Legislativa ke kybernetické bezpečnosti
Rostoucí digitalizace ekonomiky vyvolala obavy politiků, podnikatelů, občanů a celých odvětví, jelikož tento trend také zvyšuje hrozbu kybernetického rizika. Přijetím směrnice Evropského parlamentu a Rady (EU) o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii byly poprvé stanoveny požadavky na kybernetickou bezpečnost a podávání zpráv, a to pro provozovatele základních služeb a poskytovatele digitálních služeb v celé EU. Tato směrnice sehrála podle Florence Lustman významnou roli v posílení kybernetické bezpečnosti a odolnosti v EU. Nicméně vytvořila v pojišťovacím sektoru nerovné podmínky, jelikož některé členské státy zahrnuly při transpozici směrnice pojišťovny do její působnosti (například Francie) a jiné státy nikoli.
Mohlo by vás zajímat: Pohled na globální trh pojišťovacích makléřů v roce 2023
Když Evropská komise předložila v září 2020 návrh na revizi směrnice 2016/1148/EU, tak současně prezentovala návrh právního aktu o digitální provozní odolnosti (Digital Operational Resilience Act - DORA), vymezujícího rámec pro kybernetickou odolnost ve finančním sektoru. Tento akt DORA byl přijat v prosinci 2022 ve formě nařízení Evropského parlamentu a Rady (EU). Florence Lustman vnímá pozitivní přijetí pojistiteli, protože harmonizuje postupy všech evropských pojistitelů a vede sektor směrem ke společné vysoké úrovni kybernetické bezpečnosti založené na rámci, který byl specificky projektován pro finanční sektor. To v praxi znamená, že směrnice 2016/1148/EU se neaplikuje na pojistitele a místo ní nastupuje DORA. Jen v několika členských státech EU bylo rozhodnuto využít opci a požadovat po určitém počtu pojistitelů, aby vyhověli požadavkům směrnice 2016/1148/EU. Nařízení DORA tudíž přináší pozitivní vývoj.
Opatření na úrovni 2
Legislativní proces však není v žádném případě ukončen, protože evropské orgány dohledu nyní finalizují opatření úrovně 2, jež sestávají z řady regulačních technických norem a prováděcích technických norem. Na základě tohoto rámce a vzhledem k aktuálnímu vysokému riziku kybernetických útoků věnoval pojišťovací sektor od roku 2023 značné zdroje a energii na zajištění souladu s nařízením DORA tím, že prováděl analýzy možných mezer a stanovoval postupy. Většina pojistitelů byla schopna částečně navázat na stávající praxi, protože navrhovaná opatření úrovně 2 berou v úvahu již existující evropské a mezinárodní standardy, což byl mimo jiné silný požadavek trhu. Nicméně docílení souladu s nařízením DORA do ledna 2025 (tj. právní požadavek) stále představuje velkou výzvu, a to jak z hlediska technických aspektů a s IT spojených aspektů požadavků, tak z hlediska smluvních aspektů a otázek souvisejících s řízením rizik.
Mohlo by vás zajímat: Robert Kareš: Situace kolem pojištění cizinců byla extrémně nepříjemná a emoční
Pojišťovnictví podle Florence Lustman přispívalo k práci evropských orgánů dohledu při přípravě opatření úrovně 2 a oceňuje kvalitu práce, jež byla těmito orgány vykonána, a také značné úsilí, jež bylo z jejich strany věnováno navázání dialogu s pojišťovnictvím a vysvětlování důvodů pro návrh příslušných právních textů, a to v průběhu vysoce informativních veřejných setkání. K tomuto dialogu docházelo taktéž na národní úrovni, neboť mnohé federace/asociace pojišťoven i společnosti měly příležitost diskutovat návrhy regulačních technických norem a prováděcích technických norem s příslušnými národními orgány dohledu. Všechny tyto výměny názorů byly plodné a podpořily úsilí oboru o docílení souladu s tímto novým komplexním a robustním rámcem.
Zatím byly zveřejněny dvě samostatné sady opatření úrovně 2 týkající se několika klíčových bodů. První sada je zaměřena na nástroje řízení rizik, metody, procesy, klasifikaci závažných incidentů, registr informací o smluvních dohodách s poskytovateli a politiku ohledně využívání služeb v oblasti informačních a komunikačních technologií (ICT) , jež podporují kritické nebo důležité funkce. Druhá sada je zaměřena na podmínky subdodávek ICT služeb podporujících kritické nebo důležité funkce, definování časového vymezení a zpráv o notifikaci závažných incidentů a vytvoření rámce pro penetrační testování na základě hrozeb.
