Úvodem IE konstatuje, že pandemie COVID-19 urychlila řadu společenských změn, ale snad nejvíce digitální transformaci. Mnohé podniky včetně pojišťoven byly nuceny přejít na práci z domova, aby zpomalily rozšiřování viru a ochránily zaměstnance i klienty. Přitom se, aby zachovaly provoz, opíraly v rozhodující míře o digitální technologie. Do popředí se logicky dostaly otázky kapacity IT systémů a jejich bezpečnosti. Europol např. oznámil, že mimořádný vzestup kybernetických aktivit vedl zároveň k odpovídajícímu vzestupu kybernetické kriminality.
Mohlo by vás zajímat: Výroční zprava ČAP: Předepsané pojistné členů dosáhlo 137 mld. Kč
Záměry EU v oblasti kybernetické bezpečnosti
Cílem EU i pojišťoven jistě je vytěžit maximum z rozvíjející se digitalizace, ale současně omezit v maximální možné míře přidružená rizika. Proto chce EU navázat na obecné nařízení k ochraně osobních údajů (2016/679/EU – GDPR) a doplnit pravidla pro kybernetickou bezpečnost, a to využitím na konci roku 2020 přezkumu směrnice 2016/1148/EU o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii a aplikace nařízení 2019/881/EU o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“).
Tato pravidla, jak se dále uvádí ve výroční zprávě IE, však cílí na podniky, jež zpracovávají osobní údaje, poskytují významné služby nebo chtějí certifikovat své produkty, procesy a služby. Tvůrci politik v EU se nyní ale zaměřují přímo i na finanční instituce s cílem řešit vnímanou mezeru v jejich kybernetické bezpečnosti a zvýšit digitální provozní odolnost sektoru jako celku.
Mohlo by vás zajímat: Sloupek Kateřiny Lhotské: „Houmofisová“ sociální abstinence
Při vědomí těchto cílů konzultovala Evropská komise (Komise) se zainteresovanými osobami rámec pravidel pro nové informační a komunikační technologie (Information and Communications technology - ICT) s tím, že by chtěla začlenit všechny aspekty a prvky kybernetické bezpečnosti finančního sektoru do jednoho právního aktu. Záměrem Komise podle IE je stanovit pro všechny instituce napříč finančním sektorem, a to včetně pojistitelů, povinnosti v těchto oblastech:
- řízení rizik ICT,
- oznamování incidentů a sdílení informací,
- zátěžové testování infrastruktury ICT,
- dohled nad třetími stranami - poskytovateli zásadních služeb v rámci ICT.
Pokud by byly záměry Komise přijaty, tak by se podle názoru IE mohlo v celém finančním sektoru EU naprosto změnit řízení kybernetických incidentů, jejich oznamování a prevence. Pro IE je proto klíčové, aby bylo v dalším procesu bráno v úvahu, že finanční sektor není uniformní a že jednotlivé finanční instituce se značně odlišují, a to nejen podle typu a velikosti, ale také so se týče rizik, jimž jsou vystaveny a systémů a služeb, jež mají být chráněny a podporovány. Evropští pojistitelé proto vyzývají, pokud jde o kybernetickou odolnost, k přístupu založenému na rizicích, kdy se rozlišuje mezi kritickými (zásadními) a méně kritickými funkcemi.
Mohlo by vás zajímat: Evropští pojistitelé v době pandemie: Jaké jsou dopady?
EIOPA hodlá vstoupit do oblasti kybernetické bezpečnosti
Komise není jediným orgánem, který usiluje o posílení kybernetické bezpečnosti v pojišťovnictví. Také Evropský orgán dohledu EIOPA hodlá zveřejnit sektorově specifické obecné pokyny o bezpečnosti a správě a řízení v oblasti ICT pro pojišťovnictví. V této souvislosti IE upozornila na nutnost sladit různé iniciativy na úrovni EU tak, aby bylo možné se vyhnout vůči příslušným organizacím multiplikaci povinností a požadavků, které sledují dosažení stejného cíle. Z tohoto důvodu by evropští pojistitelé byli rádi, kdyby byly usměrněny též informační požadavky plynoucí z GDPR, směrnice 2016/1148/EU a budoucího rámce pro digitální provozní odolnost.
Kybernetická rizika – výzva i příležitost pro pojistitele
V oblasti kybernetické bezpečnosti se pojistitelé nacházejí v unikátní pozici. Pojišťovnictví je jednak sektor, který je stále více zranitelný, ale jednak sektor, který může nabídnout ochranu – kybernetické pojištění – prostřednictvím celé řady pojistných produktů a služeb.
Kybernetické pojištění může sehrát stěžejní roli v pomoci evropským podnikům, aby se staly více kyberneticky odolnými. Může jim nabídnout různé služby, a to před incidentem i po něm. Toto pojištění může rovněž posílit jejich konkurenceschopnost, napomoci podpořit jejich apetyt k inovacím v oblastech digitálních technologií poskytnutím bezpečnostní sítě v případě, že se věci nevyvíjejí dobře. Minimálně platí, že evropské podniky se mohou o tato rizika s pojistiteli podělit. Pro podniky je určitě lepší sjednat kybernetické pojištění, i když mají menší potřebu využívat pojistnou ochranu a ex-post podporu, neboť pojistitelé mají významnou roli i v prevenci. Mohou totiž podniky uvědomit o jejich možném vystavení rizikům a vyhodnotit jejich IT „hygienu“.
Mohlo by vás zajímat: EIOPA dokončila včas návrhy k PEPP. Jaká je budoucnost penzí?
V průběhu současné pandemie byli pojistitelé velmi aktivní v oblasti prevence a řada národních asociací pojišťoven realizovala kampaně ke zvýšení znalosti rizik spojených s prací z domova, včetně zranitelnosti podniků z důvodu využívání soukromých domácích sítí a počítačů. Pandemie podle IE potvrdila význam kybernetické odolnosti pro podnikatele všech velikostí a zvýraznila významnou roli pojistitelů v prevenci, zmírňování a přenosu rizika. I když se tradičně přiznává, že evropský pojistný trh kybernetických rizik zaostává za relevantním pojistným trhem v USA, tak rok od roku roste, a přispívá tak ke zvyšování evropské kybernetické odolnosti.
IE si je vědoma toho, že je třeba pokročit dále. V říjnu 2019 vydala brožuru obsahující doporučení pro politickou sféru, která by měla povzbudit růst trhu kybernetického pojištění. K těmto doporučením patří např. zvýšení povědomí o rizicích, rozšíření spolupráce veřejného a soukromého sektoru a umožnění širšího přístupu k údajům o kybernetických incidentech.
Mohlo by vás zajímat: TOP 30 pojišťovacích makléřů za rok 2019 v Česku dle oPojištění.cz
Pokud jde o zmíněné údaje, tak IE je jednoznačně pro využívání existujících dat o kybernetických incidentech. Mají se na mysli jak data shromažďovaná na základě GDPR a směrnice 2016/1148/EU, tak data získaná v budoucnu v rámci digitální provozní odolnosti. Za tímto účelem připravila IE již v roce 2018 šablonu pro hlášení narušení bezpečnosti podle GDPR, která by mohla umožnit shromažďování dat v anonymizovaném, ale dostatečně granulovaném formátu, aby mohla být použita v pojišťovnictví.
Na závěr IE ve své výroční zprávě uvádí, že je proti předčasné standardizaci nebo povinnému pojištění pro případ kybernetických rizik, neboť by to narušilo trh, který je sice rostoucí, ale teprve musí dosáhnout plné zralosti.
Komentáře
Přidat komentář