Cloud: Supervisão quer conhecer apólices ciber que protegem as seguradoras

A ASF aprovou nova Norma Regulamentar cujo objetivo é o de “assegurar que as empresas [de seguros e de resseguros] se encontram devidamente preparadas para gerir os riscos associados às TIC e à respetiva segurança.”

O organismo presidido por Margarida Corrêa de Aguiar considera “prioritário e essencial garantir modelos de governação com maiores níveis de exigência, assim como um aumento da resiliência das operações tecnológicas, de modo a assegurar a gestão sã e prudente” do mercado e a estabilidade do setor financeiro, com adequada proteção aos tomadores de seguros, segurados e beneficiários, justifica a Autoridade de Supervisão de Seguros e Fundos de Pensões (ASF).

Segundo decorre do ato regulatório, e em conformidade com princípios que recomendam implementação de medidas adequadas de cibersegurança, as entidades supervisionadas contratarão seguros que previnam, por exemplo, os riscos decorrentes da subcontratação de serviços na nuvem.

Neste contexto, a Supervisão quer ser notificada, não apenas da localização física das infraestruturas das entidades fornecedoras de serviços de computação em nuvem (cloud) onde são armazenados dados da indústria, mas também garantir a qualidade das apólices que as (re)seguradoras contratam para se protegerem dos riscos cibernéticos que ameaçam a cadeia de valor/abastecimento. Quanto aos direitos e obrigações previstos nesses contratos, a Supervisão pede sobretudo clareza e especificidade.

A Norma Regulamentar n.º 6/2022-R, de 7 de junho vem estabelecer requisitos e princípios gerais em matéria de segurança e governação das tecnologias da informação e comunicação (TIC), e define requisitos específicos em matéria de subcontratação a prestadores de serviços de computação em nuvem.
Do articulado, a ASF destaca:

a. A definição de requisitos gerais em matéria de governação das TIC, designadamente as responsabilidades do órgão de administração neste âmbito, a obrigação de as empresas de seguros e de resseguros disporem de uma estratégia em matéria de TIC, de integrarem os riscos associados às TIC e à segurança no sistema de gestão de riscos global da empresa e de realizarem auditorias periódicas;

b. A previsão de requisitos que se referem à segurança da informação, nomeadamente que as empresas de seguros e de resseguros devem dispor de uma política de segurança da informação e de uma função de segurança da informação;

c. A regulamentação dos deveres que as empresas de seguros e de resseguros devem cumprir relativamente à gestão operacional de TIC;

d. A previsão de requisitos aplicáveis à gestão da continuidade de negócio no âmbito das TIC;

e. A definição de requisitos gerais em matéria da governação da subcontratação de serviços de computação em nuvem;

f. A previsão de requisitos prévios à celebração do acordo de subcontratação de serviços de computação em nuvem e a regulamentação dos direitos e obrigações que devem ser claramente identificados e especificados no acordo escrito.

A norma, cuja produção teve aviso prévio em maio de 2021 e foi agora finalizada para vigorar 30 dias após publicação no jornal oficial (Diário da República), também garante regime transitório (para algumas disposições), resultando em aplicação efetiva apenas em janeiro de 2023. Do reporte com comentários da consulta pública que precedeu o ato regulamentar, nota-se que alguns participantes manifestaram inquietação sobre a vacatio legis (período que media entre publicação e vigência efetiva de qualquer regulamento ou norma legal), pelo que poderão precisar de mais tempo. Acolhendo esta e outras preocupações das partes interessadas, a NR prevê que, sob pedido formal e fundamentado dos casos particulares, a ASF considerará concessão de prazo mais alargado.

Outro aspeto relevante na imperatividade da norma tem a ver com a dimensão dos destinatários (entidades supervisionadas). Quanto mais pequenas forem as empresas, mais flexibilidade e maior margem de manobra lhes é assegurada nos critérios de aplicação das disposições da NR nº 6/2022-R.

Por fim, tendo ponderado o impacto da norma em causa , a ASF reconhece também que “o respetivo cumprimento acarreta eventuais custos regulatórios adicionais para as empresas de seguros e de resseguros associados à implementação dos requisitos definidos”. Não obstante, ressalva a Supervisão, deve ter-se em conta que o novo regime resulta essencialmente de iniciativa supranacional (designadamente das Orientações da EIOPA relativas Orientações relativas à subcontratação a prestadores de serviços de computação em nuvem e sobre segurança e governação das tecnologias da informação e comunicação) “e não de opção regulamentar nacional mais onerosa”.

Norma Regulamentar nº 6/2022-R , de 7 de junho pode ser vista aqui.