S ohledem na dopad navrhovaných opatření pojišťovací sektor doporučoval evropským orgánům dohledu, aby do textu opatření úrovně 2 integrovaly více proporcionality a zajistily širší přístup založený na rizicích, aby všechny entity různých velikostí na všech trzích byly schopny docílit soulad s nařízením. Dalším zásadním bodem, který byl prezentován, byla potřeba vyhnutí se nadměrné komplexitě a potřeba respektovat mandát (zmocnění) vymezený v textu nařízení DORA.
Mohlo by vás zajímat: Pojištění vážných chorob. Vyšší věk nebo prodělaná nemoc nemusí znamenat stopku
Hlavní výzvy pro pojišťovnictví
Pokud jde o podávání zpráv o závažných incidentech, tak Lustman zdůrazňuje, že musí být nalezena rovnováha mezi zajištěním účinné notifikace vůči příslušným orgánům a umožněním dané entitě alokovat dostatečné zdroje k řešení incidentu. Jeví se totiž jako důležité, aby entity nebyly během krize administrativně neúměrně zatěžovány, jelikož by to mohlo poškodit jejich kapacitu zvládnout incident. Z tohoto důvodu pojišťovnictví doporučilo jednodušší strukturu kritérií pro klasifikaci závažného incidentu, stejně jako zvládnutelné časové limity, přizpůsobené potřebám každého finančního sektoru, je-li to případné. I když evropské orgány dohledu akceptovaly doporučení zřídit jednodušší systém, tak navrhovaný proces podávání zpráv o incidentu bude ještě vyžadovat shromáždění, analýzu a zařazení (evidenci) značného množství údajů pro příslušné orgány, a to ve velmi krátkém časovém období.
Některá opatření úrovně 2 budou mít přímý dopad na smluvní vztah mezi pojistiteli a třetími stranami – poskytovateli služeb – a jejich subdodavatelským řetězcem. Opatření původně předpokládaná evropskými orgány dohledu byla značně ambiciózní a v tomto ohledu pojišťovnictví doporučilo přijetí úměrnějšího přístupu. Bez ohledu na přesné znění finálního textu je jasné, že před finančními společnostmi vyvstává období komplikovaných vyjednávání s třetími stranami – poskytovateli služeb. Pojišťovnictví hodlá zajistit, aby tato jednání byla plodná a doufá, že nově zřízené fórum pro dohled („Oversight Forum“), v němž budou působit předsedové evropských orgánů dohledu a vysocí představitelé národních kompetentních orgánů, a standardní smluvní doložky, připravené evropskými orgány dohledu, podpoří toto úsilí.
Mohlo by vás zajímat: Deloitte: Téměř polovina českých firem už pracuje nebo experimentuje s AI
Florence Lustman dále uvedla, že rámec pro penetrační testování na základě hrozeb byl definován jako součást navržených opatření úrovně 2. Přijatý přístup, který je v souladu s právním textem úrovně 1 a velmi blízko rámci používanému ECB (TIBER EU), nebyl překvapením a obecně je vítán. Nicméně zbývají ještě dva problémy, které vzbuzují obavy. Za prvé, působnost musí být striktně omezena na entity s dostatečnou mírou zralosti a dílčím systémovým charakterem, a to s ohledem na náklady a riziko spojené s penetračním testováním na základě hrozeb. Za druhé, navrhovaná kritéria pro interní a externí poskytovatele testů se jeví jako velmi restriktivní na trhu s nedostatkem dostupného (odborného) profilu. To by mohlo vést k problémům v praxi v případě, že entity nebudou vhodně zacíleny, nebo nebudou schopny připravit či najít vhodné zdroje.
Závěrem Florence Lustman uvedla, že pojišťovny jsou si vědomy rizik, která jsou spojena s kybernetickými hrozbami ve finančním sektoru a ve společnosti jako celku. Považují za svůj závazek plně přispívat k řešení této výzvy zlepšením své kybernetické odolnosti. Nařízení DORA je krok správným směrem a sektor bude pokračovat ve svém zapojení, aby se toto nařízení stalo úspěchem. Učiní vše k tomu, aby byl plně připraven, když nařízení nabude v lednu 2025 účinnost.
Komentáře
Přidat komentář