18 marca 2020

Stanowisko PIU: konsultacje publiczne ICT

Autor: Mariusz Kuna

13 marca 2020 r. przekazaliśmy europejskiemu nadzorcy – EIOPA – nasze stanowisko w ramach publicznych konsultacji projektu wytycznych, które dotyczą zarządzania informacjami oraz technologiami komunikacyjnymi (ICT) oraz ich bezpieczeństwem. Wytyczne są skierowane zarówno do organów nadzoru, jak również do zakładów ubezpieczeń i zakładów reasekuracji. Konsultacje publiczne ICT – na co zwróciliśmy uwagę?

Ile nowości w wytycznych ICT? Zakres wytycznych

Wytyczne doprecyzują wymogi, które są już określone w dyrektywie Solvency II i jej aktach wykonawczych. Zbierają kluczowe wymagania dotyczące przetwarzania informacji czy zarządzania środowiskami teleinformatycznymi. Ponadto regulują kwestie zarządzania bezpieczeństwem informacji i środowisk, w których te informacje są przetwarzane.  Ich zakres to w szczególności:

  • ICT w ramach systemu zarządzania, strategii i zasad bezpieczeństwa
  • Audyt, polityka, środki i funkcje bezpieczeństwa
  • Bezpieczeństwo logiczne, fizyczne, operacji i ich monitoring
  • Szkolenie i budowanie świadomości
  • Zarządzanie operacyjne, zmianami, incydentami, projektami, ciągłością działania
  • Nabywanie i rozwój systemów, testowanie i outsourcing systemów i usług
  • Analiza wpływu na działalność gospodarczą.

Konsultacje publiczne ICT: pozytywnie

Ubezpieczyciele pozytywnie ocenili inicjatywę EIOPA. Wytyczne mają obowiązywać od 1 lipca 2020 roku. Uspójnienie oczekiwań nadzorców ubezpieczeniowych w całej Unii jest szczególnie istotne dla grup kapitałowych obecnych na wielu rynkach europejskich. Jednolite wymagania w praktyce oznaczają, że zakłady ubezpieczeń mogą bazować na rozwiązaniach dla całej grupy. A to z kolei ogranicza ryzyko zgodności z przepisami prawa oraz zmniejsza koszty prowadzenia działalności.

Wprowadzenie wytycznych wpłynie na ograniczenie ryzyk związanych z funkcjonowaniem zakładów w zakresie zarządzania informacją. Należy też spodziewać się, iż ułatwi zakładom współpracę z kooperantami oraz dostawcami rozwiązań teleinformatycznych.

Ale trzeba doprecyzować raportowanie

Wątpliwości PIU budziły jednak wytyczne dotyczące raportowania do organu nadzoru. Według nas należy je doprecyzować i określić, jak w praktyce powinno wyglądać wypełnienie obowiązku dotyczącego zgłaszania incydentów bezpieczeństwa do nadzorcy. W wytycznych zabrakło informacji na temat kryteriów, warunków, procedury i zakresu informacji, jakie należy przekazać.

Podobnie należy doprecyzować metody i zakres przekazywania przez zakłady ubezpieczeń informacji na temat wprowadzonych środków komunikacji w sytuacjach kryzysowych.

Niezbędny KNF

Do zastosowania wytycznych rynek potrzebuje jeszcze opinii KNF, która określi, jak zastosować wybrane wytyczne w Polsce. Wytyczne posługują się np. terminem AMSB, który oznacza organ administracyjny, zarządzający i nadzorczy. Należy zatem doprecyzować, które wymogi będą miały zastosowanie do zarządów, a które do rad nadzorczych w Polsce.

Ostatnio zakończyły się też konsultacje w sprawie PRIIPs  i PEPP:

https://www2.piu.org.pl/konsultacje-publiczne-priips-stanowisko-piu/

https://www2.piu.org.pl/stanowisko-piu-w-konsultacjach-eiopa-dotyczacych-pepp/