
- Zapewnienie odpowiednich kompetencji pracowników;
- Spełnienie minimalnych wymagań w zakresie umowy z dostawcą rozwiązań chmurowych;
- Posiadanie planu przetwarzania informacji w chmurze obliczeniowej;
- Zapewnienie spełnienia odpowiednich standardów technicznych, np. norm ISO;
- Stosowanie metod kryptograficznych;
- Monitorowanie środowiska przetwarzania tajemnicy ubezpieczeniowej lub tajemnicy agencyjnej w usługach chmury obliczeniowej;
- Dokumentowanie wszelkich istotnych operacji związanych z korzystaniem z usługi chmurowej.
- Digital Operational Resilience Act (DORA)
- Wzmocnienie odporności cyfrowej na zagrożenia wynikające z wykorzystywania nowoczesnej technologii i zapewnienie szybkiego powrotu do sprawności operacyjnej;
- Wdrożenie polityki zarządzania ryzykiem związanym z ICT i ustalenie postępowania z incydentami z obszaru ICT;
- Testowanie odporności na zagrożenia;
- Zarządzanie ryzykiem ze strony dostawców zewnętrznych oraz wymianą informacji;
- Zastosowanie w całym sektorze finansowym oraz w poszerzonym obszarze regulacyjnym „krytycznych dostawców usług zewnętrznych w zakresie technologii informacyjno-komunikacyjnych”, co będzie obejmowało takie usługi, jak chmura, analityka danych i audyt;
- Bezpośrednią odpowiedzialnością organu zarządzającego za zgodne z przepisami, w tym DORA, korzystanie z usług ICT (w tym AI).
- Cyber resilience Act (CRA)
- Propozycja rozporządzenia w sprawie wymogów bezpieczeństwa cybernetycznego dla produktów z elementami cyfrowymi, znana jako Akt o odporności cyfrowej, wzmacnia zasady bezpieczeństwa cybernetycznego w celu zapewnienia bezpieczniejszych produktów sprzętowych i oprogramowania.
- W ramach tego aktu zostały wyznaczone cztery główne cele:
- Zapewnienie, że producenci poprawiają bezpieczeństwo produktów z elementami cyfrowymi od fazy projektowania i rozwoju oraz przez cały cykl życia;
- Zapewnienie spójnych ram bezpieczeństwa cybernetycznego, ułatwiających producentom sprzętu i oprogramowania zachowanie zgodności;
- Zwiększenie przejrzystości właściwości zabezpieczeń produktów z elementami cyfrowymi oraz
- Umożliwienie przedsiębiorstwom i konsumentom bezpiecznego korzystania z produktów zawierających elementy cyfrowe.
- Wyszczególniono dwie kategorie produktów krytycznych:
- Pierwsza kategoria obejmuje m.in. przeglądarki, menedżery haseł, antywirusy, zapory sieciowe, wirtualne sieci prywatne (VPN), zarządzanie siecią, systemy, fizyczne interfejsy sieciowe, routery i chipy używane dla podmiotów objętych NIS2;
- Druga kategoria obejmuje produkty o podwyższonym ryzyku, takie jak urządzenia stacjonarne i mobilne, zwirtualizowane systemy operacyjne, wystawcy certyfikatów cyfrowych, mikroprocesory ogólnego przeznaczenia, czytniki kart itp.
- Główną różnicą między tymi dwiema kategoriami jest proces zapewnienia zgodności.
- Komisja rekomenduje również przeprowadzanie regularnych testów w celu zidentyfikowania podatności.
- Kary za nieprzestrzeganie wymogów mogą wynieść 15 mln euro lub 2,5% rocznego obrotu.
Pismo UKNF
UKNF zwraca uwagę na ogólne zagrożenia wynikające z cyberzagrożeń, które mogą negatywnie wpłynąć na funkcjonowanie zakładów ubezpieczeń podczas komunikowania się z klientem ZU. Dokument nawiązuje do pisma sektorowego przewodniczącego KNF dotyczącego bezpieczeństwa posługiwania się kanałami elektronicznymi w sektorze bankowym z 15 lutego 2021 r.
