Polska Izba Ubezpieczeń (PIU) przekazała 13 marca Europejskiemu Urzędowi Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) swoje stanowisko w ramach publicznych konsultacji projektu wytycznych, które dotyczą zarządzania informacjami oraz technologiami komunikacyjnymi (ICT) oraz ich bezpieczeństwem. Wytyczne są skierowane zarówno do organów nadzoru, jak i do zakładów ubezpieczeń i zakładów reasekuracji – pisze na blogu PIU Mariusz Kuna, ekspert Izby.
Wytyczne ICT doprecyzują wymogi, które są już określone w dyrektywie Solvency II i jej aktach wykonawczych. Zbierają kluczowe wymagania dotyczące przetwarzania informacji czy zarządzania środowiskami teleinformatycznymi. Ponadto regulują kwestie zarządzania bezpieczeństwem informacji i środowisk, w których te pierwsze są przetwarzane. Zakres ICT to w szczególności:
- ICT w ramach systemu zarządzania, strategii i zasad bezpieczeństwa
- Audyt, polityka, środki i funkcje bezpieczeństwa
- Bezpieczeństwo logiczne, fizyczne, operacji i ich monitoring
- Szkolenie i budowanie świadomości
- Zarządzanie operacyjne, zmianami, incydentami, projektami, ciągłością działania
- Nabywanie i rozwój systemów, testowanie i outsourcing systemów i usług
- Analiza wpływu na działalność gospodarczą.
Wytyczne mają obowiązywać od 1 lipca 2020 roku.
„Wprowadzenie wytycznych wpłynie na ograniczenie ryzyk związanych z funkcjonowaniem zakładów w zakresie zarządzania informacją. Należy też spodziewać się, iż ułatwi zakładom współpracę z kooperantami oraz dostawcami rozwiązań teleinformatycznych” – wskazuje Mariusz Kuna.
Ekspert PIU zdradza, że wątpliwości Izby budziły wytyczne dotyczące raportowania do organu nadzoru. Zdaniem organizacji wymagały one doprecyzowania oraz określenia, jak w praktyce powinno wyglądać wypełnienie obowiązku dotyczącego zgłaszania incydentów bezpieczeństwa do nadzorcy. W ocenie PIU w wytycznych zabrakło informacji na temat kryteriów, warunków, procedury i zakresu informacji, jakie należy przekazać.
„Podobnie należy doprecyzować metody i zakres przekazywania przez zakłady ubezpieczeń informacji na temat wprowadzonych środków komunikacji w sytuacjach kryzysowych” – pisze ekspert. „Do zastosowania wytycznych rynek potrzebuje jeszcze opinii KNF, która określi, jak zastosować wybrane wytyczne w Polsce. Wytyczne posługują się np. terminem AMSB, który oznacza organ administracyjny, zarządzający i nadzorczy. Należy zatem doprecyzować, które wymogi będą miały zastosowanie do zarządów, a które do rad nadzorczych w Polsce” – dodaje.
(AM, źródło: PIU)
