Stanowisko PIU w ramach publicznych konsultacji projektu wytycznych ICT

0
681

Polska Izba Ubezpieczeń (PIU) przekazała 13 marca Europejskiemu Urzędowi Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) swoje stanowisko w ramach publicznych konsultacji projektu wytycznych, które dotyczą zarządzania informacjami oraz technologiami komunikacyjnymi (ICT) oraz ich bezpieczeństwem. Wytyczne są skierowane zarówno do organów nadzoru, jak i do zakładów ubezpieczeń i zakładów reasekuracji – pisze na blogu PIU Mariusz Kuna, ekspert Izby.

Wytyczne ICT doprecyzują wymogi, które są już określone w dyrektywie Solvency II i jej aktach wykonawczych. Zbierają kluczowe wymagania dotyczące przetwarzania informacji czy zarządzania środowiskami teleinformatycznymi. Ponadto regulują kwestie zarządzania bezpieczeństwem informacji i środowisk, w których te pierwsze są przetwarzane. Zakres ICT to w szczególności:

  • ICT w ramach systemu zarządzania, strategii i zasad bezpieczeństwa
  • Audyt, polityka, środki i funkcje bezpieczeństwa
  • Bezpieczeństwo logiczne, fizyczne, operacji i ich monitoring
  • Szkolenie i budowanie świadomości
  • Zarządzanie operacyjne, zmianami, incydentami, projektami, ciągłością działania
  • Nabywanie i rozwój systemów, testowanie i outsourcing systemów i usług
  • Analiza wpływu na działalność gospodarczą.

Wytyczne mają obowiązywać od 1 lipca 2020 roku.

„Wprowadzenie wytycznych wpłynie na ograniczenie ryzyk związanych z funkcjonowaniem zakładów w zakresie zarządzania informacją. Należy też spodziewać się, iż ułatwi zakładom współpracę z kooperantami oraz dostawcami rozwiązań teleinformatycznych” – wskazuje Mariusz Kuna.

Ekspert PIU zdradza, że wątpliwości Izby budziły wytyczne dotyczące raportowania do organu nadzoru. Zdaniem organizacji wymagały one doprecyzowania oraz określenia, jak w praktyce powinno wyglądać wypełnienie obowiązku dotyczącego zgłaszania incydentów bezpieczeństwa do nadzorcy. W ocenie PIU w wytycznych zabrakło informacji na temat kryteriów, warunków, procedury i zakresu informacji, jakie należy przekazać.

„Podobnie należy doprecyzować metody i zakres przekazywania przez zakłady ubezpieczeń informacji na temat wprowadzonych środków komunikacji w sytuacjach kryzysowych” – pisze ekspert. „Do zastosowania wytycznych rynek potrzebuje jeszcze opinii KNF, która określi, jak zastosować wybrane wytyczne w Polsce. Wytyczne posługują się np. terminem AMSB, który oznacza organ administracyjny, zarządzający i nadzorczy. Należy zatem doprecyzować, które wymogi będą miały zastosowanie do zarządów, a które do rad nadzorczych w Polsce” – dodaje.

(AM, źródło: PIU)