UKNF wskazuje na potencjalną nieprawidłową praktykę:
- Zbyt prostego i oczywistego szyfrowania dokumentów zawierających tajemnicę ubezpieczeniową poprzez użycie nr PESEL, daty urodzenia;
- Zbyt częstego używania SMS lub e-mail do przekazywania innych niż statystycznych informacji dot. relacji z klientem – SMS/e-mail tylko do statystyki, a nie informacji o umowie zawierającej tajemnicę ubezpieczeniową;
- Nadmierne korzystanie z aktywnych linków w SMS/e-mail.
W piśmie zwrócono uwagę na:
- Konieczność wykorzystania bezpiecznych/bezpieczniejszych kanałów interakcji z klientem, jak aplikacja mobilna ZU;
- Konieczność zapewnienia korzystania z wieloskładnikowego uwierzytelnienia w dostępie do dokumentów zawierających tajemnicę ubezpieczeniową – pośrednio może tu zagrozić bezpieczeństwo środków finansowych klienta poprzez dostęp do informacji o nr. konta;
- Konieczność monitorowania zewnętrznego dostawcy IT na podstawie wytycznych IT dla sektora ubezpieczeń (odpowiednik Rekomendacji D w sektorze bankowym);
- Poszerzenie akcji edukacyjnej o inne kanały niż internet lub aplikacja, ponieważ tworzy to lukę edukacyjną wśród osób nie korzystających z tych form komunikacji.
Nasza analiza:
Pismo podkreśla szczególną rolę cyberbezpieczeństwa w relacji ZU z klientem, w której to na ZU spoczywa obowiązek przyjrzenia się jej z różnych perspektyw:
- Perspektywy właściwej inwentaryzacji danych – jakie dane, w jakich usługach i w jakich systemach są przetwarzane;
- Właściwej kontroli nad rozwojem systemów IT, zarówno w ramach ZU, jak i z wykorzystaniem firm zewnętrznych;
- Właściwej kontroli i prowadzenia wdrożeń IT, szczególnie aplikacji ZU;
- Ciągłego monitorowania aplikacji pod kątem zagrożeń cyberbezpieczeństwa.
UKNF porusza wątki kar za wyciek danych z RODO, a także ryzyka reputacyjne dla ZU. Pismo nie jest skierowane do konkretnego podmiotu i ma raczej charakter prewencyjny.
Biorąc pod uwagę, że pismo zostało przygotowane przez m.in. departament cyberbezpieczeństwa UKNF, szczególną uwagę należy poświęcić prawidłowemu prowadzeniu projektów IT w ZU.
UKNF odwołał się do Wytycznych IT w zakładach ubezpieczeń i zakładach reasekuracji z 2014 r., w których zostały wyszczególnione kluczowe obszary IT w ZU. Należy pamiętać, że DORA wpłynie na praktykę prowadzenia projektów IT w ZU, zatem ZU powinny już teraz zbadać zgodność działających lub planowanych wdrożeń.
Co najważniejsze, DORA będzie miała charakter przepisów prawa, a nie wytycznych, co wymusi pewne zmiany w procesie dostosowawczym wśród ubezpieczycieli.
Wnioski
Jak widać, krajobraz regulacji w zakresie cyber rozszerza się, co zauważają również krajowe podmioty odpowiedzialne za sektor finansowy. Z tego powodu jeszcze raz należy podkreślić wagę uważnego śledzenia tego, co dzieje się na unijnej scenie cyberbezpieczeństwa.
Ubezpieczyciele jako podmiot sektora finansowego zostali uznani za sektor kluczowy z perspektywy cyberbezpieczeństwa na tyle, że zostali oni objęci pierwszą regulacją sektorową tego typu (DORA). Warto zatem już dzisiaj rozpocząć przygotowania do wdrożenia DORA oraz pozostałych aktów unijnych, tak aby nie dać się zaskoczyć kolejnym propozycjom unijnego i krajowego regulatora.
Justyna Wilczyńska-Baraniak
partner EY Law, adwokat
Szymon Skalski
prawnik EY Law
Więcej informacji: https://www.ey.com/pl_pl/make-it-clear