Nu höjs säkerhetskraven för försäkringsbranschen
I slutet av 2019 (12/12-2019) publicerade EIOPA ett utkast av Guidelines on Information and Communication Technology (ICT) security and governance (EIOPA-BoS-19-526) vilket FCG bedömer höjer kraven inom IT och informationssäkerhet för försäkringsbranschen.
De föreslagna riktlinjerna är baserade på Solvens 2-regelverket (direktivet och förordningen) och EIOPA ”Guidelines on system of governance” (EIOPA-BoS-14/253) och EIOPA ”Guidelines on Outsourcing to Cloud Service Providers” (EIOPA-BoS-19/270) och målet med riktlinjerna är att harmonisera nationell reglering och fastställa en basnivå inom IT och informationssäkerhetsområdet. De föreslagna riktlinjerna är på övergripande nivå liknande de kraven som introducerades mot bank-, värdepappers- och betalningsförmedlare via (EBA/GL/2019/04) EBA ICT och säkerhetsriskhantering, men är inte lika omfattande. Riktlinjerna föreslås träda i kraft 1 juli 2020.
EIOPA motiverar de föreslagna riktlinjerna med att komplexiteten inom ICT ökar inom försäkringsbranschen och därmed frekvensen av ICT relaterade incidenter (inklusive cyber säkerhetsincidenter), vilket kan påverka den operationella stabiliteten negativt. Vidare konstaterar EIOPA att styrning av ICT och säkerhetsriskhantering är fundamental för att försäkringsföretag ska kunna uppnå sina strategiska-, affärs-, operationella-, eller ryktesmål. Styrningen av området anses bli mer viktigt ju mer försäkringsbranschen blir beroende av utomstående parter, såsom andra försäkringsföretag, återförsäkringsföretag, banker, förmedlare, IT-driftleverantörer, då detta skapar systemrisker.
Sedan tidigare har det inte funnits specifika uttalade krav inom IT och informationssäkerhet inom försäkringsbranschen och vi på FCG anser att förslaget i riktlinjerna på övergripande nivå är balanserat och skapar en likvärdig konkurrensnivå för alla aktörer. Vi ser även fördelar med att i liknande riktlinjer gäller för både försäkrings- och bank och finansbranschen. Kraven baseras på ett modernt synsätt inom riskhantering och är fokuserade på operationella men även strategiska frågor. IT-styrning är ett relativt nytt område i de nordiska länderna, men ett område där det finns mycket erfarenhet och praxis att hämta från Europa. Förändringshantering och incidenthantering är nya regulatoriska områden inom försäkringsbranschen men som är direkta arv från banksektorn.
De föreslagna riktlinjerna består av 24 specifika områden som regleras. Nedan redovisar vi reglerna på en övergripande nivå:
IT-styrning
Ett relativt nytt område där styrelsens ansvar för IT-styrning tydliggörs. Detta är ett område som generellt sett är eftersatt i Norden och här kommer både styrelser, ledningsgrupper och IT-verksamheten behöva utveckla sina processer och rutiner för att efterleva intentionerna i riktlinjen. Andra linjens ansvar för att ställa krav, följa upp och kontrollera IT och informationssäkerhetsfunktionerna utökas och tydliggörs.
IT-strategi
Styrelsen ansvarar även för att fastställa en IT-strategi. Eftersom majoriteten av interna processer inom ett försäkringsföretag är IT-beroende så regleras indirekt försäkringsföretagens affärsstrategi. Inom detta område krävs aktivt arbete med proaktiv riskhantering och vi på FCG är positiva till att andra linjens ansvar formellt utökas till att omfatta de strategiska riskerna inom försäkringsföretagen.
Information- och cybersäkerhet
Detta område är relativt detaljerat och omfattar allt från riskaptit inom IT och informationssäkerhet till konkreta säkerhetsförmågor som försäkringsföretag ska upprätthålla. Liksom i den motsvarande riktlinjen inom bank och finans finns i dessa riktlinjer krav på försäkringsföretagen att i sina riskanalyser även utgå ifrån hur kritiska de aktuella processerna, systemen eller informationstillgångarna är, inklusive krav på utvecklade tillgångsregister. Skrivningarna kring förändringshantering är också liknande men knyts inte lika tydligt till en New Product Approval Process (NPAP). Funktionen för informationssäkerhets oberoende och ansvaret för att direktrapportera till styrelsen är också ett arv från systerregleringen från bank och finanssektorn. Denna funktion för informationssäkerhet ska ha en utpekad ansvarig person.
Reglering av IT-funktionen
IT-funktionen regleras främst ur ett operativt perspektiv där driftsrutiner, övervakning och internkontroll är områden som omfattas av riktlinjen. Vi på FCG är också positiva till att livscykelperspektivet ingår i riktlinjen för att säkerställa en långsiktig förvaltning av IT-investeringar. IT-incident och problemhantering är ett annat område som regleras i viss detalj, så som projektstyrning och kontinuitetshantering. Förändringshantering av utläggning av IT-verksamhet är områden där riktlinjen utökar kraven och som är arv från banksektorn och syftet är att ytterligare stärka den interna kontrollen.
Sammanfattningsvis bedömer vi på FCG att kraven ökar i sin detaljrikedom (kraven förtydligas) samt att vissa förändringar introduceras avseende andra linjens ansvar inom IT och informationssäkerhet. IT och informationssäkerhet kopplas integrerat ihop med företagens riskhantering vilket vi på FCG anser som positivt. På FCG har vi lång erfarenhet av operativ risk, IT och informationssäkerhet (inklusive cybersäkerhet). Har ni frågor kring de föreslagna riktlinjerna eller vill diskutera operativa riskfrågor kopplade till IT och informationssäkerhet är ni varmt välkomna att höra av er.